В лонгхорне уже сделали ProcessNotifyEx, там можно влиять на создание (т.е. вернуть ошибку к примеру и нифига не создасться)
n0name Если вы подразумеваете ограничение прав пользователя, то не вариант, так как надо защищать и от пользователей с админовскими правами. tylerdurden Нужно универсальное средство под 2k/xp/2003 Если хучить SDT единственный способ, то какой лучше способ использовать: 1. замена адреса в самой SDT 2. jmp в теле самой функции Ну и вообще мнение по поводу использования таких приемов в комерческих продуктах(не антивирус)
Хучить сдт лучше по крайней мере потому, что приходится переписывать дворд, что можно сделать атомарной операцией, в отличие от записи 5 байт для сплайсинга
отрицательное Marik Защита процесса от завершения - весьма не такая уж простая задача, существует множество способов убить процесс, и парой хуков зачастую тут не обойдешся. Кроме того, что делать, если приложение просто сглючит, и диспетчером его уже не прибить? Часто можно обойтись без хуков, - например, создать поток в другом процессе (системном), который будет следить за первым процессом, и если тот завершился - перезапускать его. Перехват лучше делать через SSDT и дело не в атомарности даже, а правильнее сказать, в безопасности. Менять то атомарно и 5 байт можно ( lock cmpxchg8b ), но у сплайсинга много других недостатков, например, вероятность креша системы, если какой-то поток прервался в месте патча, и версия Win не поддерживает hot-patch.
Marik Админу тоже можно запретить PROCESS_TERMINATE вопрос в том - насколько надежно надо запретить? админу естесно лазейки найти полегче
Да, я вообщемто имел в виду как раз то, что другой поток может выполнять инструкции на месте патча, просто написал не то че думал. Я пытался написать код, который перечислит EIP всех потоков и проверит, что действительно чтото не так. Только задолбался +) Вообщем-то, вероятность такого расклада невелика.
Понял Решил перехватывать только ZwOpenProcess, ZwTerminateProcess и ZwTerminateThread. Знаю что можно процесс взять под отладку и все такое.... но думаю этим ограничится пока. Каспер вроде как перехватывает такие инжекты и ругается что вирус. Спасибо всем ответившим!