Защита процесса от удаления.

А смыслу? Специфика приложения такова, что оно всегда будет чем-нибудь палиться, и эта же специфика освобождает это приложение от тех, кто любит снимать антивирусы и прочую лабуду. Да кому такое надо?

 

Почему, если поток инициировал IRP, который никогда не завершится (deadlock или бесконечный цикл в обработчике), то такой поток прибить нельзя ) Пробовал уже

 

Я тоже пробовал. Нельзя.
Причем deadlock on NtQueryObject - глюк, а невозвращенный IRP - фича.

 

Провел я небольшое исследование по поводу того, что процесс имеющий окно наиболее уязвим:

Как я уже говорил, любая функция, работающая с окнами вызывает неэкспортируемую ValidateHwnd, которая получает pWnd по hWnd. Перехватывать ее геморойно, пришлось бы патчить все процессы. Но есть другой выход - ValidateHwnd вызывает NtUserValidateHandleSecure, которую можно перехватить в shadow таблице. NtUserValidateHandleSecure принимает на стеке два параметра, последний из которых hWnd. Она возвращает 1 в случае успеха и 0 в случае неудачи. Если возвращать 0, то ValidateHwnd возвращает 0 и устанавливает LastError в INVALIDE_WINDOW_HANDLE. Следовательно ни одна функция, работающая с окном работать не будет и дыра в безопасности процесса, связанная с наличием окна, прикроется раз и навсегда.

Воть...

 

Twister
А сам-то процесс после такого изврата со своим окном сможет работать?

 

Мы сейчас с EP_X0FF на этим работаем. Позже отпишусь...

Нужно в хуке фильтровать процессы...

 

Вообщем, дело обстоит вот как:

При подобном перехвате окно, если оно главное, перестает появляться на таскбаре. Так же наблюдаются непонятки с перечислением окон в системе (их становится гораздо меньше). Но желаемый эффект достигается - окна не видно и его нельзя закрыть. Так что если проявляющиеся баги не важны, метод можно смело юзать. Вот код обработчика NtUserValidateHandleSecure:

Код (Text):

1. NewNtUserValidateHandleSecure PROC
2.     mov     eax, dword ptr[esp + 4]
3.     mov     ebx, dword ptr[protected_hwnd]
4.     .if     eax == ebx
5.         invoke  PsGetCurrentProcessId
6.         mov     ebx, dword ptr[protected_pid]
7.         .if     eax != ebx
8.             xor     eax, eax
9.             mov     dword ptr[esp + 4], eax
10.         .endif
11.     .endif
12.     jmp     dword ptr[_NtUserValidateHandleSecure]
13.     ret
14. NewNtUserValidateHandleSecure ENDP

 

Однако это не отменяет возможность брутфорса по кэшу окон. Вообще от этого метода защиты больше глюков, чем пользы и в реальности он слабо применим, но разумеется все желающие могут попробовать. И окно по-прежнему видно в Alt+Tab.

 

-