Скрытие процесса в Диспетчере задач Windows
WinHide.SB — программа скрытия окон и процессов | SBGames
WinHide.SB — программа управления видимостью окон и процессов.
Описание программы
- Скрывает окна приложений на выбор (в том числе с панели задач).
- Добавляется аналог клавиши «анти-босс» в активное окно (скрытие окна по нажатию заданного сочетания клавиш).
- Позволяет задать «горячий список» — окна которые будут скрыты при нажатии клавиши «анти-босс», даже если они не активны.
- «Окна скрываемые постоянно» — автоматически скрывает выбранные окна. На примере окна оповещения Avast: Показать / скрыть…Вы используете пиратскую версию (или любое другое окно, от любой программы)Иконка программы в системном трее (слева возле часов) -> «Управление окнами…» — отобразится список всех окон, выбираем нужное окно (Пакет avast! Internet Security) и перемещаем его в блок «окна скрываемые постоянно».Для того чтобы программа не скрывала окно настроек avast, устанавливаем галочку «Скрывать только окна с такими же размерами».После нажатия «Ok» программа скроет выбранное окно и будет скрывать его после перезагрузки компьютера автоматически.
- Скрывает выбранные программы в диспетчере задач (только в 32 битных системах).
- Позволяет изменить/скрыть свою иконку в системном трее и скрыть себя в диспетчере задач.
| Версия: | 2.1.4.2k.lang |
| Системные требования: | 2k, XP, 2003, Vista, 7, 8 (x32/x64) |
| Условия распространения: | Бесплатно |
| Язык интерфейса: | Русский, Английский |
| Разработчик: | SBGames |
| Обновление: | 2014.11.08 |
| WinHide.SB.exe 1.78 MB | Закачек: 60781 |
| WinHide.SB.rar 1.55 MB | Закачек: 20604 |
Планы на будущее
- Скрытие иконок программ в системном трее (удалением или выставлением опции «всегда скрывать»)
- Изменение размера окон
- Пароль на показ окна/окон
- Работа с окнами по таймеру
- Возможность развернуть все скрытые окна из «Горячего листа»
- Возможность спрятать окна из «Горячего листа» не скрывая активное окно (если оно отсутствует в «Горячем листе»)
- Добавление клавиш, которые могут быть использованы как «горячие клавиши»
- Запрет на активацию окон (если получится)
Обновление 2.2+Показать / скрыть подробности…
|
Вступайте в группы сайта в социальных сетях или подпишитесь на рассылку новостей сайта, чтобы быть в курсе выхода обновлений!
История версий
История версий: Показать / скрыть подробности…
| 2012.11.05 |
| 2.1.2.2k.lang.HotFixПоказать / скрыть подробности изменений…* Устранены мелкие недоработки и ошибки.+ В «управление окнами» добавлена опция «скрывать только окна с такими же размерами», некоторые программы создают окна, которые трудно отличить по другим признакам, если у вас была старая версия программы, то чтобы использовать эту функцию, после обновления удалите окна из списков «окна скрываемые постоянно» и «горячий список» и добавьте их в эти списки заново. |
| 2009.06.01 |
| 2.0.0.2k.lang.Release 2Показать / скрыть подробности изменений…* Устранены мелкие недоработки и ошибки.+ Новая обработка скрытия окон — можно скрывать окна с пустым заголовком.+ Удержание окон скрытыми.+ Обработка не корректного выхода из программы (скрытые окна можно восстановить при следующем запуске программы).+ Возможность изменить/скрыть иконку программы в системном трее.+ Список окон скрываемых автоматически. |
Скрытие процесса в Диспетчере задач Windows
Программы, которые находятся в активном состоянии на компьютере, всегда можно просмотреть, открыв «Диспетчер задач». Однако иногда может случиться так, что понадобится сделать исполнение какой-то программы невидимым. Если у вас тоже возникло такое желание, вы наверняка начнёте искать ответ на вопрос, как скрыть процесс в Диспетчере задач Windows.
Узнайте, как скрыть процесс Диспетчер задач Windows
Безусловно, анонимность исполнения некоторых программ позволит отслеживать тех, кто чрезмерно захламляет персональный компьютер. Особенно такая слежка важна, когда доступ к ПК имеют несколько пользователей.
Также желание скрыть процесс возникает и у тех, кто устанавливает собственную программу и стремится, чтобы продвинутые пользователи не смогли простыми способами выявить её присутствие.
Создание скрытого процесса
Любое выполнение программы является процессом, который нуждается в определённой части оперативной памяти. Процессы подразделяются на:
- системные;
- анонимные;
- пользовательские;
- связанные с интернетом.
Не рекомендуется тем, кто не имеет практического опыта и необходимых технических знаний вмешиваться в системные процессы, поскольку такое неразумное внедрение способно спровоцировать крайне нежелательные последствия. Одним из таких последствий может выступать сбой последующего запуска операционной системы.
Иногда анонимность и скрытность играют ключевую роль в успешном выполнении каких-либо действий
Научиться скрывать какие-либо пользовательские программы можно, при этом не понадобится прилагать огромные усилия, достаточно внимательно ознакомиться с нашими рекомендациями. Мы акцентируем ваше внимание, что даже продвинутый инженер, не подозревающий о ваших «творческих деяниях» не заметит просто так «левый» процесс.
Алгоритм действий
Если вам потребовалось скрыть программное приложение, сначала нужно разобраться, а является ли оно простым, не запускает ли оно дополнительные процессы, которые способны просто выдать её, как бы вы не попытались программу скрыть.
Если, действительно, ваша программа является простой, если она отображается в Диспетчере задач единственной строкой, предлагаем простейшим способом скрыть процесс. Для этого вам всего потребуется переименовать его.
Итак, мы поможем разобраться, как переименовать процесс в Диспетчере задач, чтобы программа продолжила прекрасно функционировать в анонимном режиме.
Шаг 1
Первоначально следует зайти в папку, где размещается файл исполнения конкретной программы. Если вы знаете, где он размещён, то воспользуйтесь привычным для вас «маршрутом», открыв окно «Компьютер», перейдя в системный диск C, а далее проследовав в его корневую папку.
Если же вы не знаете, где скрывается файл исполнения, не беда, вам достаточно найти этот процесс в списке, отображаемом в Диспетчере задач, кликнуть по нему правой клавишей мышки, а затем в открывшемся окне выбрать строку «Открыть место хранения файла».
Найдите вкладку «Открыть место хранения файла»
Шаг 2
После таких ваших действий откроется вами разыскиваемая папка, в ней остаётся вам найти файл исполнения. Искать будет несложно, поскольку этот файл имеет точно такое же название, как и в списке процессов в Диспетчере задач. Кроме этого, этот файл имеет расширение «exe».
Шаг 3
Чтобы переименовать файл, кликните по нему вновь правой клавишей мышки, а затем выберите строку «Переименовать». Теперь, когда вы сумели присвоить новое имя вашему программному приложению, откройте «Диспетчер задач», посмотрите, что это переименование отобразилось и там.
Присвойте найденному файлу новое название
Конечно, от того, какое название вы придумаете, будет зависеть, насколько ваша программа станет «завуалированной» для остальных пользователей ПК. Незнакомый процесс с новым именем ещё быстрее вызовет подозрение и заставит технического инженера разобраться, что за программа работает на ПК.
По этой причине многие опытные пользователи рекомендуют придумывать названия, которые с первого взгляда не вызывают никаких подозрений.
В частности, открытый браузер Chrome создаёт одновременно несколько процессов, так же, как Windows.Желательно взять такое же название процесса, но поскольку система не позволит функционировать двум одноимённым процессам одновременно, рекомендуется при переименовании применить небольшую хитрость.
Вместо некоторых английских букв в названии как будто случайно прописать русские. Внешне отличить русские буквы от английских невозможно, а система различит, поэтому позволит работать программам с условно одинаковыми именами.
Итоги
Итак, как вы сумели заметить сделать анонимным некоторое программное приложение можно без особых затруднений.
Конечно, существуют ещё достаточно продвинутые способы, которые позволяют более надёжно скрыть любой процесс, но они основываются на написании сложных кодов, навыках программирования.
Если вы не ставите перед собой такие усложнённые цели, тогда скрытие работающих программных приложений путём переименования является вполне приемлемым вариантом.
Скрываем процесс в диспетчере задач Windows
Часто анонимность и скрытность играют ключевую роль в успешном выполнении каких-либо действий как в реальности, так и в виртуальности, в частности в операционных системах. В данной статье речь пойдет о том, как стать анонимным в OS Windows. Вся информация предоставлена лишь для цели ознакомления. Итак, мы попробуем скрыться от глаз пользователя в диспетчере задач Windows.
Способ, с помощью которого мы будем этого добиваться является чрезвычайно простым по отношению к тем, которые основаны на перехвате ядерных( часто недокументированных ) функций и на создании собственных драйверов.Суть метода: поиск окна Диспетчера Задач -> поиск в нем дочернего окна( списка ), содержащего имена всех процессов -> удаление из списка нашего процесса.
Как видно, что с нашим процессом никаких манипуляций производиться не будет: он как работал, так и будет себе работать. Так как стандартный рядовой пользователь Windows, как правило, не использует никаких других тулз для просмотра запущенных процессов на его компьютере, то это лишь сыграет нам «на руку». Процесс в большинстве случаев обнаружен не будет.
Что использовалось для исследования:
1) Spy++ от Microsoft ( для изучения иерархии дочерних окон Диспетчера задач )
2) OllyDBG для просмотра функций, используемых диспетчером для получения снэпшота процессов.
3) Собственно, сам taskmng.exe( Диспетчер задач )
Для написания кода будем использовать среду Delphi. Скорее, Delphi будет удобнее в нашем случае, нежели C++. Но это лишь мое скромное мнение. Что ж, первым делом попытаемся выяснить, что из себя представляет список процессов и как он работает. С полувзора понятно, что это обычное окно класса «SysListView32»( список ), которое обновляется с частотой 2 кадра в секунду( раз в 0.5 секунд ). Смотрим иерархию окон: Как видим, список процессов, в самом деле, есть обычное окно класса «SysListView32», которое является дочерним по отношению к окну(вкладке) «Процессы», которое также является дочерним по отношению к главному окну Диспетчера задач. Имеем лишь двойной уровень вложенности. Кроме того у списка имеется одно дочернее окно класса «SysHeader32», которое, как не трудно догадаться является заголовком( маркером полей ) для списка процессов.
Так как перед нами обычный список, то в нашем распоряжении целый набор макрокоманд для управления его содержимым. Их разнообразие, на первый взгляд, восхищает. Но многие из них работают лишь из родительского процесса, т.
е чтобы их нам использовать, необходимо будет сымитировать, будто они выполняются в родительском процессе.
Но таковым свойством обладают не все, в частности, макрокоманда ListView_DeleteItem, которая удаляет элемент из окна-списка( класс «SysListView32» ).
Её мы и будем использовать в процессе нашего приложения. Данная функция вторым параметром получает индекс удаляемого элемента. Теперь нам надо как-то выяснить, каким же индексом обладает элемент с лэйблом скрываемого процесса в диспетчере задач. Для этого нам нужно как-то вытащить из списка процессов в диспетчере задач все элементы( лэйблы с именами процессов ) и последовательно их сравнивать с именем того процесса, который мы желаем скрыть.
Используя макрокоманды типа ListView_GetItemText наши действия были бы примерно следующими:
1) Выделение участка памяти в процессе диспетчера задач ( VirtualAllocEx )
2) Посылка дочернему окну-списку Диспетчера задач сообщения LVM_GETITEMTEXT ( SendMessage )
3) Запись в выделенную область памяти Диспетчера задач информации об элементе списка ( WriteProcessMemory )
4) Чтение из памяти диспетчера той информации, которая нас интересует о процессе ( ReadProcessMemory )
Используя этот способ можно легко «выстрелить себе в ногу», считая байты смещения от начала различных используемых в коде структур. Так же этот способ будет достаточно тяжел для тех, кто не особо углублен в WinAPI, так что его мы сразу уберем в сторонку. В прочем, найти реализацию данного способа на просторах интернета не составит особого труда. Вместо этого, я предложу вам сформировать свой список процессов, и уже ориентируясь в нем, искать заветный индекс процесса в списке процессов Диспетчера задач.
В Microsoft решили особо не парится по поводу тулзы, именуемой «Диспетчер Задач», и использовали обычные функции WinAPI для получения всех процессов в системе. Поверхностно смотрим taskmng.exe под отладчиком:
Видим использование WinAPI функции CreateToolHelp32SnapShot.
Всем известно, что 'эту функцию можно использовать не только для получения снэпшота процессов, но и потоков процесса или модулей, например. Но в данном случае это маловероятно. Вряд ли здесь будут использовать что- то в роде енумератора процессов ( EnumProcesses ).
Мы остановились на том, что хотим сформировать свой список процессов и искать наш процесс в нем. Для этого воспользуемся той функцией, что обнаружили в отладчике. Если откроем диспетчер задач на вкладке «Процессы», то заметим, что все процессы отсортированы по алфавиту для удобства поиска. Следовательно, нам нужно получить список имен всех процессов в системе и отсортировать их по возрастанию в алфавитном порядке. Приступим к написанию кода в Delphi. Для начала создадим демонстрационное оконное приложение с двумя таймерами: первый будет переформировывать список с процессами с той же частотой, с которой это делает Диспетчер задач Windows( раз в две секунды ); второй будет срабатывать 1000 раз в секунду и будет служить для отслеживания обновления списка процессов в диспетчере и, следовательно, появления нашего скрываемого процесса. Также добавим на форму кнопку.
Код:
varind:integer;h:Thandle;last_c:integer; procedure UpdateList();varth:THandle;entry:PROCESSENTRY32;b:boolean;i,new_ind:integer;plist:TStringList;begin // Список процессовplist:=TStringList.Create; // Формируем список процессовth := CreateToolHelp32SnapShot(TH32CS_SNAPPROCESS,0);entry.
dwSize:=sizeof(PROCESSENTRY32);b:=Process32First(th,entry);while(b) dobegin plist.Add(entry.szExeFile); b:=Process32Next(th,entry);end; // Сортируем его, чтобы индексы элементов// совпадали с теми, что в диспетчере задачplist.Sort;last_c:=plist.Count; // Поиск индекса нашего процесса 'explorer.exe'for i:=1 to plist.
Count-1 doif(LowerCase(plist[i])='explorer.exe') then new_ind:=i-1; // Удаление объекта из спискаif(new_indind) then ListView_DeleteItem(h,ind);ind:=new_ind;plist.Free; // Запускаем таймер отслеживания обновлений в списке процессовif(Form1.Timer2.Enabled=false) then Form1.Timer2.Enabled:=true; end; procedure TForm1.
HideProcessButton(Sender: TObject);begin// Ищем дочернее окно класса 'SysListView32'h:=FindWindow(nil,'Диспетчер задач Windows');h:=FindWindowEx(h,0,nil,'Процессы');h:=FindWindowEx(h,0,'SysListView32',nil); // Запускаем таймер переформирования списка процессовTimer1.Enabled:=true;end; procedure TForm1.Timer1Timer(Sender: TObject);beginUpdateList();end; procedure TForm1.Timer2Timer(Sender: TObject);begin// Поиск изменений в спискеif(ListView_GetItemCount(h)>last_c) thenListView_DeleteItem(h,ind);last_c:=ListView_GetItemCount(h);end; Вот, собственно, и весь код.
Скроем, например, в Диспетчере задач процесс самого Диспетчера задач: Вот он есть: И по нажатию на кнопку «Скрыть процесс» процесс исчезает из списка: Все следы присутствия в системе стерты, а сам он спокойно выполняется в обычном режиме где-то в глубинах процессора:)
Outro
Что ж, думаю, такой способ заслуживает существовать, правда он требует небольших доработок.
Да, конечно же с его помощью нельзя скрыть процесс от самой системы, но сокрытие в стандартной тулзе Windows, которой пользуется львиная доля всех пользователей, это тоже неплохо.
Надеюсь, мне удалось вас хоть немножечко заинтересовать данной темой.
До скорого! И да пребудет с вами сила анонимности…
- Windows
- Delphi
- процессы
- скрытность
- анонимность
- программирование
Скрытия процесса в Диспетчере задач Windows | Страница 3 | xaker.name
Совсем недавно мы наткнулись на два интересных образца вредоносных программ.
Наряду с тем, что вредоносы распространялись в виде документов MS Word с эксплойтом «на борту», их структура предполагала модульность, а степень выявления антивирусными продуктами была невысока в связи с достаточно высоким уровнем обфускации [1] за счет многоразового шифрования. Мы решили взяться за изучение этого malware, а результат изложить в этой статье.
Так выглядели два файла, попавшие в наше поле зрения:
Reported for TRMSCD3L Licence expired.doc
Police report remit expired Licence.doc
Очень часто, исходя из названия, можно дедуктивно догадаться, «кем» и кому предназначен тот или иной вредоносный файл (к примеру: «Договор.doc», «Рахунок на оплату.doc» – для бухгалтеров, «Приказ НБУ №159.doc» – банкам, «Списки захопл. в зоні АТО.doc» – военным, и т.д.). В нашем случае мы можем только догадываться, так как:
— слово «Licence» – написано с ошибкой; — слова «Licence expired» и «expired Licence» говорят о том, что тематика может касаться срока действия какой-то лицензии;
— строка «TRMSCD3L», если поискать в Google, вообще ассоциируется со SWIFT CODE банка TRUST MERCHANT BANK SARL, находящегося в Демократической республике Конго (г. Лубумбаши).
В общем, в данном случае понять трудно. Видимо, атакующий очень хорошо знал жертву, так как при именовании вредоносных файлов указал целый набор едва связных посылов.
Как правило, изучение вредоносных программ осуществляется с помощью динамического (если возможно) и статического анализа. В статье опишем результаты изучения файла «Reported for TRMSCD3L Licence expired.doc».
Базовый динамический анализ
При открытии файла с помощью MS Word происходит эксплуатация уязвимости (если Вы на своем ПК не обновляли MS Word с 2012 года) и на компьютере создается файл c произвольным именем:
Path: C:Users\%USERNAME%AppDataLocalMicrosoftWindows FileName: yoymbgp.exe Md5: 11b6a2ea17d18c09cc274731f05e89b5
Помимо этого, с целью обеспечения выживаемости, файл добавляется в автозагрузку (рис. 1), для чего в реестр вносятся соответствующие изменения (имя значения также является произвольным):
RegKey Data: C:Users\%USERNAME% AppDataLocalMicrosoftWindows yoymbgp.exe RegKey Data Type: REG_SZ RegKey Value Name: atk17n5rAA RegKey Name: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
Рис. 1
Хоть это и примитивно, но мы советуем посматривать в автозагрузку вашего ПК и не допускать присутствия там неведомых вам программ. Чтобы проверить автозагрузку можно воспользоваться как штатным функционалом вашей операционной системы (в командной строке: regedit, msconfig), так и сторонним программным обеспечением.
На следующем этапе вредоносная программа запускает легитимные процессы svchost.exe и внедряет в них вредоносный код, с целью его последующей расшифровки.
Эта процедура повторяется несколько раз (вначале статьи мы упоминали о многоразовом шифровании).
Также, на этом этапе осуществляется взаимодействие между зараженным компьютером и сервером управления, откуда вредонос скачивает модули. Пример такого сетевого взаимодействия:HTTP GET-запросы: hxxp:// 95.211.204.14:80/m/228131.zip hxxp:// 95.211.204.14:80/m/721118.zip hxxp:// 95.211.204.14:80/m/958232.zip hxxp:// 95.211.204.14:80/m/855787.zip hxxp:// 95.211.204.14:80/m/5594516.zip HTTP POST-запросы: hxxp://95.211.204.14:443/$rdgate?ACTION=HELLO hxxp://95.211.204.14:443/$rdgate?ACTION=START&ID=877A74B0199241848C931A962ADC55EB hxxp://95.211.204.
14:80/test.php hxxp://95.211.204.
14:80/f9S52tseWPcDGvbEY+EbYJ4RhUnZm=AUM9a6oYAcOAV1yFsXJvsCWAbvctbESCEjhquFuqiNqF7U+LXCZNvRPI=hTC33NJIGDdksedqqxnxIzDdajIAODy2BOlYTeX6UDngpU1N65nY4namu0clLOMcuLqKCUnhRFOwgl8tn4sYTWZ4ZIEBePs0AkMG5Y1QEiqWBx=V51N3X1MY4u9Oebs8jnhHPwdJ2Twszc7yDt8YAQTWRHPgkAgjNCdrlGsnyxumtfn7tQVwg3fxRlnshF=YQsjXY0HpwxJZ5Qm7==F8bU9xCPHq6muMltO7J1cbO+JGVLNLQ7WqIkT5EEi
Статический анализ
Данный образец вредоносной программы был изрядно запакован – прежде чем приступить к его детальному изучению нам пришлось снять три «слоя» обфускации:
[binary_layer1.exe][6197736aec27686e6f63e75cac0a6d] [binary_layer2.exe][6c7441ec1b630fd299d8196367aefeea] [binary_layer3.exe][9347cb20a1ec90c61e1ff8ded379fc81]Последующее изучение проводилось в отношении распакованного образца «binary_layer3.exe».
При запуске вредоносной программы первым делом она осуществляет проверку на предмет наличия на зараженном ПК необходимых модулей («check_payload_plugin»), и, при отсутствии, инициирует их скачивание с сети Интернет. Специально для скачивания создается отдельный поток по адресу 0x00419A60 (мы его назвали «create_thread_3»).
Рис. 2
Условием выполнение потока 2 («create_thread_2») является наличие в реестре скачанных и записанных в реестр модулей вредоносной программы (рис. 3-4):
RagKey Name: HKCUSoftwareGoogleUpdateetworksecure
Рис. 3
Рис. 4
Пример состояния реестра после скачивания необходимых модулей приведен на рис. 5. Все скачанные модули хранятся в реестре в зашифрованном виде. Имена ключей в реестре также являются произвольными.
Рис. 5
Некоторые артефакты сетевого взаимодействия зараженного ПК и сервера управления (IP-адрес сервера управления, а также URL, используемый для отправки HTTP-запроса):
Рис. 6
Рассмотрим более детально последовательность действий, выполняемых потоком 2, так как именно он играет ключевую роль в расшифровке вредоносных модулей. Потоком 2 последовательно осуществляется составление списка модулей (рис. 7), расшифровка и проверка их имен (рис. 8). Ключ для расшифровки каждого модуля уникален и является изменяемым значением (рис. 9).
Рис. 7
Рис. 8
Рис. 9
После успешной расшифровки данных, записанных под непонятными именами в реестр, получаем читаемый и говорящий сам за себя список модулей.Bot_Engine.bin
PONY_STEALER.bin
REMOTE_DESKTOP_SERVICE.bin
SECURITY.bin
VNC_HIDE_DESKTOP.bin
Алгоритм расшифровки модулей может быть описан таким псевдокодом:
Переменные:
enc_byte зашифрованный байт dec_byte расшифрованный байт HIBYTE извлекает старший байт из данного 16-разрядного значения LOBYTE извлекает младший байт из данного 16-разрядного значения HIWORD извлекает старшое слово из данного 32-разрядного значения LOWORD извлекает младшее слово из данного 32-разрядного значения _DWORD двойное слово (4 байта) _WORD слово (2 байта) key ключ, состоящий из 6 байт size размер зашифрованного массива
Псевдокод:
v0 := *(_DWORD*) key; v1 := *(_WORD*) (key + 4); for (i := 0; i < size; i++) { dec_byte := enc_byte HIBYTE(v1); v1 := HIWORD(v0) + LOWORD(v0) * (uint8)(LOBYTE(v1) + dec_byte); ++enc_byte; ++dec_byte; —size; }
Рассмотрим полученные модули по порядку.
Bot_Engine.bin
Этот модуль должен быть запущен под названием svchost.exe или explorer.exe, иначе он заблаговременно закончит свое исполнение. Пример проверки имени процесса представлен на рис. 10.
Рис. 10-1
Рис. 10-2
Основным предназначением модуля является запуск других модулей. Пример создания потоков для других модулей отображен на рис. 11.
Рис. 11
PONY_STEALER.bin Этот модуль представляет собою не что иное, как одноименную вредоносную программу Pony, функционал которой предусматривает хищение логинов, паролей, кошельков криптовалют. На момент исследования административная панель сервера управления Pony находилась по адресу:
http://95.211.204.14/test.php
REMOTE_DESKTOP_SERVICE.bin Модуль, обеспечивающий скрытый удаленный доступ к компьютеру жертвы посредством протокола RDP и создания обратного соединения (back-connect). Адрес для обратного соединения:
95.211.204.14:443
SECURITY.bin
Данный модуль обеспечивал проверку фактов присутствия на компьютере антивирусного программного обеспечения и других, обеспечивающих безопасность компьютера, программ (рис. 12).
Рис. 12
VNC_HIDE_DESKTOP.bin Модуль, обеспечивающий скрытый удаленный доступ к компьютеру жертвы посредством протокола VNC и создания обратного соединения (back-connect). Адрес для обратного соединения:
95.211.204.14:8098
Вместо заключения.
Данная статья создавалась с целью демонстрации, на примере актуальных атак, возможностей, тактик и техник заинтересованных лиц по получению скрытого доступа к компьютеру исследуемого объекта, а также для повышения уровня всеобщей осведомленности в вопросах информационной безопасности.
Рассмотренная в статье атака была зафиксирована в первой декаде октября, исходя из чего, мы допускаем, что актуальность приведенных индикаторов компрометации (IP-адреса, в частности) может быть под вопросом.
Следует отметить, что согласно данным Passive DNS (грубо говоря – истории соответствия доменных имен и IP-адресов) в первом квартале 2014 года IP-адрес 95.211.204.14 соответствовал доменному имени severodvinsk-bux.
ru, которое принадлежит веб-сайту, специализирующемуся на рекламе.
Это может означать ровным счетом ничего (так как прошло больше года, да и сайт сей меняет «айпишники» как перчатки), но, для полноты картины, мы добавили эту частичку информации.
Отдел реагирования на инциденты CyS Centrum
Использованные материалы:
[1] https://ru.wikipedia.org/wiki/Обфускация
Как скрыть процесс в диспетчере задач без дополнительного софта
Бывают ситуации, когда нужно установить и использовать программу в тайне от другого человека, разбирающегося в компьютерах и часто поглядывающего в процессы диспетчера задач при зависании или нестабильной работе устройства. Иногда требуется активировать слежение за компьютером, чтобы его не захламляли ненужными файлами. В других случаях требуется проследить за человеком. Причин может быть очень много, у каждого они свои.
Что такое процессы?
Процесс – это программа, которая выполняется на компьютере и занимает определенное место в оперативной памяти.
Процессы делятся на:
Системные (программы и утилиты, которые являются компонентами операционной системы и любое экстренное завершение одного из них может повлечь негативные последствия, вроде, сбоя в Windows).
Анонимные (встречаются крайне редко, являются файлами программ, которые запускаются как вспомогательные из-за манипуляций пользователя, без запроса разрешения на запуск).
Network/Local (процессы в диспетчере задач, связанные с локальной сетью, Интернетом и реестром, являются важными программами и компонентами Windows).
Пользовательские (программы, которые запущены пользователем).
Можно ли определить «левый» процесс?
Определить «левый» процесс можно не всегда. Если человек, который создал его и капитально замаскировал, вряд ли его сможет вычислить даже опытный компьютерный инженер, без получения намека на этот факт и детального изучения поведения каждого процесса.
Впрочем, человек, который уверен, что на компьютере висит лишняя программа, да еще и плохо замаскированная, сможет вычислить ее в считанные минуты.
Как скрыть процесс в диспетчере задач?
Самый простой вариант, скрытия процесса – переименовать основной исполняемый файл. Но стоит учесть, каким образом работает программа и не создает ли она дополнительные процессы, выдающие ее.
Если лишних процессов нет, тогда можно приступать:
1. Откройте папку с исполняемым файлом. Это можно сделать несколькими путями: если вы знаете, где размещен файл, можете перейти в папку с ним, или щелкнуть по процессу правой кнопкой мыши и выбрать пункт «Открыть местоположение файла».
2. После перехода в папку найдите исполняемый файл, он должен совпадать с названием процесса в диспетчере.
3. Переименуйте файл так, чтобы было трудно определить замену названия. Выполнить переименование можно через одноименный пункт контекстного меню. Расширение файла по-прежнему должно быть исполняемым файлом (.ехе).4. Перейдите в диспетчер задач и посмотрите на процесс, который вы сами изменили.
Все прошло отлично, но процесс виден и его следует замаскировать так, чтобы никто не догадался о его реальном назначении? Для этого стоит учесть несколько нюансов, которые могут позволить вам скрыть процесс в диспетчере задач без чьей-либо помощи.
Процесс должен быть похож на ту программу, которая создает много собственных копий и она включена всегда. Четкий пример тому – все браузеры на движке Crome, или на постоянно запущенной программе Windows, которая не вызовет подозрений.
Названия можно менять с переключением русско-английских букв, например, заменив английскую на русскую и исправив иностранные буквы: а, б, д, е.
В заключение нужно отметить, что возможно, потребуется переименовать еще несколько файлов, которые являются «подпроцессами» программы.
Надеемся, вы поняли, как скрыть процесс в Windows. Экспериментируйте, прячьте, обучайтесь.
Интернет
Текст письма побуждает вас открыть прикрепленный документ, зайти по указанной ссылке. Для этого вам предлагается увидеть случайно высланные фотографии обнаженных девушек, заполучить лотерейный выигрыш, вступить в переписку со злоумышленником.Виды з…
Операционные системы
Персональный компьютер под управлением операционной системы (OC) Windows 10 систематично отсылает персональные данные пользователей в службу поддержки корпорации Microsoft. Некоторая информация носит конфиденциальный характер, что не устраивает рядов…
Интернет
Пожалуй, сейчас не найдется ни одного родителя, который бы не переживал о том, что его ребенок может случайно зайти на сайт с шокирующим или непристойным контентом. Запрещать пользоваться Интернетом в принципе — мера довольно отчайная и по большому с…
Компьютеры
Очень часто, при повседневных работах на компьютере, особенно на таком мобильном устройстве, как ноутбук, требуется настроить яркость экрана под определенные условия. Так, например, при чрезмерном освещении в помещении яркость экрана следует увеличит…
Интернет
Блокировка сайтов может быть вызвана даже в ситуациях, когда они не содержат вредоносных программ и вирусов. Например, страницы могут банить из-за несоответствия контента законодательству. В некоторых ситуациях руководители компаний могут прибегать к…
Программы и приложения
Что вообще стоит понимать под идеальной домашней сетью? В первую очередь это объединение различных устройств, получить доступ к которым вы без проблем сможете, где бы ни находились. Например, приехали на работу или учебу, но забыли сбросить с компьют…
Как исправить скрытый процесс в диспетчере задач
скрыть процесс в диспетчере задач обычно вызвано неверно настроенными системными настройками или нерегулярными записями в реестре Windows.
Эта ошибка может быть исправлена специальным программным обеспечением, которое восстанавливает реестр и настраивает системные настройки для восстановления стабильности
Если у вас есть процесс скрытия в диспетчере задач, мы настоятельно рекомендуем вам Загрузить (скрыть процесс в диспетчере задач) Repair Tool.
В этой статье содержится информация о том, как исправить скрытый процесс в диспетчере задач как (вручную), так и (автоматически). Кроме того, эта статья поможет вам устранить некоторые распространенные сообщения об ошибках, связанные с процессом скрытия в диспетчере задач, который вы можете получить.
Внимание: Эта статья была обновлено на 2018-12-25 и ранее опубликованный под WIKI_Q210794
скрытие процесса в диспетчере задач — это имя ошибки, содержащее сведения об ошибке, в том числе о том, почему это произошло, какой системный компонент или приложение вышло из строя, чтобы вызвать эту ошибку вместе с некоторой другой информацией.
Численный код в имени ошибки содержит данные, которые могут быть расшифрованы производителем неисправного компонента или приложения.
Ошибка, использующая этот код, может возникать во многих разных местах внутри системы, поэтому, несмотря на то, что она содержит некоторые данные в ее имени, пользователю все же сложно определить и исправить причину ошибки без особых технических знаний или соответствующего программного обеспечения.
Причины процесса скрытия в диспетчере задач?
Если вы получили эту ошибку на своем ПК, это означает, что произошла сбой в работе вашей системы.
Общие причины включают неправильную или неудачную установку или удаление программного обеспечения, которое может привести к недействительным записям в вашем реестре Windows, последствиям атаки вирусов или вредоносных программ, неправильному отключению системы из-за сбоя питания или другого фактора, кто-то с небольшими техническими знаниями, случайно удалив необходимый системный файл или запись в реестре, а также ряд других причин. Непосредственной причиной ошибки «скрыть процесс в диспетчере задач» является неспособность правильно выполнить одну из своих нормальных операций с помощью системного или прикладного компонента.
Дополнительная информация о скрытии процесса в диспетчере задач
РЕКОМЕНДУЕМЫЕ: Нажмите здесь, чтобы исправить ошибки Windows и оптимизировать производительность системы.
Я хочу скрыть или отобразить процесс, который запущен в процессе в диспетчере задач, любые идеи о том, как это сделать. Благодарю.
Или вы можете порекомендовать программу, которая это делает, но я бы предпочел, чтобы это было возможно без помощи программы. Как скрыть процесс в диспетчере задач
Как я могу управлять менеджером задач Это было бы похоже на вождение автомобиля без поворота колес.
Есть ли способ запустить процесс / приложение, но он не должен отображаться в диспетчере задач.
Скрыть или заблокировать процесс в диспетчере задач из закрытого
Я был бы очень признателен за возможную причину, по которой мне нужно будет удалить ее когда-нибудь …
Я оставил ее, поэтому я могу ее удалить, потому что хорошо, поэтому я могу войти в хорошую счастливую процедуру.Единственная проблема заключается в том, что я могу просто войти в диспетчер задач и ночью, чтобы я мог вернуться к обычной рутине. Его никогда не оставлять одно безопасное положение.
Я хочу остановить меня от использования компьютера ночью заранее! Я знаю, что не удалю его, а потому, что это легко. Чтобы остановить меня, я запросил пароль с паролем, и я смог закончить процесс и восстановить соединение, и я могу сделать то, что хочу снова. Но потому, что я могу просто закрыть или скрыть его, чтобы я не мог закрыть его так.
И я знаю лучше, чем ответ! Поэтому я хотел прочь, в котором я могу заблокировать процессы из процесса и завершить его …
Недавно я установил программу, чтобы заблокировать мой интернет в какой-то бессмысленной форме. Спасибо, так просто, чтобы просто перейти к процессам и закончить их …
Его просто не помню с головы, попытался сделать это как можно более случайным. Как скрыть задачу, запущенную в диспетчере задач?
Привет, я не уверен, что я приложение Я ищу метод, чтобы приложение расширялось … Возможно ли это?
Привет, я не уверен, что вопрос о том, что я нажимаю, противоречит правилам этого веб-сайта.
Если он спрашивает, нарушает правила этого сайта. Нажмите, чтобы развернуть … Удалите эту тему. Работа выполняется в фоновом режиме, но не отображается в диспетчере задач. [BAT FILE] Использование BAT для выхода из процесса диспетчера задач
Спасибо, -Цифр.
диспетчер задач пытается скрыть
Я не могу использовать ctrl + alt + del, чтобы вызвать диспетчер задач. Мой веб-поиск, похоже, был связан с странным поведением и выполнял сканирование. Подумав что-то, возможно, было повреждено highjackthis, я удалил его и загрузил и установил его снова.
Я не знаю, как это сделать, но я был бы признателен, если бы кто-то сделал highjack, это начало действовать странно, и это просто не удалит его. поднимите его с помощью ctrl + shift + esc, но также прочитайте, что у меня может быть вредоносное ПО. Я полагаю, что пришло время узнать, как прошлое, и я чувствовал себя в безопасности, «исправляя» его с помощью Hijackthis. Я открыл Hijack this
Я googled «потерял мой менеджер задач и нашел информацию, которая позволила мне эффективно использовать его так, вот и я. Тем не менее, пытаясь исправить один экземпляр этого несколько минут назад, можно сказать, как загрузить журнал, и если у меня есть плохие вещи. Скрыть диск из Диспетчера задач? — Windows 8.1
Итак, у меня есть стандартный диск (диск 0), где все мои будут 100% для диска 0 и 0% для диска 1. Являются ли файлы и небольшой SSD (диск 1) для ускорения работы моей системы. Он завинчивает проценты: использование диска 50% возможно? Диспетчер задач показывает оба, хотя это и есть.Я хочу скрыть диск 1 от диспетчера задач. Попробуйте управлять дисками и не назначьте диск буквой. Windows не должна «видеть», что маленький SSD практически никогда не используется. Диспетчер задач — вкладка «Процесс»
Все это необходимо, работая в фоновом режиме (services.exe, cachemgr.exe и т. Д.).
Мой диспетчер задач показывает 37 различные процессы или я могу отключить его? Диспетчер задач не закончит процесс? !!
Привет, я не могу убить его из диспетчера задач. Я получаю это сейчас и WinPatrol 18
В основном программа зависает, а затем я Win Patrol и считаю, что она работает очень хорошо, убивая процесс. BillP Studios — разочарование, а также очень важное.
заранее спасибо
Я использую бесплатную версию там … Это происходит чаще всего с интернет-браузером Firefox, и это действительно раздражает. я перезагружаю его, убивает его перед перезагрузкой … Ну, я нахожусь на рабочей системе, и мы запускаем сложные вычисления для моей статистической информации.
Теперь win7 «может» сделать это, если, но я также получаю его от других вещей. Эти расчеты могут занять несколько дней, и я могу помочь. Это действительно не перезагрузка или выход из моей системы в течение этого времени. Название процесса диспетчера задач
Я продолжаю слышать это, но я действительно не понимаю, почему это было бы Можете ли вы привести пример?
Имя процесса менеджера задач отличается на разных языках?
когда я заканчиваю процесс в диспетчере задач,
На процессоре acer tower спасибо за любую помощь. Диспетчер задач не завершает процесс
Или есть какой-то параметр Win, который при каких условиях диспетчер задач не сможет завершить процесс. боб
есть идеи. Может ли код вводиться при запуске exe?
Запуск Win 7 Pro 64bit и AvastВ диспетчере задач | Процессы, я исключаю это? TIA для просмотра трех экземпляров одного и того же Hello.exe
Ни один из них не может быть завершен без перезапуска.
процесс диспетчера задач
Это если вам не нужна боковая панель, которая занимает много памяти, и это бесполезно) Может, t остановить процесс в диспетчере задач!
Диспетчер задач не может завершить процесс
Есть ли другой способ прекратить работу XP или дома? Как вы установили SP2?
У вас есть только Windows SP1? Был ли процесс inst в других окнах, кроме использования диспетчера задач?
неизвестный процесс в диспетчере задач
Привет, queenbeecanada. Это хорошая информация, но я не знаком со временем, все для разных видов рекламы. Это то, что я сделал, и до сих пор он, похоже, имеет этот файл, поэтому я не могу помочь. Вы запустили временный файл
(на всякий случай кто-то там сталкивается с этой проблемой). Кроме того, что ничего не происходит и пытаются избавиться от него. Затем отключите восстановление системы и перезагрузите ее в безопасный режим (и снова он ничего не найдет). EDIT: перешел с форума XP на Am I Infected, более подходящий форум ~ Hamluis.
Мой интернет-исследователь продолжал открывать несколько страниц в диспетчере задач и для чего они существуют. Надеюсь, это поможет кому-то еще, кто может быть в этом положении
Надеюсь, я помещу эту информацию позже, что это был какой-то вирус или вредоносное ПО. Затем перезагрузите и включите восстановление системы.
нажав клавишу F5, как только она начнет загружаться. Пару дней назад я загрузил программу и нашел более чистым, например TFC, с помощью старого таймера?
Я часто прихожу на этот сайт, чтобы проверить, какие определенные процессы. Поэтому я решил, что крыло, похоже, изменилось в моей системе. Включите восстановление системы и запустите malwarebytes снова в нужном месте, я новичок в написании на форумах. Неизвестный процесс диспетчера задач.
ваша машина?
Где он находится Не удается найти его на google. Странный процесс в диспетчере задач
Я предполагаю, что его вредоносное ПО или что-то, что я просто не могу потрудиться, очистить или сформировать свой компьютер еще. Диспетчер задач Windows, конечный процесс
Как получить этот запуск вирусов, шпионских или ресурсных свиней ….. некоторые из них «закончат», используя кнопку завершения процесса.
И два просто не отвечают или не всплывают никаких сообщений об ошибках, а показывают «критические» сообщения процесса и не заканчиваются. При завершении «процессов» в диспетчере задач я обнаружил несколько вирусов, защищенных (?) И запуск брандмауэра ……..
Один из вызванных svchost.exe завершает работу или сбой моего компьютера и вообще запускает «процессы» с компьютера?
Я пытаюсь очистить компьютер. Некоторые (определенные как вирус) появляются, когда я «завершаю процесс» с помощью кнопки диспетчера задач …….. hmmmnn. Windows XP, домашняя версия, все обновления, довольно новая машина, чтобы быть вирусом, шпионским ПО или ресурсоемками в соответствии с веб-сайтом онлайн-определений.
Процесс диспетчера задач «orlyip.exe * 32»
Запустить задачу ID процесса 7 Task Manager
Кажется, что оба компьютера работают нормально, без каких-либо результатов Кроме того, если я щелкнул правой кнопкой мыши, чтобы найти проблемы, но я нервничаю, что эти процессы не могут быть идентифицированы. Http://www.malwarebytes.org/mbam.phpЯ, например, основанный на пути или открывающий окно свойств, ничего не происходит. были заражены вирусом или трояном?
Добро пожаловать,
Вы можете быть уверены в своей ситуации, основываясь на том, чтобы сообщить нам ваше объяснение, что вы в порядке. Возможно, что у них есть сквозная антивирусная проверка и загрузка и запуск malwarebytes.