"Самозащита" программы

К стати, NtCreateProcess на предмет создания удаленных потоков, по-моему, тоже нужно бы перехватить.

 

Похукаете кучу функций, а в конечном итоге того и гляди, окажется, что процесс можно грохнуть послав сообщение WM_CLOSE или с помощью функции EndTask();

 

а кто сказал что есть цикл обработки сообщений?

нет, сынок, это фантастика)

 

никто не говорил, что его нет

не фантастика, батенька, EndTask() принимает в качества входного параметра hwnd, и в конечном итоге вызывает низкоуровневую ZwRequestWaitReplyport; я к тому, что окошки, если они есть, тоже скрывать желательно...

BOOL EndTask(
HWND hWnd,
BOOL fShutDown,
BOOL fForce
);

Parameters
hWnd
[in] Handle to the window to be closed.
fShutDown
[in] Ignored. Must be FALSE.
fForce
[in] A TRUE for this parameter will force the destruction of the window if an initial attempt fails to gently close the window using WM_CLOSE. With a FALSE for this parameter, only the close with WM_CLOSE is attempted.

 

ну я не думаю что у какойто хитропопой программки будут окошки.. ) а без них енд таск не рулит

 

Посмотри IceSword, никакой EndTask ему не страшен.

 

Kondratyuk

Тебе это для курсовой нужно? Лучше возьми тему распаковщика драйвера ядра на основе особенностей раздельного кэширования кода и данных современных процессоров.

 

Можно ли из user mode навредить процессу использованием функций для работы с его token`ом. Считаем, что самозащита не учитывает такую возможность. Если можно, то как?