Есть взможность скрыть процесс в 9х хуком Process32First,Process32Next.
Подскажите как скрыть процесс в НТ желательно без исп. драйверов.

Invisibility by Y0da

Без дров, IMHO, никак.

Можно также хуком на NTQuerySystemInformation и несколько других. Правда лучше все же через драйвер, стабильнее.

Ну дык если хукать NTQuerySystemInformation из третьего кольца, то придется делать это в каждом процессе, ибо под NT ntdll у каждго процесса своя. Да еще отслеживать появление новых процессов - тоже видимо хуками.
IMHO, шибко геморройно будет, если вообще осуществимо.

Осуществимо, но как я уже писал через драйвер это реализуется лучше.
Потому как из ring 3 слишком много проблем. А отслеживать появление новых процессов нужно только для консольных приложений, к GUI-приложениям dll будет сама подключаться, если поставить хук на получение сообщений.

Вот и я про то же - слишком геморройно, быстрее дровину написать.

Four-F
шибко геморройно будет, если вообще осуществимо

осуществимо и легко - в реестре есть ключик InitDLLs (кажется так) - указанные длл-ки грузяться в каждый процесс при запуске, а из нее можно хукать все что угодно.
Причем грузяться еще до окна Ctrl-Alt-Del, я так когда-то систему насмерть завалил, после чего прекратил эти эксперименты.
Проблема в том, что чтобы прописаться в данный ключик нужны права админа :(

В статье СТАТЬИ > Секреты Win32 > Система перехвата функций API платформы Win32. Описн метод скрытия НТ процесса. Все нормально, но собрать воедино у меня недоходит ... может кто уже сделал ?

Max
Проблема в том, что чтобы прописаться в данный ключик нужны права админа :(

А в чем тогда преимущество такой dll'ки перед драйвером, если все равно нужны права админа, чтобы её установить.
А так, если реализовать этот гимморный способ, то dll'ка скрывает от всех приложений запущенных в контексте того же пользователя, что и скрывающийся процес.

Аноним
А в чем проблема? Как я посмотрел там просто указаны просто новые обработчики для перехватываемых функций, осталось только их при помощи хуков внедрить в необходимые(или во все) процессы и все. Я писал подоную dll'ку задолго до того, как увидел эту статью, поэтому могу сказать что данный метод работает, но работает ли то, что написано в статье сказать не могу(не проверял).

[ :Max осуществимо и легко - в реестре есть ключик InitDLLs (кажется так)... ]

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

Проблема тут одна, но очень большая - работать этот ключик начнет только после перезагрузки.
IMHO, не очень изящьное решение. Все равно из драйвера проще всего. Хотя необходимость иметь админство конечно очень большой минус. А кто-нить может указать на практическую реализацию этого дела из юзера?

dll'ки из этого ключика будут мапиться только к тем процессам, у exe которых subsystem - gui. Так что, например, в фаре все будет видно.
Самое простое решение для юзера - это сплайсинг NtQuerySystemInformation + NtResumeThread для пропатчивания свежесозданных процессов. А чтобы taskmgr, загруженный из msgin'ы тоже патчился, можно сделать большой хук (WH_GETMESSAGE, например) и патчить все gui.

Вдогонку: http://z0mbie.host.sk/stealth.zip