[GrabbeR]

Готов заплатить сколько нужно (в разумных пределах). Есть пример драйвера для защиты от завершения процесса программы. На Win XP работает, а нужно реализовать для Win 7 x86/x64 и Win 8 x86/x64. Кто готов взяться - пишите!

Пример: http://delphiexpert.ru/isxodnik-draj...-primerom.html

[M.A.D.M.A.N.]

Под 7-ку переделывается в два счёта. Под х64 правда не будет работать без сертификата безопасности (будет работать до первого перезагруза системы).

Кстати, тот сорц закрытый. Тот чел (Лакутин Иван), который писал драйвер, вроде бы у покойного MS-REM`а его слямзил.

Вроде бы такая констана для 7000 былда 7-ки: OpenProcId = 0x0BE;

[Zorkov Igor]

Исходник программы для скрытия и защиты процесса от завершения в Windows 32 бит, используя перехват функций ZwTerminateProcess и ZwQuerySystemInformation в Kernel Mode

http://smalldonkey.net/index.php/8-vcl/12-hide-process

[GrabbeR]

Спасибо за пример исходника, полезен. Но он не работает на семерке и восьмерке x84/x64.

[GrabbeR]

Цитата:

Сообщение от M.A.D.M.A.N.

Под 7-ку переделывается в два счёта. Вроде бы такая констана для 7000 былда 7-ки: OpenProcId = 0x0BE;

Вы бы могли это сделать?

[Zorkov Igor]

Цитата:

Сообщение от GrabbeR

...Но он не работает на семерке и восьмерке x84

Все работает отлично на семерке и восьмерке

Написано же Supported OS Windows 2000, 2003, XP, Vista, 7, 8, 8.1 - 32 Bit

А для 64 битной винды использовать ObRegisterCallbacks

[Zorkov Igor]

Цитата:

Сообщение от M.A.D.M.A.N.

Под х64 правда не будет работать без сертификата безопасности (будет работать до первого перезагруза системы).

Под x64 без сертификата драйвер не стартует вообще, не будет работать ни как

[GrabbeR]

Цитата:

Сообщение от Zorkov Igor

Все работает отлично на семерке и восьмерке

Написано же Supported OS Windows 2000, 2003, XP, Vista, 7, 8, 8.1 - 32 Bit

А для 64 битной винды использовать ObRegisterCallbacks

Я тестировал на Win 7 х86 - не работает.

[Zorkov Igor]

А я тестировал у меня на x86 работает

Переделай исходник, посмотри какие ошибки возвращает каждая функция, посмотри запущен ли драйвер

Например

Код:

if not DeviceIoControl(DriverDevice, CTL_CODE($F100, $0901, 0, 0), @InitInfo, Sizeof(TInitInfo), nil, 0, dwBytesReturned, 0) then
    Form1.Caption:= 'ERROR DeviceIoControl 901: ' + SysErrorMessage(GetLastError());

Код:

DriverDevice := CreateFileW('\\.\' + 'SSDTHOOK', GENERIC_READ or GENERIC_WRITE, 0, PSECURITY_DESCRIPTOR(nil), OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);

if (DriverDevice = 0) or (DriverDevice = INVALID_HANDLE_VALUE) then
    Form1.Caption:= 'ERROR CreateFileW SSDTHOOK: ' + SysErrorMessage(GetLastError());

Сделай обработку ошибок для каждой функции и процедуры

Как то так

И если тебе нужен 100% готовый вирус/зловред ты точно не суда пришел

[M.A.D.M.A.N.]

Тут напрямую из таблицы дергается адрес.
В реализации с васма было явно числом задано.