Детектинг завершения процессов

z0mailbox
не совсем понял ваш ответ, поясните пжлста.

 

Marik
имеется ввиду запрещение завершения процесса через настройку политик.

 

В лонгхорне уже сделали ProcessNotifyEx, там можно влиять на создание (т.е. вернуть ошибку к примеру и нифига не создасться)

 

n0name
Если вы подразумеваете ограничение прав пользователя, то не вариант, так как надо защищать и от пользователей с админовскими правами.
tylerdurden
Нужно универсальное средство под 2k/xp/2003

Если хучить SDT единственный способ, то какой лучше способ использовать:
1. замена адреса в самой SDT
2. jmp в теле самой функции

Ну и вообще мнение по поводу использования таких приемов в комерческих продуктах(не антивирус)

 

Хучить сдт лучше по крайней мере потому, что приходится переписывать дворд, что можно сделать атомарной операцией, в отличие от записи 5 байт для сплайсинга

 

отрицательное

Marik
Защита процесса от завершения - весьма не такая уж простая задача, существует множество способов убить процесс, и парой хуков зачастую тут не обойдешся. Кроме того, что делать, если приложение просто сглючит, и диспетчером его уже не прибить? Часто можно обойтись без хуков, - например, создать поток в другом процессе (системном), который будет следить за первым процессом, и если тот завершился - перезапускать его.

Перехват лучше делать через SSDT и дело не в атомарности даже, а правильнее сказать, в безопасности. Менять то атомарно и 5 байт можно ( lock cmpxchg8b ), но у сплайсинга много других недостатков, например, вероятность креша системы, если какой-то поток прервался в месте патча, и версия Win не поддерживает hot-patch.

 

Marik
Админу тоже можно запретить PROCESS_TERMINATE
вопрос в том - насколько надежно надо запретить? админу естесно лазейки найти полегче

 

Да, я вообщемто имел в виду как раз то, что другой поток может выполнять инструкции на месте патча, просто написал не то че думал.
Я пытался написать код, который перечислит EIP всех потоков и проверит, что действительно чтото не так. Только задолбался +)
Вообщем-то, вероятность такого расклада невелика.

 

Понял

Решил перехватывать только ZwOpenProcess, ZwTerminateProcess и ZwTerminateThread. Знаю что можно процесс взять под отладку и все такое.... но думаю этим ограничится пока.

Каспер вроде как перехватывает такие инжекты и ругается что вирус.
Спасибо всем ответившим!

 

Marik

если делать такое из r0, то кав не должен возмущаться.

 

именно, Marik, у тебя ведь все равно драйвер есть...