Есть мечта написать программу контроллирующую процессы на самом низком уровне. Не владею пока терминологией поэтому и решил посоветоваться. В первом приближении это служба и клиент... Служба контроллирует все процессы и не позволяет запуск любого нового процесса без разрешения от клиента. Клиент собирает инфу о всех процессах и программах. Каталогизирует и присваивает каждой программе свой идентификатор скорее всего на основе MD5 суммы исполнимого файла. И при помощи белых и черных списков резрешает или отклоняет запуск процесса. Возможно ли подобное? И если да то киньте в меня ссылочками на основе которых можно будет рисовать это... За ранее спасибо.
mitrofanzzz Это возможно. Но не нужно изобретать велосипед, лучше займись чем-нибудь более полезным. Я уж не говорю про такие банальные вещи, как подмена DLL, ручная загрузка нового образа exe-файла в уже существующий процесс, и вся эта защита по MD5-хэшу exe-файла идет лесом.
Вот про такое я еще не знал... Просто тут еще и институт приплетается... А задумка связана с тем чтоб машина работала только с теми задачами которые повседневно используются. А игрушки там всякие, возможно вирусы пресекались. Не получалось новые процессы создавать. Ведь дебаггеры ядреные приблизительно так и действуют. Имеют полный контроль над системой...
В принципе я и не хочу их идентифицировать. Просто хочу при соблюдении основных свойств как то хождение в инет, фтыкание флешек... ограничить запуск процессов лишь теми которые я лично авторизировал. остальные лесом, ибо нефик
gpedit.msc -> Computer configuration -> Windows Settings -> Security Settings -> Software Restriction Policy Клик.
mitrofanzzz Мониторинг запуска процесса тебя не спасет. Зловредный код можно выполнить и не создавая нового процесса... достаточно создания потока в уже существующем процессе через CreateRemoteThread.
mitrofanzzz Идея абсолютно здравая, просто конечный вариант будет сложным и тяжеловесным, тем более, как уже сказали, это давно реализовано в популярных антивирях
mitrofanzzz То, что ты замыслил - по сути, интеллектуальный проактивный монитор. Ни чего не реализуемого тут нет, просто ловлей активности процессов безопасности не добиться.
mitrofanzzz Это называется защищатся от невидимого врага, тоесть как ты собрался делать защиту если не знаешь способов нападения? Сделай для начала чтонибудь попроще, а потом когда опыта и знаний наберёшся, можешь и за это взятся с учётом возможных способов проникновения левого кода. Воабще уже давно всё реализовано в аутпосте и KIS, и ещё во многих. если не нужен фаервол его можно отключить и просто юзать модуль локальной безопасности
