1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

[c++] AntiAnubis

Тема в разделе "C/C++", создана пользователем Mr.Burns, 13 фев 2012.

  1. Mr.Burns
    Mr.Burns местная мразь Продвинутый
    Симпатии:
    65
    из какого-то криптора вытащил.

    Код:
    #include <windows.h>
    #include <tlhelp32.h>
    
    bool IsAnubis()
    {
    	PROCESSENTRY32 pe32;
    	pe32.dwSize = sizeof(PROCESSENTRY32);
    	DWORD PID = 0, PPID = 0, expPID = 0;
    	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    	if(Process32First(hSnapshot, &pe32))
    	{
    		while(Process32Next(hSnapshot, &pe32))
    		{
    			PID = pe32.th32ProcessID;
    			if(PID == GetCurrentProcessId())
    			{
    				PPID = pe32.th32ParentProcessID;
    			}
    			if(!lstrcmp(pe32.szExeFile, "explorer.exe")) 
    			{
    				expPID = pe32.th32ProcessID;
    			}
    		}
    		CloseHandle(hSnapshot);
    	}
    	if(PPID != expPID)
    	{
    		return TRUE;
    	}
    	else
    	{
    		return FALSE;
    	}
    }
    
    
    void _WinMainCRTStartup()
    {
    	if(IsAnubis()){MessageBox(0,"anubis detected",0,0);ExitProcess(0);}
    
    	MessageBox(0,"hello world",0,0);
    	ExitProcess(0);
    }
     
    13 фев 2012
    1 человеку нравится это.
  2. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    По такому же принципу и с Comodo Camas, только там еще и вредоносный процесс всегда называется C:\sample.exe
     
    13 фев 2012
  3. Mr.Burns
    Mr.Burns местная мразь Продвинутый
    Симпатии:
    65
    любители песочницы каспера через контекстное меню тоже обломаются.
    [​IMG]
     
    13 фев 2012
  4. ZxZ666
    ZxZ666 Новичок
    Симпатии:
    0
    Таким методом процесс только от експлорера будет запускаться, а из командной строки/тотал коммандера/etc не запуститься.
     
    27 фев 2012

Поделиться этой страницей

Загрузка...