 |
eXeL@B —› Программирование —› Protect Process |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 07 апреля 2012 14:21 · Поправил: OnLyOnE · Личное сообщение · #1 Собственно задача состоит в том, чтобы защитить свой процесс от завершения в диспетчере задач и не только. Примером может служить процесс smss.exe и реакция диспетчера задач на попытку его завершения. Сразу говорю, гуглил .. много рассуждений на данную тему, но примера рабочего кода так и не нашел.(может хреново искал?) В общем хотелось бы получить максимально развернутый ответ на поставленный вопрос с примером рабочего кода (язык не важен). Из того что почерпнул в гугле и на васме, что можно хучить TerminateProcess и DebugExitProcess. Вот интересно, есть другие способы кроме хука? Более "цивилизованные"?  P.S. Сразу оговорюсь, мой процесс -> сервис ----- aLL rIGHTS rEVERSED!  |
|
|
Создано: 08 апреля 2012 21:12 · Поправил: cosinus · Личное сообщение · #2 ARCHANGEL Дык а если в процессе выделить память, скопировать туда "полезный код сервиса" и дать управление через QueueUserAPC. (кажется так делал 2k8) и тогда уже и RKU может не увидеть. P.S. Открытие процесса и запись в его память дают привилегиии по условию: Code:
В крайнем случае поднимутся через RtlAdjustPrivilege. Но по моему скромному мнению чтобы процесс нельзя было убить, следует "играть в прятки". Ибо чтобы "кыльнуть" процесс - его надо сначала "увидеть". |
|
|
Создано: 08 апреля 2012 23:51 · Поправил: ClockMan · Личное сообщение · #3 cosinus пишет: Касаемо действий венды при сбое сервиса, то можно и в реестре сразу править ключи Зачем так далеко лесть идём Панель управления>адменестрирование>службы и делаем с сервисом что хочем 
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 09 апреля 2012 00:12 · Личное сообщение · #4 cosinus пишет: Но по моему скромному мнению чтобы процесс нельзя было убить, следует "играть в прятки". Ибо чтобы "кыльнуть" процесс - его надо сначала "увидеть". Нет. Перебор всех возможных идетификатор процессов, а это диапазон от 0 до 0FFFFh, с последующим чтением имени из PEB покажет сокрытого негодяя. Так что увидеть его всё ж можно и без драйвера. Ms-Rem именует этот способ как "черезжопный", что ж, это весьма точное описание, но способ есть. Ладно, я так понимаю, что проблема решилась, так что больше разводить демагогию смысла не вижу. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 09 апреля 2012 00:55 · Личное сообщение · #5 ARCHANGEL пишет: Перебор всех возможных идетификатор процессов, а это диапазон от 0 до 0FFFFh, с последующим чтением имени из PEB покажет сокрытого негодяя. Чёрт побери, отличная идея! |
|
|
Создано: 09 апреля 2012 01:25 · Личное сообщение · #6 ARCHANGEL пишет: а это диапазон от 0 до 0FFFFh а почему я сейчас у себя наблюдаю идентификаторы овер 200000? |
|
|
Создано: 09 апреля 2012 09:59 · Личное сообщение · #7 _ruzmaz_ Понятия не имею. Я писал про ХР, может, на новых что-то и поменялось. В любом случае, зловред из режима ядра может поправить значения ProcessId, и тогда будет возможным увидеть значение до sizeof(DWORD). ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 09 апреля 2012 12:54 · Поправил: _ruzmaz_ · Личное сообщение · #8 ARCHANGEL ну я тоже про хр) возможно, это из-за того, что с 24.03.12 не перезагружался в любом случае, ограничение в FFFF кажется грубоватым, откуда оно вообще? |
|
|
Создано: 09 апреля 2012 16:46 · Личное сообщение · #9 _ruzmaz_ Я лично никогда не видел процессов с таким здоровенным идентификатором. Ограничение установлено опытным путём, но, если есть интерес, думаю, найдёте подтверждение либо опровержение в WRK. ----- Stuck to the plan, always think that we would stand up, never ran. |
| << . 1 . 2 . |
|
eXeL@B —› Программирование —› Protect Process |
Для печати