Собственно задача состоит в том, чтобы защитить свой процесс от завершения в диспетчере задач и не только.
Примером может служить процесс smss.exe и реакция диспетчера задач на попытку его завершения.
Сразу говорю, гуглил .. много рассуждений на данную тему, но примера рабочего кода так и не нашел.(может хреново искал?)
В общем хотелось бы получить максимально развернутый ответ на поставленный вопрос с примером рабочего кода (язык не важен).
Из того что почерпнул в гугле и на васме, что можно хучить TerminateProcess и DebugExitProcess.
Вот интересно, есть другие способы кроме хука? Более "цивилизованные"?

P.S. Сразу оговорюсь, мой процесс -> сервис

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

запускай 2 сервиса, чтобы один восстанавливал другого

| Сообщение посчитали полезным:

Пример неудачный, smss закостылен по имени в диспетчере. Обзови свой процесс так же, то же самое скажет. Другими менеджерами он спокойно убивается. Нормально это никак не сделаешь, ограничить юзера в правах только, не давай админа.

| Сообщение посчитали полезным:

tihiy_grom пишет:
запускай 2 сервиса, чтобы один восстанавливал другого
неудачный вариант, я как-раз стремлюсь к минимизации реализации, а не нагромождения всяких
изощренных методов.
Archer пишет:
Обзови свой процесс так же, то же самое скажет
Эт уже побывал... работает... но как бы тоже метод не исключительный по красоте реализации
Archer пишет:
ограничить юзера в правах только, не давай админа
тоже не вариант, увы..
P.S. Пока, в качестве хоть какой-то защиты прикрутил вот такое решение... оно не препятствует завершению процесса,
но делает BSOD системе при завершении моего процесса

НО вопрос по теме остается открытым, т.е. требующего вариантов решения...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Похукать NtOpenProcess, ZwTerminateProcess

| Сообщение посчитали полезным:

TryAga1n пишет:
Похукать NtOpenProcess
Пример кода, как?

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Бред конечно, но например создай тред который со Sleep,100 будет проверять все процессы и если там есть TerminateProcess(и все остальные), блокировать их типа ret в начале.

| Сообщение посчитали полезным:

OnLyOnE
Не заморачивайся на защите а то получится как nProtect GameGuard,
пиши дровину и прячь свой процесс как олю прячет фантик хотя утиль от руссиновича всёравно найдёт его
tihiy_grom пишет:
запускай 2 сервиса, чтобы один восстанавливал другого
да заморожу я эти два процесса а потом кильну,даже пикнуть неуспеют...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Только через драйвер
http://somebastardstolemyname.wordpress.com/2008/10/04/c-ntopenprocess-hook/
-
Вообще вопрос этот чисто VX'ерский, так что стоит подомогаться до СЛиВок, он много может рассказать))

| Сообщение посчитали полезным:

Vovan666 пишет:
Бред конечно, но например создай тред который со Sleep,100 будет проверять все процессы и если там есть TerminateProcess(и все остальные), блокировать их типа ret в начале.
Не айс если честно ... так можно и систему подвесить, если во всех процессах хутчить TerminateProcess и иже с ними..
ClockMan пишет:
пиши дровину и прячь свой процесс как олю прячет фантик
да мог бы я спрятать, и пример исходника дровины есть... но пока хочу той реализации о которой писал выше..
TryAga1n пишет:
Вообще вопрос этот чисто VX'ерский, так что стоит подомогаться до СЛиВок, он много может рассказать))
Ну... не VX'ерский... , просто от "продвинутых" пользователей которые суют нос куда не следует .

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

OnLyOnE пишет:
Ну... не VX'ерский... , просто от "продвинутых" пользователей которые суют нос куда не следует .
ну тогда 2 контролирующих друг друга сервиса тебе вполне хватит

| Сообщение посчитали полезным:

tihiy_grom пишет:
ну тогда 2 контролирующих друг друга сервиса тебе вполне хватит
ну не хочу я писать отладчик..плюс ресурсы дополнительные будет жрать такой тандем

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Поставь обработчик на закрытие твоего сервиса - открытие его снова.

| Сообщение посчитали полезным:

А утилита от Ms-Rem'a не лечит такое?

| Сообщение посчитали полезным:

Dart Sergius пишет:
Поставь обработчик на закрытие твоего сервиса - открытие его снова.
Это, я так понял, во втором процессе? Можно..
NikolayD пишет:
А утилита от Ms-Rem'a не лечит такое?
Ну не буду же я таскать с вместе со своим сервисом какую-то утилиту?
P.S.
Но я так и не увидел ни одного даже самого маленького кусочка кода реализации одного из вариантов.
Слова.. слова...
P.P.S. Тайно надеюсь, что топ прочтет глубокоуважаемый системный гуру ntldr и посоветует дельное..

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

OnLyOnE, а в сервисы не обрабатывают сами своё закрытие? Что если заменить обработчик системный на закрытие - своим?

| Сообщение посчитали полезным:

Можно выставить автоматический рестарт сервиса, если он помер.

| Сообщение посчитали полезным:

Dart Sergius пишет:
OnLyOnE, а в сервисы не обрабатывают сами своё закрытие? Что если заменить обработчик системный на закрытие - своим?
естественно есть обработчик,но если мне самому надо будет нужно остановить сервис, я хрен это сделаю если в обработчике намучу рестарт, если я тебя правильно понял..
Archer пишет:
Можно выставить автоматический рестарт сервиса, если он помер.

Тоже самое, мне надо к примеру самому прибить сервис... ?..

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Помер!=корректно был завершён. Если сам начнёшь тоже прибивать через пень-колоду, таки да, тоже перезапустится.

| Сообщение посчитали полезным:

Archer пишет:
Помер!=корректно был завершён. Если сам начнёшь тоже прибивать через пень-колоду, таки да, тоже перезапустится.
Ок, согласен. Пример кода, что ловить в обработчике? Хотя бы частично... плиз

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

OnLyOnE а ты перед перезапуском проверяй ключ в реестре или наличие какого-нить файла, если нету - то перезапуск.

| Сообщение посчитали полезным:

Почитай мой пост выше ещё раз. Я не имел в виду обработчики. А имел в виду стандартную виндовую фичу перезапуска сервисов в случае сбоев. Если происходит сбой (внезапно сервис сдох), винда его перезапустит, никакие обработчики трогать не надо.

| Сообщение посчитали полезным: OnLyOnE

OnLyOnE
--> Здесь <-- Ms-Rem показывает, как написать простенький драйвер, перехватывающий NtOpenProcess и не дающий диспетчерам задач из ринг3 грохать твой процесс. В конце есть сорцы. А с перезапуском - мне как-то не очень сама идея. Для того, чтобы нехорошие перцы-малварщики так не делали (не перезапускали свои малварные процессы), можно просто через CreateFile открыть Pe-файл с dwShareMode == 0 и никакой перезапуск такому сервису не поможет. Ибо CreateProcess нормально не отработает по понятным причинам. В случае же драйверного перехвата желательно не давать открыть и csrss.exe, ибо в нём есть все описатели процессов, через которые тоже можно грохнуть защищаемый тобой процесс.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Придет ntldr и скажет, что выхода нет

Нормально это не сделать, все хотят быстро и с малым кодом, лень писать. Полулегально можно перехватом SSDT или инжект в чужой процес, но все это дело может и не сработать, сейчас понаставлено всякого на компьютерах. Поэтому чем проще, тем лучше.

По нормальному я бы делал Длл с основной начинкой, она как сервис по умолчанию не будет видна в таск менеджере, далее наделать нужных гуи стабов, скажем ГУИ для управления, ГУИ с основным функционалом, далее накатать протокол общения через named pipes, ввести туда стандарт безопасности, таким образом без особого реверса только ты будешь общаться со своим сервисом, через протокол реализовать управление завершения или изменения параметра авторестарта.

Далее остальная начинка сервиса развертывает все стабы гуи скажем через планировщик задач, либо открытие ехе черех сторонний процесс через инжект и конект к сервису с проверкой. Если даже гуй будет леквидирован пользователем, он не завершит весь главный сервис, сервис легко запустит вновь нужный ему стаб для работы с пользователем. Если же адепт полезет в сервисы проверять или будет наводка на именно тот сервис, то сервис в списке сервисов можно скрыть через структуру SERVICE_RECORD, по принципу сокрытия тоже самое, что сокрытие в таскменеджере, нужно будет лишь перебрать их и найти свой сервис.

Вот статья на эту тему http://www.codeproject.com/Articles/46670/Service-Hiding

Также можно посмотреть плагины оллидбг там есть кажется сокрытие через хук опенпроцесс и NtQueryInformationProcess

Сам сервис при перезапуске



Все остальное через ControlService управляется как стандартный сервис. Клиент - Сервер техникой и легкой игрой с перехватами можно сделать нормальное сокрытие ИМХО

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: OnLyOnE, _ruzmaz_

Archer пишет:
Можно выставить автоматический рестарт сервиса, если он помер
Вообще можно выставить и перезагрузку компа например если будет более двух сбоев

но опять это всё обходится штатными утилями виндовс

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Archer пишет:
Почитай мой пост выше ещё раз. Я не имел в виду обработчики. А имел в виду стандартную виндовую фичу перезапуска сервисов в случае сбоев. Если происходит сбой (внезапно сервис сдох), винда его перезапустит, никакие обработчики трогать не надо.

Я понял, вариант неплохой скорее всего его и реализую.
mak
спасибо за код.

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Сделал
Для "продвинутых" юзверей действительно оптимальное решение "не убиваемого" процесса.
Вот мой код (может кому будет интересно)


-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Дык не решилась проблемка-то.
Касаемо действий венды при сбое сервиса, то можно и в реестре сразу править ключи. Которые можно отловить RegMon'ом. Но это "кто-как-хочет".
Но если реально надо защитить процес от кыляния в "диспетчере задач" и других ринг3-утилитах, то лучше сделать так, чтобы имени этого процесса в этих утилита небыло
tasklist в командной строке и tasklist /svc
Или же "прятаться" ещё глубже, в тех "отличиях" выводимых консолью.
Тоесть лучше спрятаться, тогда перед тем чтобы кильнуть - следует поискать. И поиск через EPROCESS может обламаться
Думаю у меня получилось изложить ход мысли.

| Сообщение посчитали полезным:

cosinus
Если уж развивать это направление, то любой "продвинутый" юзверь может качнуть RKU, перечислить все процессы и сделать Force Kill + File Erase, и если сервис представлен самостоятельным ехе-файлом, то можно сразу начинать отпевать его. И никакие трюки с EPROCESS тут не работают, ибо RKU юзает списки планировщика.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
то любой "продвинутый" юзверь
Ну вы батенька нагоняете тумана
Не на столько они у меня продвинутые, иначе не пользовались бы моими услугами

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным: