| Сейчас на форуме: tyns777 (+5 невидимых) |
 |
eXeL@B —› Программирование —› Уничтожение процесса из Ring0 |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 13 декабря 2007 16:00 · Личное сообщение · #1 Всем доброго времени суток, подскажите где можно найти информацию по сабжу. Так же было бы интересно узнать, возможно ли защититься от уничтожения процесса из Ring0.  |
|
|
Создано: 15 декабря 2007 14:55 · Личное сообщение · #2 Такая весёлость, как уничтожение процесса из ring-0 может понадобиться при отключении антивирусов, например, всё того же антивируса Касперского. Но просто вызвать NtTerminateProcess тут маловато, так как хук происходит где-то в недрах ядра, но если вы решили бороться с таким софтом, или подобным ему, тут есть более простой и приятный метод - обычно такие программы создают инсталяционный пакет, чтоб когда она вам надоест, вы могли её анинсталлировать. Для того, чтоб анинсталлить её без ведома юзверя, нужно просто вызвать msiexec с такими параметрами: /qn /x{...} где вместо троеточия - SID программы. Его же можно узнать через реестр, ветвь HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products а там посмотреть внутри каждого подраздела 
----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 15 декабря 2007 20:52 · Личное сообщение · #3 Снова всем спасибо за ответы =). Несколько дней не было меня здесь ... вижу что тема эта животрепещущая =). в принципе ход мыслей понятен ... буду пытаться копать дальше и глубже. На сегодняшний день программа на которой я тестирую все фичи может свободно пройти мимо Outpost 4 + NOD32 и они даже ее не видят, т.е. я свободно могу прибить svchost.exe так что аутпост молчит =) что уже прогресс. Единственное при переходе в Ring0 Outpost жалуется что мол такой-то процесс пытается обратится (если не ошибусь в написании) к физической памяти кажется. Ну а в остальном все проходит тихо и спокойно. |
|
|
Создано: 16 декабря 2007 13:10 · Поправил: S_T_A_S_ · Личное сообщение · #4 Lumen пишет: не оговаривалось же с каким последствиями будет уничтожен процесс. Верно, такой вариант не тянет на теоретически обоснованное решение. Но фишка в том, что уничтожение процесса - это не конечная цель АТ, а средство достижения другой цели; не важно, что это за другая цель, но очевидно, что ее нельзя бедет выполнить после BSOD. |
|
|
Создано: 16 декабря 2007 20:35 · Личное сообщение · #5 >>>Для проверки работоспособности этого способа мы сейчас напишем драйвер перехватывающий функцию NtOpenProcess и запрещающий открытие какого-нибудь процесса с флагом PROCESS_TERMINATE, после чего убить этот процесс диспетчером задач будет уже невозможно. Подобным способом защиты пользуются также некоторые антивирусы. Вот что написанно в 3 части статью рема. Подскажите плз, где можно найти таблицу с флагами. очень нужно. |
|
|
Создано: 16 декабря 2007 21:11 · Личное сообщение · #6 Какую таблицу с флагами? Значения флагов что ли? В частности значение PROCESS_TERMINATE? ----- The truth is out of there... |
|
|
Создано: 16 декабря 2007 21:18 · Личное сообщение · #7 если цель - убить, то можно убить IceSword'ом 
----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 16 декабря 2007 21:23 · Личное сообщение · #8 Lumen да именно, сори что не правильно выразился |
|
|
Создано: 16 декабря 2007 23:43 · Личное сообщение · #9 Вообще dword 1. Если на С пишешь, то это значение будет в winnt.h Если на Delphi, то в Windows.pas. Так что можно просто эти файлы пдключить ----- The truth is out of there... |
|
|
Создано: 17 декабря 2007 00:48 · Личное сообщение · #10 спс ... буду дальше копатся |
| << . 1 . 2 . |
|
eXeL@B —› Программирование —› Уничтожение процесса из Ring0 |
Для печати