Всем привет
Я пишу простенький стелс-движок и мне нужно знать какие функции юзает сабж для получения списка процессов. Могу сказать что это точно НЕ Process32Next. Во всех сорцах, которые удалось найти, просто юзается RegisterServiceProcess (естественно без всяких обьяснений), но имхо надежнее всетаки перехватить функции.
Если кто знает что это за функции, скажите пожалуйста.

RegisterServiceProcess - именно то, что нужно. если простенький движок :) а ксати, почему ты считаешь, что это не Process32Next (вернее, не функции toolhelp32)?

почему ты считаешь, что это не Process32Next
Потому что бряк ставить пробовал и хукать тоже.

RegisterServiceProcess - именно то, что нужно. если простенький движок :)
Может быть, но я всетаки не очень люблю делать то, чего не понимаю.

hello_world
ну, тогда объясняю - т.к. концепция сервисов в линейке вин9х не реализована, но иногда требуеться выполнять некий процеес так, что бы тупой изер не смог его прибить. И вот функция, реализующая данную функциональность. Не суть важно, как она реализована - через некий внутренний список процессов, или как-то еще. Она работает, и ей все пользуются. Так же, как и CreateFile, например :) Так что, ничего неясного с ней нету. Нам ведь главное эффективность, так - а не желание поставить побольше хуков?

Grenader
но иногда требуеться выполнять некий процеес так, что бы тупой изер не смог его прибить.
Ты хочешь сказать что RegisterServiceProcess существует для этого? С чего ты это взял? И с чего ты взял что нету апи, которыми можно посмотреть процессы, зарегистрированные RegisterServiceProcess?

Нам ведь главное эффективность
В этом все и дело. Представь если какой-нить популярный таскменеджер юзает эти апи (хотя я уже накачал туеву хучу разных менеджеров и все они юзают NtQuerySystemInformation/Process32Next/EnumWindows). Хук имхо намного надежнее.

Вот все что сказал MSDN:
The RegisterServiceProcess function registers or unregisters a service process. A service process continues to run after the user logs off.
Как всегда немногословно :)

hello_world
название темы - "Win9x task manager" :) и я говорю только про него. в NT, например, надежно спрятать процесс можно, ТОЛЬКО выйдя на уровень ядра (системный спиок процессов).
Но мы ведб говорим про "простенький стелс-движок " и вин9х? :)

" с чего ты взял что нету апи, которыми можно посмотреть процессы, зарегистрированные RegisterServiceProcess"
да есть, есть - см. текст выше.

А на 2000/XP вообще нет этой RegisterServiceProcess :-(

Quantum
увы, увы :( либо хучим NtQuerySystemInformation, либо лезем еще поглубже... но ведь это не принципиально - CreateRemoteThread ипрочее позволяет жить спокойно - наш код не найдут :)))

Grenader
в NT, например, надежно спрятать процесс можно, ТОЛЬКО выйдя на уровень ядра
Что ты имеешь ввиду? Я просто во всех процессах патчил NtQuerySystemInformation

Но мы ведб говорим про "простенький стелс-движок " и вин9х? :)
Ну ладно, пусть будет "сложный" если тебе так больше нравится :)

да есть, есть - см. текст выше.
а ты не знаешь какие?

Ладно, ты меня почти убедил :) Пока остановлюсь на RegisterServiceProcess, но вопрос остается открытым. Просто не хочется умереть в неведении :)

ЗЫ Вообще то вопрос был:
какие функции юзает сабж для получения списка процессов

hello_world
Я просто во всех процессах патчил NtQuerySystemInformation
а я возьму, и сделаю вызов ядру напрямую - через syscall, или int 2e. поэтому хучить надо в ядре. но ведь я могу с помощью драйвера (или без оного, одним извратным способоим) просто перебрать список процессов в ядре...
а ты не знаешь какие
поищи в гугле...

Grenader
или без оного, одним извратным способоим
Можно поподробнее про "извратный способ" ?

поищи в гугле...
Если бы нашел то не спрашивал бы :(

hello_world
поик по форуму - "проникновение в ring0" :) вкратце - можно вылезти в нулевое кольцо и без написания драйвера - нужны только админские привелегии. А что касаеться таскманагеров - поищи на freeware.ru или подобных сайтах. там их как грязи. дорвался человек до дельфи - и давай ваять...

Grenader
Большое спасибо!

см. y0da
http://scifi.pages.at/yoda9k/