неубиваемый процесс

← →
maxz © (2004-10-06 23:07) [0]

Можно ли создать неубиваемый (или сложноубиваемый) процесс?

← →
kaZaNoVa © (2004-10-06 23:08) [1]

можно, сервис и пользователь - юзер

← →
cerber1 © (2004-10-06 23:25) [2]

Создай приложение (*.exe) и дай ему одно из имен:
smss
svchost
csrss
И система его не сможет Убить. А чтобы оно запускалось даже в safe mode сделай следующее:
1. Создай в реестре строковый параметр "Taskman"="tvoja_proga.exe"
в ключе:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
2.Запускай две копии своей проги(лучше пусть это делает прога) с рекурсией на вызов самой себя до нужного количества копий.
подробности по мылу

← →
kaZaNoVa © (2004-10-06 23:30) [3]

cerber1 © (06.10.04 23:25) [2]
про Notify слыхал, но про Taskman - нет .. ;))
круто :)

← →
SammIk © (2004-10-07 02:48) [4]

Лучше драивер сразу пиши)

← →
TeNY © (2004-10-07 06:04) [5]

Можно наверное,Кто-нибуть попробуйте Касперского завершить хрен что получится...

← →
PEAKTOP © (2004-10-07 07:43) [6]

cerber1 © (06.10.04 23:25) [2]
Создай приложение (*.exe) и дай ему одно из имен:
smss
svchost
csrss
И система его не сможет Убить. А чтобы оно запускалось даже в safe mode сделай следующее:

Это в 2000 или в ХРюше нельзя убить эти процессы из TaskManager, она матюкается, что мол "критический системный процесс". В Windows Server 2003 Ent. в TaskManager можно убить все, кроме services.exe. Но идея автора мне нравиться, если не можешь быть неубиенным, маскироваться под "присутствующих".

TeNY © (07.10.04 06:04) [5]
Можно наверное,Кто-нибуть попробуйте Касперского завершить хрен что получится...

Был у меня однажды случай - сдавал я СУБД заказчику, основанную на компонентной модели. А один из плагинов, который отвечал за построение отчетов, постоянно палился Каспером. Я уже и исходники менял, и перекомпиливал его раз 100 - все равно говорит подозрение на вирус, хотя там ничего "такого" не было.

В общем проблему решил тем, что в момент запуска плагина прибивал процесс Каспера (иконка в трее потом еще рисуется, хе-хе%))), а потом - запускал заново. Кстати, Каспер был запущен под SYSTEM, а прибивался под юзером без прав админа.

← →
kaZaNoVa © (2004-10-07 18:46) [7]

PEAKTOP © (07.10.04 7:43) [6]
Каспер был запущен под SYSTEM, а прибивался под юзером без прав админа.
ну, это смотря какая версия каспера ..
5 - ю я никак не мог ничем прибить .. ;)

← →
DVM © (2004-10-07 21:06) [8]

Чтобы совсем неубиваемый, то пожалуй никак.
А вот трудноубиваемый - пожалуйста:
Три-четыре процесса следят друг за другом и перезапускают друг друга в случае необходимости. А еще их можно скрыть из Диспетчера задач.

← →
kaZaNoVa © (2004-10-07 21:21) [9]

DVM © (07.10.04 21:06) [8]
а если убивают не диспетчером ? - то не скроешь ..
- тока длл поможет ...
и если процесс будет прибит во время выполнения важной задачи, то его перезапуск вызовет больше ошибок, чем продолжение нормального выполнения ... (имхо)

← →
DeadMeat © (2004-10-07 23:19) [10]

А может перехват TerminateProcess?

---
...Death Is Only The Begining...

2[8]
Тогда лучше не процессы, а создать поток в каком-нить приложении
в томже эксплорере и следить за процессом.
Поскольку процессы можно приостоновить, а потом грохнуть поочериди.
Лучше делать как сказалив [10] так вернее будет, написать сервис
с темеже прибомбасами, еще вернее. Про дрова даже молчу..

2 DVM © (07.10.04 21:06) [8]

так и я тоже говорил в cerber1 © (06.10.04 23:25) [2]
...
2...

2 PEAKTOP © (07.10.04 07:43) [6]

а вопрос был по ХР :)

← →
Alekc (2004-10-08 23:05) [13]

офф: ну вот, я и так задолбался клиентам червей убивать, так теперь они еще и неубиваемые пойдут... :)

> PEAKTOP © (07.10.04 07:43) [6]
> В общем проблему решил тем, что в момент запуска плагина
> прибивал процесс Каспера (иконка в трее потом еще рисуется,
> хе-хе%))), а потом - запускал заново. Кстати, Каспер был
> запущен под SYSTEM, а прибивался под юзером без прав админа.

Так ты его ХАКНУЛ,круто,теперь вирусы страшные писать можешь :)

неубиваемый процесс Найти похожие ветки