Скрыть процесс

Содержание
  1. Скрытие процесса в Диспетчере задач Windows
  2. Создание скрытого процесса
  3. Алгоритм действий
  4. Шаг 1
  5. Шаг 2
  6. Шаг 3
  7. Итоги
  8. Скрытие процессов в rootkits. FUTo
  9. 1. Введение
  10. 2. Blacklight
  11. 2.1 Функция WinAPI – OpenProcess
  12. 2.2 PspCidTable
  13. 3. FUTo
  14. 4. Заключение
  15. 5. Ссылки
  16. Скрываем процесс в диспетчере задач Windows
  17. Код:
  18. Outro
  19. Как отключить ненужные процессы в Windows 10
  20. Список процессов Windows 10
  21. Какие службы и программы отключить в Windows 10?
  22. Как открыть диспетчер служб в Виндовс 10
  23. Какие процессы можно отключить в Windows 10
  24. Отключение автоматического обновления в Windows 10
  25. Windows LTSB и LTSC — дистрибутив без дополнительных программ и служб
  26. Как скрыть процесс в Windows 7? – О компьютерах просто
  27. Что такое процессы?
  28. Можно ли определить «левый» процесс?
  29. Как скрыть процесс в диспетчере задач?
  30. WinHide.SB — программа скрытия окон и процессов
  31. Описание программы
  32. Планы на будущее
  33. История версий
  34. WinHide.SB – программа скрытия окон и процессов

Скрытие процесса в Диспетчере задач Windows

Скрыть процесс

Программы, которые находятся в активном состоянии на компьютере, всегда можно просмотреть, открыв «Диспетчер задач». Однако иногда может случиться так, что понадобится сделать исполнение какой-то программы невидимым. Если у вас тоже возникло такое желание, вы наверняка начнёте искать ответ на вопрос, как скрыть процесс в Диспетчере задач Windows.

Узнайте, как скрыть процесс Диспетчер задач Windows

Безусловно, анонимность исполнения некоторых программ позволит отслеживать тех, кто чрезмерно захламляет персональный компьютер. Особенно такая слежка важна, когда доступ к ПК имеют несколько пользователей.

Также желание скрыть процесс возникает и у тех, кто устанавливает собственную программу и стремится, чтобы продвинутые пользователи не смогли простыми способами выявить её присутствие.

Создание скрытого процесса

Любое выполнение программы является процессом, который нуждается в определённой части оперативной памяти. Процессы подразделяются на:

  • системные;
  • анонимные;
  • пользовательские;
  • связанные с интернетом.

Не рекомендуется тем, кто не имеет практического опыта и необходимых технических знаний вмешиваться в системные процессы, поскольку такое неразумное внедрение способно спровоцировать крайне нежелательные последствия. Одним из таких последствий может выступать сбой последующего запуска операционной системы.

Иногда анонимность и скрытность играют ключевую роль в успешном выполнении каких-либо действий

Научиться скрывать какие-либо пользовательские программы можно, при этом не понадобится прилагать огромные усилия, достаточно внимательно ознакомиться с нашими рекомендациями. Мы акцентируем ваше внимание, что даже продвинутый инженер, не подозревающий о ваших «творческих деяниях» не заметит просто так «левый» процесс.

Алгоритм действий

Если вам потребовалось скрыть программное приложение, сначала нужно разобраться, а является ли оно простым, не запускает ли оно дополнительные процессы, которые способны просто выдать её, как бы вы не попытались программу скрыть.

Если, действительно, ваша программа является простой, если она отображается в Диспетчере задач единственной строкой, предлагаем простейшим способом скрыть процесс. Для этого вам всего потребуется переименовать его.

Итак, мы поможем разобраться, как переименовать процесс в Диспетчере задач, чтобы программа продолжила прекрасно функционировать в анонимном режиме.

Шаг 1

Первоначально следует зайти в папку, где размещается файл исполнения конкретной программы. Если вы знаете, где он размещён, то воспользуйтесь привычным для вас «маршрутом», открыв окно «Компьютер», перейдя в системный диск C, а далее проследовав в его корневую папку.

Если же вы не знаете, где скрывается файл исполнения, не беда, вам достаточно найти этот процесс в списке, отображаемом в Диспетчере задач, кликнуть по нему правой клавишей мышки, а затем в открывшемся окне выбрать строку «Открыть место хранения файла».

Найдите вкладку «Открыть место хранения файла»

Шаг 2

После таких ваших действий откроется вами разыскиваемая папка, в ней остаётся вам найти файл исполнения. Искать будет несложно, поскольку этот файл имеет точно такое же название, как и в списке процессов в Диспетчере задач. Кроме этого, этот файл имеет расширение «exe».

Шаг 3

Чтобы переименовать файл, кликните по нему вновь правой клавишей мышки, а затем выберите строку «Переименовать». Теперь, когда вы сумели присвоить новое имя вашему программному приложению, откройте «Диспетчер задач», посмотрите, что это переименование отобразилось и там.

Присвойте найденному файлу новое название

Конечно, от того, какое название вы придумаете, будет зависеть, насколько ваша программа станет «завуалированной» для остальных пользователей ПК. Незнакомый процесс с новым именем ещё быстрее вызовет подозрение и заставит технического инженера разобраться, что за программа работает на ПК.

По этой причине многие опытные пользователи рекомендуют придумывать названия, которые с первого взгляда не вызывают никаких подозрений.

В частности, открытый браузер Chrome создаёт одновременно несколько процессов, так же, как Windows.

Желательно взять такое же название процесса, но поскольку система не позволит функционировать двум одноимённым процессам одновременно, рекомендуется при переименовании применить небольшую хитрость.

Вместо некоторых английских букв в названии как будто случайно прописать русские. Внешне отличить русские буквы от английских невозможно, а система различит, поэтому позволит работать программам с условно одинаковыми именами.

Итоги

Итак, как вы сумели заметить сделать анонимным некоторое программное приложение можно без особых затруднений.

Конечно, существуют ещё достаточно продвинутые способы, которые позволяют более надёжно скрыть любой процесс, но они основываются на написании сложных кодов, навыках программирования.

Если вы не ставите перед собой такие усложнённые цели, тогда скрытие работающих программных приложений путём переименования является вполне приемлемым вариантом.

Источник: https://nastroyvse.ru/opersys/win/skryt-process-v-dispetchere-zadach-windows.html

Скрытие процессов в rootkits. FUTo

Скрыть процесс

Скрытие процессов в rootkits. FUTo.

Эта статья описывает методы, используемые в Blacklight и IceSword для обнаружения скрытых процессов. Кроме того, будут описаны текущие недостатки в методах обнаружения rootkits и предложена законченная методика сокрытия, реализованная в FUTo.

Peter Silberman & C.H.A.O.S.
перевод: Владимир Куксенок

С появлением FU, мир rootkits перешел на следующий уровень – с реализации перехвата системных вызов на сокрытие своего присутствия. Новые возможности средств нападения потребовали разработки новой защиты.

Современные алгоритмы, используемые rootkit-детекторами, такими как BlackLight, пытаются обнаружить максимально подробную информацию об установленном в систему rootkit-е, вместо того чтобы просто искать созданные им перехватчики системных вызовов. Эта статья описывает методы, используемые в Blacklight и IceSword для обнаружения скрытых процессов.

Кроме того, будут описаны текущие недостатки в методах обнаружения rootkits и предложена законченная методика сокрытия, реализованная в FUTo.

1. Введение

За последние год или два произошло несколько значимых события в rootkit-мире.

Это появление FU rootkit, использующего DKOM (Direct Kernel Object Manipulation) и VICE, одной из первых программ для обнаружения rootkits; рождение Rootkit Revealer компании Sysinternals и Blacklight компании F-Secure – первых, получивших широкое распространение, утилит для обнаружения rootkits; и, наконец, появление Shadow Walker, rootkit-а скрывающего свое присутствие путем перехвата вызовов менеджера памяти.

Рассмотрим Blacklight и IceSword. Здесь обсуждаются алгоритмы, используемые именно в этих программах, по той причине, что по ряду параметров они являются лучшими утилитами для обнаружения rootkits. Blacklight, разработанный финской компанией F-Secure, в первую очередь озабочен обнаружением скрытых процессов.

Эта утилита не занимается поиском перехваченных системных вызовов, только обнаружением скрытых процессов.

IceSword использует похожие методы, но в отличие от Blacklight является более законченным приложением, позволяя пользователю увидеть перехваченные системные вызовы, скрытые модули ядра, узнать какие TCP/UDP порты открыты и какими программами.

2. Blacklight

В этой статье основное внимание уделено Blacklight и алгоритмам, реализованным в этой утилите. После исследования Blacklight стало очевидно, что в IceSword используются очень похожие алгоритмы. Поэтому вполне вероятно, что недостатки, обнаруженные в Blacklight, будут присутствовать и в IceSword.

Blacklight использует простую, но удивительно эффективную методику обнаружения скрытых процессов.

В целях противодействия исследованию внутренней архитектуры, Blacklight использует некоторые анти-отладочные приемы, начинающиеся с создания callback таблицы TLS (Thread Local Storage).

Blacklight's TLS callback пытается обмануть отладчик, создавая копию главного процесса (fork) до того, как объект процесса полностью создан. Это осуществимо благодаря тому, что TLS callback функция вызывается перед тем, как процесс полностью инициализируется.

Blacklight имеет встроенные средства анти-отладки, обнаруживающие попытки отладки приложения. Для обхода анти-отладочных приемов мы решили просто отключить TLS callback подпрограмму. Чтобы сделать это, была использована утилита LordPE, позволяющая редактировать PE файлы.

Используя LordPE, мы обнулили таблицы TLS callback. Это отключило функцию создания копии исходного процесса и дало возможность использовать API Monitor.

Нужно заметить, что отключение callback функции позволяет подключить отладчик к процессу, но при нажатии на “scan” в Blacklight GUI, утилита обнаружит отладчик и завершит работу. Вместо того чтобы пытаться обойти второй рубеж анти-отладочной обороны, мы решили анализировать API запросы внутри Blacklight. Для этого был использован Rohitabs API Monitor.

Во время тестирования можно было увидеть неудачный вызов функции OpenProcess (таблица TLS обнулена). Далее Blacklight пытается открыть процессы с идентификаторами 0x1CC, 0x1D0, 0x1D4, 0x1D8 и т.д. Этот метод, применяемый в Blacklight, мы назвали PID Bruteforce (PIDB).

В цикле Blacklight пытается вызвать OpenProcess для всех возможных значений идентификатора процесса (PID) из диапазона от 0x0 до 0x4E1C. Таким образом, используя PIDB методику, Blacklight получает список процессов присутствующих в системе. Затем Blacklight вызывает функцию CreateToolhelp32Snapshot и получает второй список процессов.

Далее идет сравнение двух списков: если процесс присутствует в первом и отсутствует во втором, считается, что он скрытый.

2.1 Функция WinAPI – OpenProcess

Функция OpenProcess является оберткой над NtOpenProcess. NtOpenProcess реализована в ядре, в NTOSKRNL.EXE. Прототип этой функции следующий:

NTSTATUS NtOpenProcess( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId OPTIONAL);

Параметр ClientID – это идентификатор процесса, передаваемый в OpenProcess. Этот параметр опционален, но в процессе нашего наблюдения за функцией OpenProcess, этот параметр всегда указывался при вызове NtOpenProcess.

NtOpenProcess выполняет три основных действия:

  1. Вызовом PsLookupProcessByProcessId проверяет, существует ли процесс.
  2. Пытает получить дескриптор (HANDLE) процесса вызовом ObOpenObjectByPointer.
  3. Если дескриптор был получен успешно, он возвращается вызывающей подпрограмме.

PsLookupProcessByProcessId очевидный следующий предмет нашего интереса. Возникает вопрос, как эта функция определяет, что полученный PID принадлежит допустимому процессу? Ответ на него мы получаем в первых строках дизассемблированного листинга:

PsLookupProcessByProcessId: mov edi, edi push ebp mov ebp, esp push ebx push esi mov eax, large fs:124h push [ebp+arg_4] mov esi, eax dec dword ptr [esi+0D4h] push PspCidTable call ExMapHandleToPointer

Функция ExMapHandleToPointer ищет соответствующий идентификатор процесса в PspCidTable.

Теперь у нас есть полная картина того, как Blacklight производит обнаружение скрытых процессов:

  1. Blacklight начинает цикл перебора идентификаторов процесса от 0 до 0x41DC.
  2. Blacklight вызывает OpenProcess для каждого возможного PID.
  3. OpenProcess вызывает NtOpenProcess.
  4. NtOpenProcess вызывает PsLookupProcessByProcessId для проверки существования процесса.
  5. PsLookupProcessByProcessId для проверки существования процесса использует PspCidTable.
  6. NtOpenProcess вызывает ObOpenObjectByPointer для получения дескриптора процесса.
  7. Если функция OpenProcess отработала успешно, Blacklight сохраняет информацию о процессе и продолжает выполнение цикла.
  8. Как только список процессов, получаемый методом PIDB, будет создан, создается второй список с помощью функции CreateToolhelp32Snapshot. CreateToolhelp32Snapshot – это функция Win32 API получающая снимок всех запущенных процессов системы. Различие между двумя этими списками указывает на скрытый процесс, о чем Blacklight сообщает пользователю

2.2 PspCidTable

PspCidTable – эта таблица дескрипторов процессов и потоков. Каждый дескриптор процесса занимает свое место в PspCidTable. PspCidTable является указателем на структуру HANDLE_TABLE.

typedef struct _HANDLE_TABLE { PVOID p_hTable; PEPROCESS QuotaProcess; PVOID UniqueProcessId; EX_PUSH_LOCK HandleTableLock [4]; LIST_ENTRY HandleTableList; EX_PUSH_LOCK HandleContentionEvent; PHANDLE_TRACE_DEBUG_INFO DebugInfo; DWORD ExtraInfoPages; DWORD FirstFree; DWORD LastFree; DWORD NextHandleNeedingPool; DWORD HandleCount; DWORD Flags;};

Windows имеет много различных неэкспортируемых функций для работы с PspCidTable. Вот некоторые из них:

ExCreateHandleTable – создает таблицу дескрипторов. Элементы всех таблиц дескрипторов, кроме PspCidTable, это указатели на заголовки объектов, а не адреса самих объектов.
ExDupHandleTable – вызывается при создании процесса.
ExSweepHandleTable – используется при прекращении работы процесса.
ExDestroyHandleTable – вызывается, когда процесс завершает работу.
ExCreateHandle – создает новый элемент таблицы дескрипторов.
ExChangeHandle – используется для изменения маски доступа к дескриптору.
ExDestroyHandle – реализует функционал системного вызова CloseHandle.
ExMapHandleToPointer – возвращает адрес объекта соответствующего дескриптора.
ExReferenceHandleDebugIn – используется для отладки дескрипторов.
ExSnapShotHandleTables – используется для поиска дескрипторов (например, файла oh.exe).

Ниже приведен код, использующий неэкспортируемые функции для удаления объекта процесса из PspCidTable. Здесь используются явно указанные адреса нужных неэкспортируемых функций, но rootkit должен определять адреса этих функций динамически.

typedef PHANDLE_TABLE_ENTRY (*ExMapHandleToPointerFUNC) ( IN PHANDLE_TABLE HandleTable, IN HANDLE ProcessId);void HideFromBlacklight(DWORD eproc){ PHANDLE_TABLE_ENTRY CidEntry; ExMapHandleToPointerFUNC map; ExUnlockHandleTableEntryFUNC umap; PEPROCESS p; CLIENT_ID ClientId; map = (ExMapHandleToPointerFUNC)0x80493285; CidEntry = map((PHANDLE_TABLE)0x8188d7c8, LongToHandle( *((DWORD*)(eproc+PIDOFFSET)) ) ); if(CidEntry != NULL) { CidEntry->Object = 0; } return;}

Так как PspCidTable предназначена для слежения за всеми процессами и потоками, логично было бы, если бы программа для обнаружения rootkits использовала PspCidTable для поиска скрытых процессов. Однако полагаться на единственный источник данных не надежно.

Если rootkit модифицирует этот источник, операционная система и другие программы не будут знать, что скрываемый процесс существует.

Новые алгоритмы обнаружения rootkits должны быть разработаны таким образом, чтобы одна единственная модификация не делала процесс необнаруживаемым.

3. FUTo

Для демонстрации недостатков алгоритмов, используемых в настоящее время в утилитах для обнаружения rootkits, таких как Blacklight и Icesword, мы создали FUTo – новую версию FU rootkit, имеющего дополнительную возможность манипулирования PspCidTable без использования любых вызовов функций. Этот rootkit использует технику DKOM для сокрытия объектов внутри PspCidTable.

Рассмотрим некоторые новые возможности, реализованные в FUTo. Функции ExMapHandleXXX не экспортировались ядром.

Для решения этой проблемы FUTo автоматически определяет PspCidTable (адрес таблицы дескрипторов), путем поиска функции PsLookupProcessByProcessId и дизассемблирования ее с определением первого вызова функции.

На момент написания статьи, первым вызовом функции был вызов ExMapHandleToPointer. ExMapHandleToPointer получает PspCidTable в качестве первого параметра. Используя эту информацию определить PspCidTable (адрес таблицы дескрипторов) очень просто.

PsLookupProcessByProcessId: mov edi, edi push ebp mov ebp, esp push ebx push esi mov eax, large fs:124h push [ebp+arg_4] mov esi, eax dec dword ptr [esi+0D4h] push PspCidTable call ExMapHandleToPointer

Этот метод не сработает, если в коде ядре будет проделана хотя бы небольшая оптимизация. Opc0de реализовал более надежный алгоритм для поиска неэкспортируемых переменных, таких как PspCidTable, PspActiveProcessHead, PspLoadedModuleList и т.д.

Данный алгоритм не сканирует память, как это сделано в текущей версии FUTo.

Вместо этого, Opc0de установил, что поле KdVersionBlock в структуре Области Управления Процессом (Process Control Region) указывает на структуру KDDEBUGGER_DATA32, выглядящую примерно следующим образом:

typedef struct _KDDEBUGGER_DATA32 { DBGKD_DEBUG_DATA_HEADER32 Header; ULONG KernBase; ULONG BreakpointWithStatus; // адрес точки останова ULONG SavedContext; USHORT ThCallbackStack; // смещение в массиве данных потока USHORT NextCallback; // сохраненный указатель на следующий // callback-фрейм. USHORT FramePointer; // сохраненный указатель фрейма USHORT PaeEnabled; ULONG KiCallUserMode; // подпрограмма ядра ULONG KeUserCallbackDispatcher; // адрес в ntdll ULONG PsLoadedModuleList; ULONG PsActiveProcessHead; ULONG PspCidTable; ULONG ExpSystemResourcesList; ULONG ExpPagedPoolDescriptor; ULONG ExpNumberOfPagedPools; […] ULONG KdPrintCircularBuffer; ULONG KdPrintCircularBufferEnd; ULONG KdPrintWritePointer; ULONG KdPrintRolloverCount; ULONG MmLoadedUserImageList;} KDDEBUGGER_DATA32, *PKDDEBUGGER_DATA32;

Как вы можете заметить, эта структура содержит указатели на многие часто используемые неэкспортируемые переменные. Таким образом, это еще один способ определения PspCidTable и других подобных переменных.

Реализация второго нововведения была чуть более проблематична. Когда FUTo удаляет объект из PspCidTable, HANDLE_ENTRY заполняется нулями, что означает, что процесс не существует. Проблема возникает, когда скрытый процесс (не имеющий записи в PspCidTable) завершает работу.

Когда система пытается завершить процесс, она ссылается на соответствующий элемент PspCidTable и разыменовывает нулевой объект, что вызывает голубой экран. Решение этой проблемы просто, но не изящно. FUTo устанавливает подпрограмму уведомления процесса вызовом PsSetCreateProcessNotifyRoutine.

Callback-функция вызывается всякий раз, когда процесс создается и, что более важно, когда процесс завершается. Эта функция вызывается перед завершением работы скрытого процесса, т.е. перед крахом системы.

Перед удалением индексов, содержащих объекты, указывающие на скрываемый процесс, FUTo сохраняет значения HANDLE_ENTRY и индекс для дальнейшего использования. Перед завершением работы процесса, FUTo восстанавливает эти объекты, позволяя системе корректно их разыменовать.

4. Заключение

Коронной фразой 2005 года была “Мы снова поднимаем планку в обнаружении rootkits”. Надеемся, теперь читатель будет лучше понимать, как передовые утилиты обнаружения rootkits ищут скрытые процессы и как они могут быть улучшены. Кто-то может спросить “Как я могу защититься?”.

Самым простым решением будет не подключаться к интернет, но если это не самое приемлемое решение, комбинация из Blacklight, IceSword и Rootkit Revealer заметно повысит ваши шансы на отсутствие rootkits в вашей системе.

Кроме того, несколько месяцев назад на конференции Blackhat в Амстердаме была представлена новая утилита RAIDE (Rootkit Analysis Identification Elimination), не подверженная проблемам, описанным в этой статье.

5. Ссылки

Источник: https://www.securitylab.ru/analytics/270346.php

Скрываем процесс в диспетчере задач Windows

Скрыть процесс

Часто анонимность и скрытность играют ключевую роль в успешном выполнении каких-либо действий как в реальности, так и в виртуальности, в частности в операционных системах. В данной статье речь пойдет о том, как стать анонимным в OS Windows. Вся информация предоставлена лишь для цели ознакомления. Итак, мы попробуем скрыться от глаз пользователя в диспетчере задач Windows.

Способ, с помощью которого мы будем этого добиваться является чрезвычайно простым по отношению к тем, которые основаны на перехвате ядерных( часто недокументированных ) функций и на создании собственных драйверов.Суть метода: поиск окна Диспетчера Задач -> поиск в нем дочернего окна( списка ), содержащего имена всех процессов -> удаление из списка нашего процесса.

Как видно, что с нашим процессом никаких манипуляций производиться не будет: он как работал, так и будет себе работать. Так как стандартный рядовой пользователь Windows, как правило, не использует никаких других тулз для просмотра запущенных процессов на его компьютере, то это лишь сыграет нам «на руку». Процесс в большинстве случаев обнаружен не будет.

Что использовалось для исследования:

1) Spy++ от Microsoft ( для изучения иерархии дочерних окон Диспетчера задач )

2) OllyDBG для просмотра функций, используемых диспетчером для получения снэпшота процессов.
3) Собственно, сам taskmng.exe( Диспетчер задач )

Для написания кода будем использовать среду Delphi. Скорее, Delphi будет удобнее в нашем случае, нежели C++. Но это лишь мое скромное мнение. Что ж, первым делом попытаемся выяснить, что из себя представляет список процессов и как он работает. С полувзора понятно, что это обычное окно класса «SysListView32»( список ), которое обновляется с частотой 2 кадра в секунду( раз в 0.5 секунд ). Смотрим иерархию окон: Как видим, список процессов, в самом деле, есть обычное окно класса «SysListView32», которое является дочерним по отношению к окну(вкладке) «Процессы», которое также является дочерним по отношению к главному окну Диспетчера задач. Имеем лишь двойной уровень вложенности. Кроме того у списка имеется одно дочернее окно класса «SysHeader32», которое, как не трудно догадаться является заголовком( маркером полей ) для списка процессов.

Так как перед нами обычный список, то в нашем распоряжении целый набор макрокоманд для управления его содержимым. Их разнообразие, на первый взгляд, восхищает. Но многие из них работают лишь из родительского процесса, т.

е чтобы их нам использовать, необходимо будет сымитировать, будто они выполняются в родительском процессе.

Но таковым свойством обладают не все, в частности, макрокоманда ListView_DeleteItem, которая удаляет элемент из окна-списка( класс «SysListView32» ).

Её мы и будем использовать в процессе нашего приложения. Данная функция вторым параметром получает индекс удаляемого элемента. Теперь нам надо как-то выяснить, каким же индексом обладает элемент с лэйблом скрываемого процесса в диспетчере задач. Для этого нам нужно как-то вытащить из списка процессов в диспетчере задач все элементы( лэйблы с именами процессов ) и последовательно их сравнивать с именем того процесса, который мы желаем скрыть.

Используя макрокоманды типа ListView_GetItemText наши действия были бы примерно следующими:

1) Выделение участка памяти в процессе диспетчера задач ( VirtualAllocEx )
2) Посылка дочернему окну-списку Диспетчера задач сообщения LVM_GETITEMTEXT ( SendMessage )
3) Запись в выделенную область памяти Диспетчера задач информации об элементе списка ( WriteProcessMemory )
4) Чтение из памяти диспетчера той информации, которая нас интересует о процессе ( ReadProcessMemory )
Используя этот способ можно легко «выстрелить себе в ногу», считая байты смещения от начала различных используемых в коде структур. Так же этот способ будет достаточно тяжел для тех, кто не особо углублен в WinAPI, так что его мы сразу уберем в сторонку. В прочем, найти реализацию данного способа на просторах интернета не составит особого труда. Вместо этого, я предложу вам сформировать свой список процессов, и уже ориентируясь в нем, искать заветный индекс процесса в списке процессов Диспетчера задач.

В Microsoft решили особо не парится по поводу тулзы, именуемой «Диспетчер Задач», и использовали обычные функции WinAPI для получения всех процессов в системе. Поверхностно смотрим taskmng.exe под отладчиком:

Видим использование WinAPI функции CreateToolHelp32SnapShot.

Всем известно, что 'эту функцию можно использовать не только для получения снэпшота процессов, но и потоков процесса или модулей, например. Но в данном случае это маловероятно. Вряд ли здесь будут использовать что- то в роде енумератора процессов ( EnumProcesses ).
Мы остановились на том, что хотим сформировать свой список процессов и искать наш процесс в нем. Для этого воспользуемся той функцией, что обнаружили в отладчике. Если откроем диспетчер задач на вкладке «Процессы», то заметим, что все процессы отсортированы по алфавиту для удобства поиска. Следовательно, нам нужно получить список имен всех процессов в системе и отсортировать их по возрастанию в алфавитном порядке. Приступим к написанию кода в Delphi. Для начала создадим демонстрационное оконное приложение с двумя таймерами: первый будет переформировывать список с процессами с той же частотой, с которой это делает Диспетчер задач Windows( раз в две секунды ); второй будет срабатывать 1000 раз в секунду и будет служить для отслеживания обновления списка процессов в диспетчере и, следовательно, появления нашего скрываемого процесса. Также добавим на форму кнопку.

Код:

varind:integer;h:Thandle;last_c:integer; procedure UpdateList();varth:THandle;entry:PROCESSENTRY32;b:boolean;i,new_ind:integer;plist:TStringList;begin // Список процессовplist:=TStringList.Create; // Формируем список процессовth := CreateToolHelp32SnapShot(TH32CS_SNAPPROCESS,0);entry.

dwSize:=sizeof(PROCESSENTRY32);b:=Process32First(th,entry);while(b) dobegin plist.Add(entry.szExeFile); b:=Process32Next(th,entry);end; // Сортируем его, чтобы индексы элементов// совпадали с теми, что в диспетчере задачplist.Sort;last_c:=plist.Count; // Поиск индекса нашего процесса 'explorer.exe'for i:=1 to plist.

Count-1 doif(LowerCase(plist[i])='explorer.exe') then new_ind:=i-1; // Удаление объекта из спискаif(new_indind) then ListView_DeleteItem(h,ind);ind:=new_ind;plist.Free; // Запускаем таймер отслеживания обновлений в списке процессовif(Form1.Timer2.Enabled=false) then Form1.Timer2.Enabled:=true; end; procedure TForm1.

HideProcessButton(Sender: TObject);begin// Ищем дочернее окно класса 'SysListView32'h:=FindWindow(nil,'Диспетчер задач Windows');h:=FindWindowEx(h,0,nil,'Процессы');h:=FindWindowEx(h,0,'SysListView32',nil); // Запускаем таймер переформирования списка процессовTimer1.Enabled:=true;end; procedure TForm1.

Timer1Timer(Sender: TObject);beginUpdateList();end; procedure TForm1.Timer2Timer(Sender: TObject);begin// Поиск изменений в спискеif(ListView_GetItemCount(h)>last_c) thenListView_DeleteItem(h,ind);last_c:=ListView_GetItemCount(h);end; Вот, собственно, и весь код.

Скроем, например, в Диспетчере задач процесс самого Диспетчера задач: Вот он есть: И по нажатию на кнопку «Скрыть процесс» процесс исчезает из списка: Все следы присутствия в системе стерты, а сам он спокойно выполняется в обычном режиме где-то в глубинах процессора:)

Outro

Что ж, думаю, такой способ заслуживает существовать, правда он требует небольших доработок.

Да, конечно же с его помощью нельзя скрыть процесс от самой системы, но сокрытие в стандартной тулзе Windows, которой пользуется львиная доля всех пользователей, это тоже неплохо.

Надеюсь, мне удалось вас хоть немножечко заинтересовать данной темой.

До скорого! И да пребудет с вами сила анонимности…

  • Windows
  • Delphi
  • процессы
  • скрытность
  • анонимность
  • программирование

Хабы:

  • Информационная безопасность

Источник: https://habr.com/ru/post/180933/

Как отключить ненужные процессы в Windows 10

Скрыть процесс

На днях мой компьютер стал как-то медленно работать. Начав разбираться, в чем проблема, я обнаружил, что в Интернете мало информации со списком процессов, служб и приложений установленных на чистой windows 10. Сложно понять какие процессы являются критическими.

Как отключить ненужные процессы windows 10 не вызвав отказ в работе операционной системы? Подготовленный перечень служб и процессов для чистой Windows 10 упростит идентификацию маскирующихся вредоносных процессов. К сожалению в перечне программ присутствуют разработки от компании Toshiba, т.к.

изображения делались на ноутбуке от этой компании.

ОГЛАВЛЕНИЕ СТАТЬИ:

  • Список процессов в чистой Windows 10
  • Какие службы и программы отключить в Виндовс 10
  • Список программ в чистой Windows 10
  • Как открыть диспетчер служб в Виндовс 10
  • Какие процессы можно отключить в Windows 10
  • Отключение автоматического обновления в Виндовс 10
    • Отключение службы Windows Update
    • Редактирование политики безопасности (недоступно в некоторых версиях системы)
    • Установка лимитного трафика для сетевых соединений
  • Официальный дистрибутив от компании Microsoft без дополнительных служб и приложений — Windows LTSB и LTSC

Нажав комбинацию клавиш: «Ctrl» + «Shift» + «ESC» активируется Диспетчер процессов Виндовс 10.

Диспетчер покажет какой из процессов перегружает ОС. Сравнив процессы на своем компьютере с подготовленным списком вы поймете относится ли ресурс к системным параметрам Windows. Стоит ли выключить этот фоновый процесс или нет? Бывает повышенная нагрузка идет на процессор или память, а бывает на жесткий диск. Все это будет видно в Диспетчере задач.

Список процессов Windows 10

Такой скриншот я обычно делаю в момент приобретения ноутбука и сохраняю его в облако. В дальнейшем это сильно помогает в борьбе с вирусными процессами.

Про свой компьютер я скажу, что ему просто не хватало охлаждения. Пришлось поменять вентилятор на процессоре. И все стало работать как обычно.

Какие службы и программы отключить в Windows 10?

В коробочной версии ОС после инсталляции на компьютер сразу присутствуют ненужные процессы в Windows 10, которые я советую отключать. Они грузят систему и обычно редко используются. Зачем держать то, что не применяется! Список приложений удаляемых из Панели управления в разделе Приложения и возможности:

  • Fresh Paint
  • McAfee
  • Wordament
  • игры от майкрософт (solitaire, pinballFX2, taptiles)
  • спорт
  • финансы
  • советы
  • путешествия
  • погода
  • новости
  • Xbox Live
  • OneNote

Как открыть диспетчер служб в Виндовс 10

После удаления ненужного программного обеспечения вы немного облегчили свою операционную систему, но это далеко не все. Откройте последовательно: Пуск (правой клавишей мыши) — Управление компьютером — Службы и приложения — Службы

В Административной панели процессов операционной системы Windows 10 отключаем не нужные службы исходя их указанного ниже описания для процессов, которые можно отключить:

Какие процессы можно отключить в Windows 10

  • Dmwappushservice. Используется в маршрутизации push-сообщений. Функция телеметрии. Отключаем.
  • Machine Debug Manager. Встроенное средство для программистов.Отключаем.
  • NVIDIA Stereoscopic 3D Driver Service. Служба видеокарт NVIDIA, можно отключить, если не используете 3D стерео изображения.
  • NVIDIA Streamer Service. Использует мощность видеокарт GeForce® GTX™, чтобы передавать игры с вашего ПК на устройство SHIELD. Самое распространенное применение — игра в компьютерные игры на экране телевизора.
  • Служба общего доступа к портам Net.Tcp. Про эту службу долго рассказывать. По умолчанию служба отключена.
  • Служба помощника по совместимости программ.
  • NVIDIA Streamer Network Service.
  • Superfetch. Отключайте, если используете SSD диск.
  • Windows Search. Служба помогает искать файлы в Виндовс. Отключаем, если не пользуетесь.
  • Биометрическая служба Windows. Биометрические данные.
  • Брандмауэр. Встроенный антивирус Windows. Отключаем, если используем сторонний антивирус. Я не рекомендую этот пункт отключать. Но и использовать платные антивирусы я не рекомендую. Почему я так делаю, я описал в статье — Встроенный антивирус Windows.
  • Браузер компьютеров. Сетевая служба. Неактуально, если работаете только с одним ПК в сети.
  • Беспроводная настройка. Отвечает за работоспособность Wi-Fi соединения.
  • Вторичный вход в систему. Используется при нескольких учетных записях. Я всегда отключаю.
  • Служба регистрации ошибок Windows.
  • Диспетчер печати. Отвечает за печать принтеров и плоттеров.
  • Изоляция ключей CNG.
  • Общий доступ к подключению к Интернету (ICS). Служба раздает Интернет другим устройствам. Я всегда отключаю эту функции на компьютере.
  • Рабочие папки. Я отключаю этот процесс. Служба синхронизирует файлы и папки на всех устройствах пользователя.
  • Сервер. Процесс контролирует доступ к общим файлам и принтерам. Эту службу на своем ПК я отключаю.
  • Сетевая служба Xbox Live. Тут все понятно по названию. Отключаем, если не пользуемся Xbox-ом.
  • Служба географического положения. Это служба GPS. Отключаем если не пользуемся навигатором.
  • Служба данных датчиков.
  • Служба датчиков.
  • Служба записи компакт-дисков. Я всегда отключаю процесс ввиду того, что не пользуюсь компакт-дисками.
  • Служба лицензий клиента (ClipSVC). Процесс отвечает за работу с магазином Windows. Отключаем.
  • Служба загрузки изображений. Отвечает за сканирование документов. ОБычно я не отключаю, так как пользуюсь сканером.
  • Службы Hyper-V:
    • обмен данными. Механизм обмена данными между виртуальной машиной и ОС ПК. Неактуально, если не пользуетесь виртуальной машиной Hyper-V.
    • Завершения работы в качестве гостя.
    • Пульс.
    • Сеансов виртуальных машин Hyper-V.
    • Синхронизации времени.
    • Обмена данными.
    • Виртуализации удаленных рабочих столов Hyper-V.
  • Служба наблюдения за датчиками. Наблюдение за различными датчиками.
  • Служба шифрования дисков BitLocker. Если не пользуетесь шифрованием дисков, отключайте.
  • Удаленный реестр. Позволяет пользователям вносить изменения в реестр компьютера через сеть. Всегда отключаю.
  • Удостоверение приложения.
  • Служба перечислителя переносных устройств.

    Обеспечивает возможность синхронизации и автоматическое воспроизведение файлов с переносных устройств. Также малоприменимая служба и ее можно отключить.

  • Факс. Описание процесса понятно из названия. Отключаем..
  • Функциональные возможности для подключенных пользователей и телеметрия. Относится к телеметрии — отключаем.
  • Служба поддержки Bluetooth.

    Суть процесса ясна из названия. На ПК я всегда ее отключаю.

Все описанные выше процессы можно отключить без последствий для Windows. Эти процессы работают в фоновом режиме и всегда тратят ресурсы ПК, так что их отключение желательно.

Есть еще одна служба в Виндовс 10, которая значительно влияет на работоспособность ПК — это автоматическое обновление операционной системы.

Служба запускается перед включением операционной системы и проверяет сетевые ресурсы на наличие файлов обновления. Процесс периодически повторяет попытки обновления во время работы.

А еще, без уведомления, служба грузит сеть и процессор компьютер передавая пакеты обновлений соседним компьютерам.

Отключение автоматического обновления в Windows 10

Я рекомендую службу отключать. Обновить систему вы можете всегда с самого сайта компании Майкрософт в принудительном режиме. Отключение автоматического обновления Виндовс 10 возможно несколькими способами:

1.) Выключаем службу: Центр обновления … (рисунок ниже):

В поле «Тип запуска» выберете «Отключена», если этого не сделать, то служба автоматически запустится через 15 минут.

2.) Отключение автоматического обновления через политику безопасности. Способ доступен не всем. В релизах Windows 10 Домашняя и Для стран СНГ политики безопасности нет. В этих версия ОС при нажатии клавиш Win+R и наборе в строке gpedit.msc появится сообщение:

Не удается найти gpedit.msc. Проверьте, правильно ли указано имя и повторите попытку.

Конечно исправить ситуацию возможно, но это трудозатратно и неэффективно. Гораздо проще воспользоваться иными механизмами отключения автообновлений.

Для ОС Windows с доступной к редактированию политикой безопасности, требуется пройти несколько этапов:

  • Нажимаем комбинацию клавиш Win+R набираем gpedit.msc и нажимаем ОК
  • Открываем Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows
  • Находим в правом окне пункт Настройка автоматического обновления и открываем его двойным нажатием мышки.
  • Выбираем Отключено и нажимаем применить (как на рисунке ниже)

3.) Отключение за счет установки лимитного трафика для сетевых соединений. Чтобы сделать это, зайдите в Параметры — Сеть и Интернет — Wi-Fi, внизу нажимаем «Дополнительные параметры». Включите пункт Задать как лимитное подключение, как показано на фотографии:

Windows LTSB и LTSC — дистрибутив без дополнительных программ и служб

Для узкой аудитории клиентов в 2016 году компания Microsoft выпустила специальную корпоративную версию Windows — LTSB. Система предназначалась для стабильной работы оборудования, где не требуется дополнительный функционал и регулярные обновления.

Оболочка представлял из себя полноценную операционную систему со всем необходимым, поэтому ее нельзя назвать урезанной версией. На ней без проблем работаю все программы, игры, подключаются принтеры и факсы. Enterprise версия была лишена рекламно — развлекательной начинки и обновления в ней запускались только в ручном режими.

Не все обновления приходили для этой редакции, а только критические.

В 2018 году вышла новая версия корпоративный Windows — LTSC. Она базируется на Win10 сборка 1809 и является продолжательницей линейки LTSB. Старая версия более недоступна для скачивания с официального сайта Microsoft.

Об особенностях этой оболочки я расскажу в отдельном материале, так как сборка заслуживает такого внимания. Ну а пока я не написал этой стать посмотрите информацию на официальном сайте Microsoft, там же можно ее скачать для использования. Ссылка — https://docs.microsoft.

com/ru-ru/windows/whats-new/ltsc/ Первые 90 дней возможно бесплатное использование дистрибутива.

Надеюсь написанный материал будет полезен пользователям. Если есть вопросы — оставляйте их через комментарии к материалу. Всем удачи!

Windows 10   

Источник: https://zakharkiv-travel.ru/%D0%BD%D0%B5%D0%BD%D1%83%D0%B6%D0%BD%D1%8B%D0%B5-%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81%D1%8B-windows-10/

Как скрыть процесс в Windows 7? – О компьютерах просто

Скрыть процесс

Бывают ситуации, когда нужно установить и использовать программу в тайне от другого человека, разбирающегося в компьютерах и часто поглядывающего в процессы диспетчера задач при зависании или нестабильной работе устройства. Иногда требуется активировать слежение за компьютером, чтобы его не захламляли ненужными файлами. В других случаях требуется проследить за человеком. Причин может быть очень много, у каждого они свои.

Что такое процессы?

Процесс – это программа, которая выполняется на компьютере и занимает определенное место в оперативной памяти.

Процессы делятся на:

Системные (программы и утилиты, которые являются компонентами операционной системы и любое экстренное завершение одного из них может повлечь негативные последствия, вроде, сбоя в Windows).

Анонимные (встречаются крайне редко, являются файлами программ, которые запускаются как вспомогательные из-за манипуляций пользователя, без запроса разрешения на запуск).

Network/Local (процессы в диспетчере задач, связанные с локальной сетью, Интернетом и реестром, являются важными программами и компонентами Windows).

Пользовательские (программы, которые запущены пользователем).

Можно ли определить «левый» процесс?

Определить «левый» процесс можно не всегда. Если человек, который создал его и капитально замаскировал, вряд ли его сможет вычислить даже опытный компьютерный инженер, без получения намека на этот факт и детального изучения поведения каждого процесса.

Впрочем, человек, который уверен, что на компьютере висит лишняя программа, да еще и плохо замаскированная, сможет вычислить ее в считанные минуты.

Как скрыть процесс в диспетчере задач?

Самый простой вариант, скрытия процесса – переименовать основной исполняемый файл. Но стоит учесть, каким образом работает программа и не создает ли она дополнительные процессы, выдающие ее.

Если лишних процессов нет, тогда можно приступать:

1. Откройте папку с исполняемым файлом. Это можно сделать несколькими путями: если вы знаете, где размещен файл, можете перейти в папку с ним, или щелкнуть по процессу правой кнопкой мыши и выбрать пункт «Открыть местоположение файла».

2. После перехода в папку найдите исполняемый файл, он должен совпадать с названием процесса в диспетчере.

3. Переименуйте файл так, чтобы было трудно определить замену названия. Выполнить переименование можно через одноименный пункт контекстного меню. Расширение файла по-прежнему должно быть исполняемым файлом (.ехе).

4. Перейдите в диспетчер задач и посмотрите на процесс, который вы сами изменили.

Все прошло отлично, но процесс виден и его следует замаскировать так, чтобы никто не догадался о его реальном назначении? Для этого стоит учесть несколько нюансов, которые могут позволить вам скрыть процесс в диспетчере задач без чьей-либо помощи.

Процесс должен быть похож на ту программу, которая создает много собственных копий и она включена всегда. Четкий пример тому – все браузеры на движке Crome, или на постоянно запущенной программе Windows, которая не вызовет подозрений.

Названия можно менять с переключением русско-английских букв, например, заменив английскую на русскую и исправив иностранные буквы: а, б, д, е.

В заключение нужно отметить, что возможно, потребуется переименовать еще несколько файлов, которые являются «подпроцессами» программы.

Надеемся, вы поняли, как скрыть процесс в Windows. Экспериментируйте, прячьте, обучайтесь.

Компьютеры

Караоке – это прекрасный способ провести время или развлечь дружескую компанию. Но не все знают, что для этого совсем не обязательно иметь специальное мультимедийное оборудование, компакт диск с песнями и прочие принадлежности.В этой статье…

Компьютеры

При наличии современного телевизора и ноутбука, можно объединить два этих устройства воедино. Это очень удобно, потому что таким образом совмещаются их преимущества: большой экран, высокое разрешение и качественное изображение одного и многофункциона…

Компьютеры

Очень часто, при повседневных работах на компьютере, особенно на таком мобильном устройстве, как ноутбук, требуется настроить яркость экрана под определенные условия. Так, например, при чрезмерном освещении в помещении яркость экрана следует увеличит…

Смартфоны

Средства связи есть практически у любого жителя нашей страны. Бытует мнение, что современные технологии позволяют в режиме реального времени найти человека по его мобильному телефону. Попробуем разобраться, можно ли определить местонахождение человек…

Программы и приложения

Whatsapp является одним из самых популярных месседжеров в настоящее время. Им пользуются практически все, кто имеет в своем распоряжении смартфон на одной из актуальных платформ: iOS, Android, Windows Phone.С недавних пор функционал приложения допол…

Смартфоны

Для чего может потребоваться вывести экран телефона на компьютер? Это довольно полезная функция, которой можно найти множество применений. Например, с ее помощью гораздо удобнее показывать забавное видео друзьям, чем всем вместе толпиться или запуска…

Источник: https://tdblog.ru/kak-skryt-protsess-v-dispetchere-zadach-bez-dopolnitelnogo-softa.html

WinHide.SB — программа скрытия окон и процессов

WinHide.SB — программа управления видимостью окон и процессов.

Описание программы

  • Скрывает окна приложений на выбор (в том числе с панели задач).
  • Добавляется аналог клавиши «анти-босс» в активное окно (скрытие окна по нажатию заданного сочетания клавиш).
  • Позволяет задать «горячий список» — окна которые будут скрыты при нажатии клавиши «анти-босс», даже если они не активны.
  • «Окна скрываемые постоянно» — автоматически скрывает выбранные окна. На примере окна оповещения Avast: Показать / скрыть…Вы используете пиратскую версию (или любое другое окно, от любой программы)Иконка программы в системном трее (слева возле часов) -> «Управление окнами…» — отобразится список всех окон, выбираем нужное окно (Пакет avast! Internet Security) и перемещаем его в блок «окна скрываемые постоянно».Для того чтобы программа не скрывала окно настроек avast, устанавливаем галочку «Скрывать только окна с такими же размерами».После нажатия «Ok» программа скроет выбранное окно и будет скрывать его после перезагрузки компьютера автоматически.
  • Скрывает выбранные программы в диспетчере задач (только в 32 битных системах).
  • Позволяет изменить/скрыть свою иконку в системном трее и скрыть себя в диспетчере задач.
Версия:2.1.4.2k.lang
Системные требования: 2k, XP, 2003, Vista, 7, 8 (x32/x64)
Условия распространения:Бесплатно
Язык интерфейса:Русский, Английский
Разработчик:SBGames
Обновление:2014.11.08
WinHide.SB.exe 1.78 MB Закачек: 61469
WinHide.SB.rar 1.55 MB Закачек: 20757

Планы на будущее

  • Скрытие иконок программ в системном трее (удалением или выставлением опции «всегда скрывать»)
  • Изменение размера окон
  • Пароль на показ окна/окон
  • Работа с окнами по таймеру
  • Возможность развернуть все скрытые окна из «Горячего листа»
  • Возможность спрятать окна из «Горячего листа» не скрывая активное окно (если оно отсутствует в «Горячем листе»)
  • Добавление клавиш, которые могут быть использованы как «горячие клавиши»
  • Запрет на активацию окон (если получится)
Обновление 2.2+Показать / скрыть подробности…
  • Список исключений (окна которые нельзя скрывать)
  • Запрет на запуск окна
  • Запрет на запуск больше одной копии
    • Запрет на запуск больше одной копии приложения (в т.ч. с разных ехе)
    • В том числе из папки (с вложенными)
    • В том числе любой из папки (с вложенными), например — нельзя запустить несколько игр одновременно

Вступайте в группы сайта в социальных сетях или подпишитесь на рассылку новостей сайта, чтобы быть в курсе выхода обновлений!

История версий

История версий: Показать / скрыть подробности…

2.1.2.2k.lang.HotFixПоказать / скрыть подробности изменений…* Устранены мелкие недоработки и ошибки.+ В «управление окнами» добавлена опция «скрывать только окна с такими же размерами», некоторые программы создают окна, которые трудно отличить по другим признакам, если у вас была старая версия программы, то чтобы использовать эту функцию, после обновления удалите окна из списков «окна скрываемые постоянно» и «горячий список» и добавьте их в эти списки заново.

Источник: https://ruspchelper.com/kak-skryt-protsess-v-windows-7/

WinHide.SB – программа скрытия окон и процессов

Скрыть процесс

WinHide.SB — программа управления видимостью окон и процессов.

 

Все лайфхаки
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: