ProcessHiding Korumalı Processviewer
by Me
http://www15.brinkster.com/criminal2/KList.zip
(WinXP)

kaşık yok orda açılmıyor

ok düzelttim linki sağol

güzel bir program process hiding 9x'lerde vardı xp'de olmuyor sanıyordum kullanmak üzere arşivime aldım saygılar. teşekkürler.

:hmmm: BU PROGRAM ŞÜPHELİ windows\system32\drivers içinde svchost.exe programını çalıştırıyor bu svchost.exe programı sıkıştırılmış sanırım trocan felan eğer process hiding diye bişey varsa kendiini görev yöneticisinde niye gizleyemiyor ŞÜPHELİ işte yönetiçi abiler bi baksın :D

1....
istesem tabi kendisini gizlerim neden olmasın ama bir işe yaramaz ki ? yani sebeb yok

SystemRoot\drivers\KProgLog.sys 'yi kopyalıyor.(Eğer Gelişmiş Process Kayıtını başlatırsanız)Ve Driver olarak sisteme yüklüyor
Kendi dizininde KList.sys'yi kopyalıyor ve Driver olarak sisteme yüklüyor.Programın kapanması ile birlikte KList.sys sistemtende kaldırılıyor.

-----KList.sys-----
Sistemdeki Windowsun Process'ları bilgilerini sakladığı Hafıza bölgesinden EPROCCES zincirlerini okuyor.Bu bölge ve bu bölgenin tanımı her windows sürümünde değiştiği için program şu na sadece WinXP'de çalışıyor.Process dosya isimlerini zaten siz Programın GUI arabirimi sayesinde görebiliyorsunuz.

Bu yüzen SystemTableHooks benzeri türevi sistemler ile processhide yapılamıyor.

Sisteme yüklenen modullerin listesi ise Processlar kadar derin bir yerden çıkartılmıyor. ZwQuerySystemInformation kullanıyor.Pek güçlü değil...
----KProgLog.sys-----
KProhLog.sys bir KMD(Kernel Mode Driver) olduğu için sistem boot sırasında başlatılma önceliği diğer programlar göre yüksek oluyor.
PsSetCreateProcessNotifyRoutine
PsSetCreateThreadNotifyRoutine
PsSetLoadImageNotifyRoutine
kullanarak bilgisyarı yeniden başlatığınızda yüklenen herşeyi C:\ altındaki log dosyalarında tutuyor.Bu modül herhangi bir grafik arabirim içermiyor.
Bazı programlar EPROCCES zincirlerini değiştirse bile bu sayede kolayca fark ediliyorlar.

kötü emellerinize alet etmediğiniz sürece kaynak kodları verebilirim

özürdilerim euclides abi yanlış alarm benim drivers'in içindeki svchost.exe (nerden geldiyse) kafamı karıştırdı. saygılar. :super:

gerçektende drivers altında svchost.exe'yok ona dikkat et..

ya benim şimde hep kafam karıştı şimdi diyelim ki bazen oluyor ya benim bir modem yada başka bir aygıt olsun onun sürücüsüne ihtiyacım var internetten bir sürücü buldum yükledim aygıtım çalışmaya başladı memnunum, peki bu aygıt sürücüleri mimarisinde aygıt sürücü .sys programı hangi haklara sahip? bir virüs gibi görev yapabilir mi? dialerlık, trocanlık, özel bilgilerin internete gönderilmesi euclides abi sürücü tipi virüs olabilir mi senin bu konuda anlaşılan bilgin çok aydınlatır mısın bizi saygılar.

Eğer bir *.sys dosyası Driver olarak yüklenirse sistemden Adminde daha yetkili olur.
Yani bir başka değişle Windowsun bir parcası haline gelir.Sen onun yaptıkları Firewall ile gözlemleyemez ve engelleyemezsin.

Zaten eskiden win9x zamanında indirect infection virusler böyle çalışıyordu.hatta ilk örneklerinin VxD dosyaları vardı....

egerki firewall da bir sys olarak calismiyorsa.

hayır, zaten bazı "oxwall"ları saymaksak firewallar NDIS filter driverlardır.Eğer zaten sen bir şekilde(*.sys veya bazı açıklarla) ring-0'a ulaşmışsan filter driverları bypasslayıp NDIS'a direkt konuşabilirsin...

Hımm Bu konuda matrix te bir arama başlatılsın. Smith program üretmiş kontrol edelim :)

:) kömik

euclides merak edip yukleyip çalıştırdım senin programı. c de bir kaç log dosyası oluşturdu :) birşey anlamadım tabi. şimdi ben bu logları nasıl silicem silinmiyolar.

yaa dediklerinizden hiç bişey anlamadım başlıktan bile :) açıklama yaparsanız çok memnun olucaz

ResTWell Programdaki Log sistemini açmışsın.
Programı tekrar çalıştır. Daha önceden Log'u başlatmaya yarayan tuşun üsütnde şu yazacak "Gelişmiş kayıt sistemini durdur" buna bas. Bilgisayarını yeniden başlatığında Log'ları silebileceksin...

:) bu bana sen admin deilsin diyo yaa. açamıyom şimdi. ben adminim....

Windows\System32\Driver\KProgLog.sys'i, sil
yeniden başlat...
sonra log'ları silebilirsin...

ne işe yarıyor bu program???

1.SAYFAYI OKUMAYI DENE ! ! ! !
http://forum.ceviz.net/showthread.php?t=8218&page=1&pp=15

Euclides cok bagırıyosun.AspKid bir nevi guvenlik programı.senin calısan processlerini gözetiyor.Herhangi bir backdoor un veya benzeri ürünün processine sızmasına karşı koruma yani.

1.SAYFAYI OKUMAYI DENE ! ! ! !
http://forum.ceviz.net/showthread.php?t=8218&page=1&pp=15

kardeşim 2. sayfaya kadar gelmişsem zaten 1. sayfayı büyük bie ihtimalle okumuşumdur. 1. sayfada bişey yazılmamış ki buarada yazdıklarınız sorumun cvbı olduğu halde eger ben anlamıyorsam bu benim sucum değil. çünkü senin ya da bir başkasının bildiklerini benim yada bir başkasının bilme zorunluluğu yok! sora sora araştıra araştıra değil mi burada gördüğüm bir konuyu yine burada sormak yerinegidip google da araştırmam saçma olmaz mı yaa bu forumda neden benim gibi bazı insanlar hep birilerine açıklamak yapmak zorunda kalıyor.. çünkü bazı insanlar düşünmeden konusuyor sanırım..