Защитить процесс от убийства

Discussion in 'WASM.HEAP' started by Increazon, Nov 9, 2011.

  1. Increazon

    Increazon New Member

    Blog Posts:
    0
    Joined:
    Feb 6, 2010
    Messages:
    14
    Нужен как можно проще код для защиты процесса от убийства с окна Диспетчера задач. Нужно чтобы было как у антивирусов, смотрите картинку

    [​IMG]

    Задача практичная. Хочу сделать возможность блокировки (windows + L) через инструкцию по интернету. Для чего это нужно? У меня есть брат, который приходит и сидит за компом часами и никак его не согнать. По-этому хочу такую программу и чтобы он, вдруг чего не смог ее убить. Родительский контроль не лучшее решение, так как без админских прав не работают некоторые тупые программы (например Nokia Ovi).

    Вдруг чего буду писать на Delphi 7.

    Если кто умнее, нашел страницу http://www.rsdn.ru/forum/asm/3105001.1.aspx может оттуда что-то взять?
     
  2. _sheva740

    _sheva740 New Member

    Blog Posts:
    0
    Joined:
    Aug 31, 2005
    Messages:
    1,539
    Location:
    Poland
    А почему не создать брату сеанс юзерский + "Родительский контроль"?
     
  3. Increazon

    Increazon New Member

    Blog Posts:
    0
    Joined:
    Feb 6, 2010
    Messages:
    14
    Nokia Ovi не работает без админских прав. + я хочу через смартфон и определенную страничку в интернете управлять распределением времени. допустим если меня не будет дома, он включит комп и будет пользоваться, я зайду через смартфон и ограничу время. не важно это.

    Важно как все таки защищают антивирусы свой процесс.
     
  4. _sheva740

    _sheva740 New Member

    Blog Posts:
    0
    Joined:
    Aug 31, 2005
    Messages:
    1,539
    Location:
    Poland
    А если так: Сервис крутится и опрашивает pop3 ящик. Ты шлешь на ящик письмо с командой ("Вырубить комп!")
    Сервис считал письмо и - вырубил?
     
  5. Increazon

    Increazon New Member

    Blog Posts:
    0
    Joined:
    Feb 6, 2010
    Messages:
    14
    А сервис то можно с диспетчера задач вырубить? Вот есть такой wmware-usbarbitrator.exe завершается, но через 5 секунд появляется. Можно и так, но как он сделан?
     
  6. _sheva740

    _sheva740 New Member

    Blog Posts:
    0
    Joined:
    Aug 31, 2005
    Messages:
    1,539
    Location:
    Poland
    Ну вот тут это есть. #21.
     
  7. qwe8013

    qwe8013 New Member

    Blog Posts:
    0
    Joined:
    May 28, 2009
    Messages:
    198
    Increazon
    Антивирусы защищают свой процесс из ядра. Но так как вам нужно защитить свой процесс не от малвари, а отмладшего брата, то я думаю что будет проще с помощью хуков внедрить в диспетчер задач dll-ку, а оттуда перехватить TerminateProcess.
     
  8. ASMatic

    ASMatic New Member

    Blog Posts:
    0
    Joined:
    Oct 5, 2010
    Messages:
    233
    Increazon
    проще всего в таком варианте изменить DACL\SACL
    rsdn.ru/article/baseserv/privileges.xml
     
  9. moderhi

    moderhi New Member

    Blog Posts:
    0
    Joined:
    Oct 11, 2011
    Messages:
    189
    Increazon
    проще диспечер задач сделать не работоспособным на время работы вашей
    будущей программы.
     
  10. Increazon

    Increazon New Member

    Blog Posts:
    0
    Joined:
    Feb 6, 2010
    Messages:
    14
    "Вы должны представлять себе, что такое SID, SD, DACL, SACL и т.д. Вы должны понимать сущность маркера доступа (access token)." Я пока не понимаю.

    а вдруг он может понадобиться. Он у меня постоянно включен, не хотелось бы его отключать. Тем более что включить его не так уж и сложно (через реэстр)

    Нужно правильное решение, такое как у антивирусов!
     
  11. Increazon

    Increazon New Member

    Blog Posts:
    0
    Joined:
    Feb 6, 2010
    Messages:
    14
    К сожелению не время ассемблер учить. Хотя он мне тоже интересен.
     
  12. moderhi

    moderhi New Member

    Blog Posts:
    0
    Joined:
    Oct 11, 2011
    Messages:
    189
    Increazon
    значит Вам прямая дорога на 0-уровень
     
  13. l_inc

    l_inc New Member

    Blog Posts:
    0
    Joined:
    Sep 29, 2005
    Messages:
    2,566
    Increazon
    Это очень крутой комментарий в свете предыдущего поста:
    Нужно "правильное" решение — пишите драйвер (не знаю, как там у Delphi с этим делом). Время на получение базовых знаний для написания драйвера десятикратно превосходит время изучения ассемблера на базовом уровне.

    Когда у меня стояла аналогичная задача насолить младшему брату, у меня ушло 8 (восемь!) месяцев на написание трояна. Три недели ушло только на то, чтобы превратить/отладить его из бсодогенератора в работоспособный перехватчик. Там, правда, обход всевозможных проактивок и фаерволов плюс функционал чуть ли не до подтасовки карт в пасьянсах, но это всё таки 8 (восемь!) долгих месяцев в основном ради того, чтобы с ехидной рожей вырубить ему комп с мобильного телефона у него на глазах. И сейчас я понимаю, насколько примитивны были использованные технологии.

    В общем, не советую морочить голову со скрытием процесса. Пишите dll-ку, которая посредством установки соответствующего ключика будет подгружаться каким-нибудь svchost'ом или winlogon'ом или чем-нить ещё при загрузке системы. "Нет процесса — нет проблем".
     
  14. h0t

    h0t Member

    Blog Posts:
    0
    Joined:
    Apr 3, 2011
    Messages:
    735
    Проще из розетки комп вытянуть))
    На самом деле поставте руткит на комп он защитит от вырубания процесса.
     
  15. TermoSINteZ

    TermoSINteZ Синоби даоса Staff Member

    Blog Posts:
    2
    Joined:
    Jun 11, 2004
    Messages:
    3,568
    Location:
    Russia
    Перемещено в хип.
     
  16. reserved

    reserved New Member

    Blog Posts:
    0
    Joined:
    Jan 11, 2011
    Messages:
    19
    HideToolz не проще ли?)
     
  17. qqwe

    qqwe New Member

    Blog Posts:
    0
    Joined:
    Jan 2, 2009
    Messages:
    2,914
    мониторить удаленно с телефона можно. и править можно. и даже несложно. многим тутошним обывателям. только толку вам с того, если вы дпже самвх напальцевых объяснений не поймете? вам целый комплекс писать надо. с проствм интерфейсом с картинками и скрепышами. нпример

    когдато портировал на вм инферно. порты есть и на вынь и на линь и еще много на чего. на андоид, писали, недавно портировали. не пробовал пока, переживаю, что пальму сперли, потому не скажу. на нокию порта нет.

    кроме обычных тсп и удп у инферны есть свой способ связи. выглядит он так

    на сервере

    ; listen -A tcp!*!PORT_NUM {export PATH_NAME}

    а на клиенте

    ; mount -A tcp!ADDRESS_OF_SERVER!PORT_NUM PATH_TO_MOUNT_POINT

    (большими буквами тут написано то что надо менять под себя.)

    и пользуете то к чему себе доступ открыли как если вы дома в кресле перед жертвой.
    (эксплуатируется та фишка, что в инф все выведено на файловую систему. файлы, процессы, устройства, окна и картинка на экране, звук (например, можно использовать как воип на скорую руку или удаленные колонки). ну и само собой чето запустить или остановить (или посмотреть) там у брата)

    как сделать неубиваемым без написания драйверов? ткнуть в расписание выневого крона чтоб подгружало если прибито да и все.

    если проблемы от ови, то ее можно снести и поставить то что раньше было. или через блютуф блюсолейл

    ферштейн? или еще раз, но понятно, с написанием/оформлением всего в виде 3х кнопочек и эранчика и за деньги?
     
  18. Increazon

    Increazon New Member

    Blog Posts:
    0
    Joined:
    Feb 6, 2010
    Messages:
    14
    про это подробнее можно?.
     
  19. _sheva740

    _sheva740 New Member

    Blog Posts:
    0
    Joined:
    Aug 31, 2005
    Messages:
    1,539
    Location:
    Poland
    qqwe
    ))))
    Increazon
    Может просто ...
    Code (Text):
    1. с:\at ?
     
  20. Nafanya

    Nafanya Member

    Blog Posts:
    0
    Joined:
    Jul 26, 2006
    Messages:
    581
    qqwe
    Почему Вы пытаетесь русифицировать технические термины: TCP, UDP, Bluetooth, cron и другие?
    Подобный некорректный перевод сбивает с толку и значительно снижает скорость чтения - т.к. каждый раз приходится думать над тем, какой же термин Вы переводили на русский.

    Большинство специалистов не поймут технические термины, придуманные лично Вами при переводе. (т.к. каждый переводит по-своему)
    Тогда бы уж переводили как есть: протокол управления передачей, протокол пользовательских дейтаграмм, Синий Зуб, демон-планировщик... По такому переводу - хоть ясно о чём речь идёт.

    Неужели не очевидно, что Technical English является более подходящим в данной ситуации, т.к. не искажает смысл оригинала, в связи с чем и не вызывает разногласий.
    Ваши Линь и Вынь звучат, как герои русских народных сказок. Зачем Вы смешиваете Computer Science c этим фольклором?