Сейчас на форуме: ManHunter, rmn, _MBK_, tyns777 (+10 невидимых)

 eXeL@B —› Программирование —› Protect Process
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 462.8 (мудрец), 468thx
Активность: 0.280
Статус: Участник
Only One!

Создано: 07 апреля 2012 14:21 · Поправил: OnLyOnE
· Личное сообщение · #1

Собственно задача состоит в том, чтобы защитить свой процесс от завершения в диспетчере задач и не только.
Примером может служить процесс smss.exe и реакция диспетчера задач на попытку его завершения.
Сразу говорю, гуглил .. много рассуждений на данную тему, но примера рабочего кода так и не нашел.(может хреново искал?)
В общем хотелось бы получить максимально развернутый ответ на поставленный вопрос с примером рабочего кода (язык не важен).
Из того что почерпнул в гугле и на васме, что можно хучить TerminateProcess и DebugExitProcess.
Вот интересно, есть другие способы кроме хука? Более "цивилизованные"?

P.S. Сразу оговорюсь, мой процесс -> сервис

-----
aLL rIGHTS rEVERSED!




Ранг: 13.8 (новичок), 1thx
Активность: 0.010
Статус: Участник

Создано: 08 апреля 2012 21:12 · Поправил: cosinus
· Личное сообщение · #2

ARCHANGEL
Дык а если в процессе выделить память, скопировать туда "полезный код сервиса" и дать управление через QueueUserAPC. (кажется так делал 2k8) и тогда уже и RKU может не увидеть.

P.S. Открытие процесса и запись в его память дают привилегиии по условию:

Code:
  1. Сразу оговорюсь, мой процесс -> сервис


В крайнем случае поднимутся через RtlAdjustPrivilege.

Но по моему скромному мнению чтобы процесс нельзя было убить, следует "играть в прятки". Ибо чтобы "кыльнуть" процесс - его надо сначала "увидеть".




Ранг: 568.2 (!), 465thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 08 апреля 2012 23:51 · Поправил: ClockMan
· Личное сообщение · #3

cosinus пишет:
Касаемо действий венды при сбое сервиса, то можно и в реестре сразу править ключи

Зачем так далеко лесть идём Панель управления>адменестрирование>службы и делаем с сервисом что хочем

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.





Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 09 апреля 2012 00:12
· Личное сообщение · #4

cosinus пишет:
Но по моему скромному мнению чтобы процесс нельзя было убить, следует "играть в прятки". Ибо чтобы "кыльнуть" процесс - его надо сначала "увидеть".

Нет. Перебор всех возможных идетификатор процессов, а это диапазон от 0 до 0FFFFh, с последующим чтением имени из PEB покажет сокрытого негодяя. Так что увидеть его всё ж можно и без драйвера. Ms-Rem именует этот способ как "черезжопный", что ж, это весьма точное описание, но способ есть. Ладно, я так понимаю, что проблема решилась, так что больше разводить демагогию смысла не вижу.

-----
Stuck to the plan, always think that we would stand up, never ran.




Ранг: 13.8 (новичок), 1thx
Активность: 0.010
Статус: Участник

Создано: 09 апреля 2012 00:55
· Личное сообщение · #5

ARCHANGEL пишет:
Перебор всех возможных идетификатор процессов, а это диапазон от 0 до 0FFFFh, с последующим чтением имени из PEB покажет сокрытого негодяя.


Чёрт побери, отличная идея!



Ранг: 114.8 (ветеран), 41thx
Активность: 0.10
Статус: Участник

Создано: 09 апреля 2012 01:25
· Личное сообщение · #6

ARCHANGEL пишет:
а это диапазон от 0 до 0FFFFh

а почему я сейчас у себя наблюдаю идентификаторы овер 200000?




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 09 апреля 2012 09:59
· Личное сообщение · #7

_ruzmaz_
Понятия не имею. Я писал про ХР, может, на новых что-то и поменялось. В любом случае, зловред из режима ядра может поправить значения ProcessId, и тогда будет возможным увидеть значение до sizeof(DWORD).

-----
Stuck to the plan, always think that we would stand up, never ran.




Ранг: 114.8 (ветеран), 41thx
Активность: 0.10
Статус: Участник

Создано: 09 апреля 2012 12:54 · Поправил: _ruzmaz_
· Личное сообщение · #8

ARCHANGEL
ну я тоже про хр) возможно, это из-за того, что с 24.03.12 не перезагружался
в любом случае, ограничение в FFFF кажется грубоватым, откуда оно вообще?




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 09 апреля 2012 16:46
· Личное сообщение · #9

_ruzmaz_
Я лично никогда не видел процессов с таким здоровенным идентификатором. Ограничение установлено опытным путём, но, если есть интерес, думаю, найдёте подтверждение либо опровержение в WRK.

-----
Stuck to the plan, always think that we would stand up, never ran.



<< . 1 . 2 .
 eXeL@B —› Программирование —› Protect Process
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати