Получить доступ к низкоуровневой информации о системе можно и иным способом, если интересует только информация. Windows предоставляет, между прочим, программный подход при помощи Win32 API к работе c cmd и PowerShell. Про это все забыли, зачитавшись Рихтера. При определённых задачах NtQuerySystemInformation может быть и не актуальна - так как детектится по вызову любыми а-вирами. А вот PowerShell или даже устаревший cmd - никто не проверяет, так как забыли про это. А между прочим, через PowerShell можно, умеючи, очень незаметно работать с Windows Defender и не только - даже менять уровень доступа практически незаметно... Но это так, - реклама на будущие ролики... , если Мелкомягкие и дальше будут старшекурсников медноголовых к себе на работу набирать в целях экономии бюджета в надежде на дальнейшую дебилизацию, ммм..., извините - "Питонизаццию" кодописателей :). Ну а вообще - Спасибо за поддержку! Чрезвычайно благодарен!
@@firststepsforward Хм... И не знал про подход с cmd и PowerShell. Благодарю за наводку. Баловался когда-то с NtQuerySystemInformation. Задача была скрыть процесс игрового бота от игры. Запускал перехватчик через помещение dll-ки в AppInitDlls в реестре. Саму dll-ку таки пришлось добавлять в исключения. Антивирус палил ее на раз-два сразу после сборки в VS.
Такую задачу через PowerShell не получится. Там - статистика только, если нужно. Или из/в исключения антивируса. Скрыть процесс можно без DLL-ки, внедрившись в код чужого процесса. Это возможно, если не стоит защита от такого внедрения (если Вы про Контру). Но даже в этом случае можно посмотреть на количество процессов и потоков. Может быть, один к себе и пропустит :).
@@firststepsforwardТам ещё фишка в том, что статистику можно подчищать. Перехватываем вызов, удаляем нужный процесс, возвращаем управление. Все процессы, которые используют эту функцию получают измененный список. Вроде перехвата прерывания в ДОСе. Так можно спрятать нужный процесс от большинства диспетчеров задач. P.S. По инжекту кода в чужой процесс здорово было бы пройтись в последующих выпусках. Тема вечная.
У меня где-то был руткит, который убирал название процесса - делая его невидимым или вообще менял на любое новое имя. Но руткит - 32 битный. Код был сложноват, я его из ехе-шника наковырял - он первично на Си был, но исходников я не нашёл. Да, перехват функций, включая системные - дело заманчивое. Однако сейчас Win Defender любой перехват будет пытаться заблочить как опасный, впрочем, как и внедрение в чужой процесс.. Вот в этих вопросах PowerShell и может помочь, как ни странно. Через него работа с Win Defender организована на официальном уровне. Минус в том, что PowerShell меняется от версии к версии. Стандартного кода для всех версий Винды, даже для 10-ки и 11-ки написать не возможно. Но хотя бы как-то... Может, конечно ещё какие-то способы обхода есть, но я их не знаю. Однако, если не становиться на тёмную сторону силы, то возможности перехвата и внедрения тоже достаточно востребованы. С этого и будем исходить.
![KSI - Dirty [Official Visualiser]](http://i.ytimg.com/vi/VoDh1h1dPUE/mqdefault.jpg)
Ммм, какой интересный канал😊
Спасибо!
Очень ожидаемое видео! Большое спасибо! Наконец-то серьезная практика подъехала!
Благодарю!
Годнота подъехала. Ждем NtQuerySystemInformation
Получить доступ к низкоуровневой информации о системе можно и иным способом, если интересует только информация. Windows предоставляет, между прочим, программный подход при помощи Win32 API к работе c cmd и PowerShell. Про это все забыли, зачитавшись Рихтера.
При определённых задачах NtQuerySystemInformation может быть и не актуальна - так как детектится по вызову любыми а-вирами. А вот PowerShell или даже устаревший cmd - никто не проверяет, так как забыли про это.
А между прочим, через PowerShell можно, умеючи, очень незаметно работать с Windows Defender и не только - даже менять уровень доступа практически незаметно...
Но это так, - реклама на будущие ролики... , если Мелкомягкие и дальше будут старшекурсников медноголовых к себе на работу набирать в целях экономии бюджета в надежде на дальнейшую дебилизацию, ммм..., извините - "Питонизаццию" кодописателей :).
Ну а вообще - Спасибо за поддержку! Чрезвычайно благодарен!
@@firststepsforward Хм... И не знал про подход с cmd и PowerShell. Благодарю за наводку. Баловался когда-то с NtQuerySystemInformation. Задача была скрыть процесс игрового бота от игры. Запускал перехватчик через помещение dll-ки в AppInitDlls в реестре. Саму dll-ку таки пришлось добавлять в исключения. Антивирус палил ее на раз-два сразу после сборки в VS.
Такую задачу через PowerShell не получится. Там - статистика только, если нужно. Или из/в исключения антивируса. Скрыть процесс можно без DLL-ки, внедрившись в код чужого процесса. Это возможно, если не стоит защита от такого внедрения (если Вы про Контру). Но даже в этом случае можно посмотреть на количество процессов и потоков. Может быть, один к себе и пропустит :).
@@firststepsforwardТам ещё фишка в том, что статистику можно подчищать. Перехватываем вызов, удаляем нужный процесс, возвращаем управление. Все процессы, которые используют эту функцию получают измененный список. Вроде перехвата прерывания в ДОСе. Так можно спрятать нужный процесс от большинства диспетчеров задач.
P.S. По инжекту кода в чужой процесс здорово было бы пройтись в последующих выпусках. Тема вечная.
У меня где-то был руткит, который убирал название процесса - делая его невидимым или вообще менял на любое новое имя. Но руткит - 32 битный. Код был сложноват, я его из ехе-шника наковырял - он первично на Си был, но исходников я не нашёл.
Да, перехват функций, включая системные - дело заманчивое.
Однако сейчас Win Defender любой перехват будет пытаться заблочить как опасный, впрочем, как и внедрение в чужой процесс..
Вот в этих вопросах PowerShell и может помочь, как ни странно. Через него работа с Win Defender организована на официальном уровне.
Минус в том, что PowerShell меняется от версии к версии. Стандартного кода для всех версий Винды, даже для 10-ки и 11-ки написать не возможно. Но хотя бы как-то...
Может, конечно ещё какие-то способы обхода есть, но я их не знаю.
Однако, если не становиться на тёмную сторону силы, то возможности перехвата и внедрения тоже достаточно востребованы. С этого и будем исходить.
Надо ещё урок по печаталке записать
Чтобы программа печатала самостоятельно
❤
Интересная мысль...
А какое практическо-хакерское применение (желательно ответ в телегу, чтобы не удалять :)?
Всем привет
Йоханга, мальчишки и девчонки! ;)
Опано будет пользоваться любого рода кошельков если данный софт будет передавать получаемые данные во внешнюю сеть вместо сохранения локально
Ножом не только хлеб нарезают, конечно...