[es] - svchost -> netsvcs -> Messenger

tosys
fax
NS

Član broj: 38968
Poruke: 17
*.panline.net.

Sajt: tosys.co.sr

Profil

^{22.11.2004. u 15:52 - pre 236 meseci}

Pitanja verovatno idu ovim redosledom:

Kako naci Process ID od svchost.exe-a koji je pokrenuo [netsvcs -> Messenger]?
Kako "uloviti" thread ID od Messenger service-a(mozda bih se za ovo i snashao)?

Ima li ideja?........??

Who am I!? I'm a writter, poet actually.
What kind of poetry? Computer poetry...if ya know wht I mean.

Odgovor na temu

6ypek
burek pekaric

Član broj: 40233
Poruke: 25
*.nat-pool.nsad.sbb.co.yu.

Profil

Re: svchost -> netsvcs -> Messenger

^{24.11.2004. u 21:45 - pre 236 meseci}

Ajd malo objasni za sta ti to treba..
Posto ti je lakse pozvati Comp Manager za bilo kakvu
akciju koju zelis da uradis sa tim msngr-om..? :)

Odgovor na temu

tosys
fax
NS

Član broj: 38968
Poruke: 17
*.panline.net.

Sajt: tosys.co.sr

Profil

Re: svchost -> netsvcs -> Messenger

^{24.11.2004. u 23:00 - pre 236 meseci}

Pa, ideja je da se LAN messenger oslanja na MessengerService.
Ako neko nema LANmessenger ukljucen, imace message box.
Posto MessengerService nije normalno uradjen kao i ostatak
vindovsa (prim: prosledish aesu funkcije koja obradjuje nesto)
jedina dva-tri resenja su:

1. svakih 500ms raditi SearchWindow("Messenger Service "... [glupo po meni]
2. hookovati WH_CALLWNDPROCRET i "hvatati" MsgBoxove i ubijati
pre no sto se i pojave
3. patchovati/napisati novi msgsvc.dll [za ovo sam nedavno saznao]
(koliko sam video ima u celom dll-u samo jedan MessageBoxW poziv)

Sta kazesh?

Who am I!? I'm a writter, poet actually.
What kind of poetry? Computer poetry...if ya know wht I mean.

Odgovor na temu

6ypek
burek pekaric

Član broj: 40233
Poruke: 25
*.nat-pool.nsad.sbb.co.yu.

Profil

Re: svchost -> netsvcs -> Messenger

^{25.11.2004. u 10:49 - pre 236 meseci}

heh :) prosto :)

kad se Lan msngr startuje, samo uradis ShellExecute da bi zaustavio
Messenger service, u dos prozoru to radis sa:

Code:
net stop service_name

nakon zaustavljanja servisa, radis normalno, a kad korisnik odabere
da ugasi Lan msngr, onda lepo

Code:
net start messenger

kapis? :)

p.s.
pogledaj komandu net.exe i njen help :) imas puno korisnih stvari,
jedna od njih je i net send user msg pa ako zapne, vichi ;)

Sad se setih josh nechega.. Nadam se da nisi mislio na to da se CEO
LAN msngr, komplet, oslanja na Messenger servis?? Iskreno, lakshe
ti je otvoriti dva UDP objekta, jedan listening, jedan sending, i samo
pichish porukice, ili ako bash hocjesh, mozesh i TCP, mada nema
potrebe za TCP (sem ako mreza blokira UDP)... Enivej, ajd pogledaj
pa javi shta i kako :)

Odgovor na temu

tosys
fax
NS

Član broj: 38968
Poruke: 17
*.panline.net.

Sajt: tosys.co.sr

Profil

Re: svchost -> netsvcs -> Messenger

^{25.11.2004. u 20:08 - pre 236 meseci}

Mislm da nisam dobro objasnio.

Ideja jeste da svi dobijaju poruke imali oni LANmessenger
upaljen ili ne. A to mogu samo ako je msgsvc upaljen stalno.
(sta ako padne moj proggy i ne podigne messenger service)

A ako ugasim messenger svc onda nemam za sta da se hookujem.
A mislim da je Process specific hook sasvim ok resenje.
Samo josh kad bi znao za koji proces da se hookujem....

Who am I!? I'm a writter, poet actually.
What kind of poetry? Computer poetry...if ya know wht I mean.

Odgovor na temu

6ypek
burek pekaric

Član broj: 40233
Poruke: 25
*.nat-pool.nsad.sbb.co.yu.

Profil

Re: svchost -> netsvcs -> Messenger

^{26.11.2004. u 02:23 - pre 236 meseci}

Nazovi me ludim, ali pazi sta mi je palo na pamet u momentu dok sam
citao tvoj post :) Zamisli da imas mogucnost da "odlozis" pokretanje
msngr servisa..? Tj, da startujes servis, recimo, za 5 minuta? :)
Sta bi time dobio :) Pa.. Mogao bi recimo, svakih 5 minuta da odlozis
pokretanje msngr servisa, za narednih 5 minuta :) Time bi dobio da se
fakticki msngr servis nikada ni ne pokrene, pardon, servis se nikada ne
pokrene dok je tvoj progi aktivan :) jer tvoj progi stalno odlaze
pokretanje tog servisa? :) sta kazes? :)

E sad da te obradujem :) Postoji i komanda za odlozeno startovanje
nekih programa, servisa, itd. Jedini uslov je da je Scheduler servis
aktivan :) Ako ti je to problem, onda cemo morati izgleda da probamo
da radimo Hook na proces :)

Elem, ta komanda je "AT" i njenu sintaksu mozes dobiti tako sto u dos
prozoru otkucas "AT /?", ili da probas najprostiji primer

Code:
C:\> net start "Task Scheduler"
C:\> AT 13:55 /interactive "C:\windows\system32\cmd.exe"

prva linija je cisto da se osiguras da je scheduler servis pokrenut,
a u drugoj liniji, promeni ono 13:55 u neko vreme koje hoces.

Dakle, ako ti je proradio primer, onda je sve ok, i onda mozes da
umesto da pokreces cmd.exe, da pokrenes msngr servis. Ali..
Hteo sam da ti dam gotovo resenje, pa sam probavao kod sebe i
nisam nasao nacin da umesto cmd.exe uglavim ono "net start messenger".
Pa sam zato napravio .bat fajl (c:\start.bat) u kojem sam imao
jednu liniju: "net start messenger", a za AT komandu sam prosto stavio:
C:\> AT 13:55 "c:\start.bat" i to je radilo.

Jos jedna stvar, nakon izvrsenja AT komande, ispisace ti se jedna linija
u kojoj pise neki ID, tako da mozes da uradis AT ID /delete,
tj, prvo moras da obrises taj task, pa kreiras novi..

E sad.. ako sam smorio i zakomplikovao onda sori :)
ali mi je sve to zvucalo jako interesantno, pa ono.. O:)

Enivej, mogao si napraviti i poseban programcic, koji svakih 5 minuta
gleda da li je taj tvoj lanmanager ukljucen, pa ako nije da startuje
messenger, a ako jeste da onda iskljuci servis.. :) Eto, sad je stvarno
kraj! :))))

Odgovor na temu

tosys
fax
NS

Član broj: 38968
Poruke: 17
*.panline.net.

Sajt: tosys.co.sr

Profil

Re: svchost -> netsvcs -> Messenger

^{26.11.2004. u 19:21 - pre 236 meseci}

Divna ideja, zaista ali nisam kopao na tu stranu.
Ne znam tacno na koje portove stize poruka,
prica se da chak i kad iskljucish messenger, "njegov"
port ostane zauzet....ali pozabavicu se josh s tim
problemom.

Ne bih da zvoocim kao: "moje moje i samo moje resenje"
ali cini mi se da je i dalje "kurvanje" malo bolje od ovoga.

Pozabavicu se tvojom idejom pa se javljam sta sam
uspeo.

Who am I!? I'm a writter, poet actually.
What kind of poetry? Computer poetry...if ya know wht I mean.

Odgovor na temu

tosys
fax
NS

Član broj: 38968
Poruke: 17
*.panline.net.

Sajt: tosys.co.sr

Profil

Re: svchost -> netsvcs -> Messenger

^{27.11.2004. u 00:15 - pre 236 meseci}

port je 135
Izgleda da ostaje zauzet i kad se ugasi messenger.

Nasao sam nacin kako da identifikujem koji
svchost je pokrenuo messenger/alerter.

Cini mi se da bi zapravo trebao loviti Alerter
service. Mislim da on prikazuje poruke.

Trenutno pocinjem reverse engeneering na par
aplikacija koje pokusavaju ovo sto i ja pa cu videti.

Who am I!? I'm a writter, poet actually.
What kind of poetry? Computer poetry...if ya know wht I mean.

Odgovor na temu

tosys
fax
NS

Član broj: 38968
Poruke: 17
*.panline.net.

Sajt: tosys.co.sr

Profil

Re: svchost -> netsvcs -> Messenger

^{28.11.2004. u 00:18 - pre 236 meseci}

net stop messenger
CreateMailslot("\\.\mailslot\messngr", 0, -1, NULL);
GetMailslotInfo(...
ReadFile(...
...
---
imam problem, ovako mislim da ce raditi winpopup
ali nece NT-ova net send komanda. Mislim da pinguje neki
port na neki nacin pre slanja same poruke.
sJIT! God come and take me now, I'm ready!!!!

[PS: Mislim da je hooking i dalje najbolja ideja.]

Who am I!? I'm a writter, poet actually.
What kind of poetry? Computer poetry...if ya know wht I mean.

Odgovor na temu

6ypek
burek pekaric

Član broj: 40233
Poruke: 25
*.nat-pool.nsad.sbb.co.yu.

Profil

Re: svchost -> netsvcs -> Messenger

^{29.11.2004. u 02:15 - pre 236 meseci}

joj covece..
pa ne radi to tako kako si ti mislio :)))))
jesi li ti nekad cuo za NETBios ??? :)))
135-139 su ti bash ti portovi, i oni ce ti
ostati zauzeti, dokle god ti je ukljucen file sharing,
tj, ako koristis mrezu preko domain controler-a
onda prakticno uvek :)

ono sto sam ti ja bio napisao, cini mi se nekako kao
"legalan" nacin da uradis sve to :) poenta je ta, da
zaustavis messenger service, onako kako to sistem
zahteva da se uradi, a to je preko net stop messenger
mada mislim da se sigurno to moze i preko nekog API-ja
uraditi, pa cu pogledati i koji API je u pitanju :)

Code:
BOOL StartService(

    SC_HANDLE hService,    // handle of service
    DWORD dwNumServiceArgs,    // number of arguments
    LPCTSTR *lpServiceArgVectors     // address of array of argument string pointers
   );

ova f-ja se nalazi u winsvc.h ili u advapi32.lib
elem, ako koristis Borlandov paket, nadji help file
win32.hlp i tamo u Index kucaj ime
ove funkcije, pa onda idi na "Overwiev"..

elem, zaustavis servis, i onda je to to, znaci, nema
poruka, nema "lovljenja" messenger-ovog servisa, nista..
A ako sam razumeo, ti hoces da bude aktivan i taj tvoj
LanManager i messenger, s tim sto bi hteo da presreces
poruke messenger-a, i da ih prikazujes u svom prozoru?

Odgovor na temu

tosys
fax
NS

Član broj: 38968
Poruke: 17
*.panline.net.

Sajt: tosys.co.sr

Profil

Re: svchost -> netsvcs -> Messenger

^{29.11.2004. u 12:24 - pre 236 meseci}

Da, pa otju da budu oba akrivna. Tako da ako neko salje poruku sa LANmessengera i drugi komp:

[ima upaljen LANmessenger] onda se poruke prikazuju u mom prozoru.
[nema LANmessenger] onda che svakako dobiti poruku preko messengera->alertera

....i obrnuto.....

reverse-engeneerovao sam [alrsvc.dll] sto je alerterov dll i nashao da i alerter ima svoj mailslot i da mu salju poruke sa prefixom:
PRINTING
ADMIN
NETMSG
...

U ovom trenutku bi najradije prepisao alrsvc.dll, ( nemam predstavu
sta cu ali izvescu vec nesto, ja sam poseban kalibar kao IvoLolaRibar).
Samo sto u alsvc-u ima previshe koda da bih ga prepisivao u svoj.

Kako si ti tacno mislio da resavash poruke posto ugasish messerger-a?

Who am I!? I'm a writter, poet actually.
What kind of poetry? Computer poetry...if ya know wht I mean.

Odgovor na temu