Ну, у многих сейчас дома помимо настольного ПК есть еще и ноутбук/нетбук, с которого, в случае чего, можно по сети подредактировать реестр зараженного компьютера.
То что на ring0 нет ничего невозможного, все мы прекрасно знаем. Но мне кажеться это не универсальный способ. Не все уже бездумно выключают UAC, а чтобы внедрить свой драйвер нужны привилегии, ну и опять же таки, антивири не дремлют :)
Любой мало-мальски грамотный админ без проблем удаленно включит «удалённый реестр» (извините за тафтологию) и откроет необходимые порты/использует Dameware, Radmin, etc.
в настоящее время процесс можно лишь спрятать в нитях, и то это сложно!
Процессы могут обладать нитями, нити обладать процессами не могут.
Или вы имели ввиду создание своего потока в чужом процессе? Это не так уж и сложно, но большинство антивирусов давно научились перехватывать CreateRemoteThread, хотя все еще изловчиться можно :)
Эта функция существовала еще во времена Win95/98, в версиях повыше ее уже небыло. А скрывала процесс она только из тогдашнего встроенного Диспетчера задач (он по функциональности был сравним с вкладкой Applications у нынешнего TaskMgr).
Настоящие Process View'ерами «крысу» показывали как на ладони.
Можно просто снять блокировку с TaskManager'а и заодно и с Regedit'a: reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
Ну и вместо HKLM можно еще HKCU.
Еще можно посылать определнные байты на особые порты, VM их перехватывает и присылает ответы, я думаю по такому принципу и работают «Гостевые дополнения».
Процессы тоже по-разному можно смотреть. Самый легкий, «нестандартный» способ — через WMI.
Когда-то даже писал мини-антируткит который смотрел процессы обычным способом, как это делает TaskMgr и запросом выбирал данные о процессах через WMI, а затем сравнивал результаты. Но единственное что тогда поймал защитный модуль какого-то стоявшего в то время на компьютере антивиря.
Фи, как банально сделана проверка…
Парни из Интел могли бы бить и пооригинальнее, например проверять наличие «родных» (присутствие «чужих») технологий.
И таки да, подленько это.
Процессы могут обладать нитями, нити обладать процессами не могут.
Или вы имели ввиду создание своего потока в чужом процессе? Это не так уж и сложно, но большинство антивирусов давно научились перехватывать CreateRemoteThread, хотя все еще изловчиться можно :)
Настоящие Process View'ерами «крысу» показывали как на ладони.
reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
Ну и вместо HKLM можно еще HKCU.
Когда-то даже писал мини-антируткит который смотрел процессы обычным способом, как это делает TaskMgr и запросом выбирал данные о процессах через WMI, а затем сравнивал результаты. Но единственное что тогда поймал защитный модуль какого-то стоявшего в то время на компьютере антивиря.
Парни из Интел могли бы бить и пооригинальнее, например проверять наличие «родных» (присутствие «чужих») технологий.
И таки да, подленько это.