вырубание процессов

← →
dr_creigan (2008-01-14 11:39) [0]

В общем, такая задача - есть один процесс, у которого 0 потоков(по крайней мере он так говорит, во что верится очень даже с трудом), он перехватывает ZwTerminateProcess и CreateRemoteThread.
Когда его вырубаю через систему отладки, то вся система вешается.
Теперь вопрос: КАК ВЫРУБИТЬ ЭТОТ ПРОЦЕСС???

← →
Правильный_Вася (2008-01-14 11:57) [1]

> Теперь вопрос: КАК ВЫРУБИТЬ ЭТОТ ПРОЦЕСС???

зачем?

← →
homm © (2008-01-14 11:58) [2]

> [0] dr_creigan (14.01.08 11:39)
> по крайней мере он так говорит, во что верится очень даже
> с трудом

вот вот. С завершением пследнего потому завершается и процесс.

← →
homm © (2008-01-14 11:59) [3]

> [2] homm © (14.01.08 11:58)
> потому

потока

← →
dr_creigan (2008-01-14 16:39) [4]

Дело в том, что это приложение перехватывает NtQuerySystemInformation и другие функции для получения информации о процессе и его потоках. - в этом вся суета. А то, что с завершением последнего потока завершается процесс, так с этим никто и не спорит - главное знать как запудрить юзеру голову, а остальное мелочи...

← →
Riply © (2008-01-14 17:36) [5]

> [0] dr_creigan (14.01.08 11:39)
> Теперь вопрос: КАК ВЫРУБИТЬ ЭТОТ ПРОЦЕСС???

Не запускать. (Без смайлика)
Ибо ты не знаешь, как и что он записала в память др. процессов.
Возможно, что после его завершения, оные будут ссылаться на несуществующую
область памяти.

← →
Игорь Шевченко © (2008-01-14 17:51) [6]

есть хорошая программа Process Explorer

← →
dr_creigan (2008-01-15 10:52) [7]

Я уже много чего проверил - ничего не идёт, а не включать не получается, так как он запускается сервисом, для вырубания сервисов функции из SCM тоже не катят. Вот такой ужас...

← →
Игорь Шевченко © (2008-01-15 11:00) [8]

> Я уже много чего проверил - ничего не идёт, а не включать
> не получается, так как он запускается сервисом, для вырубания
> сервисов функции из SCM тоже не катят.

из реестра убей

← →
dr_creigan (2008-01-25 12:59) [9]

Короче,я понял, что убьёт всё что угодно - это ассемблерный исходный код функции ZwTerminateProcess. Если у кого есть скиньте на форум, плиз!!:(

← →
Сергей М. © (2008-01-25 13:13) [10]

> убьёт всё что угодно .. ассемблерный исходный код функции ZwTerminateProcess

Если бы ты знал, какой бред ты сейчас написал.

Даже если таковой найдется (что не так уж и маловероятно, особенно если речь идет о w2k), ты упрешься рогом в int 2E и либо впадешь в ступор либо вновь будешь здесь канбчить с просьбой дать "ассемблерный исходный код" этого самого ште 2E

← →
dr_creigan (2008-01-25 13:42) [11]

А что вообще полного исходника нет ни у кого?
Тогда придётся дебажить ntdll.dll/:(((

← →
Игорь Шевченко © (2008-01-25 13:58) [12]

> Тогда придётся дебажить ntdll.dll/:(((

Это тебе не поможет. Там три или четыре команды

← →
Cj © (2008-01-25 14:09) [13]

че, процесс небось какого-нибудь антивиря вырубить пытаешся. скинь посмотрю.(на мыло)

← →
Сергей М. © (2008-01-25 14:12) [14]

> Игорь Шевченко © (25.01.08 13:58) [12]
>
>

Игорь, ну дай уж ты ему этот шматок - мож полегчает человеку)

← →
dr_creigan (2008-01-26 11:59) [15]

Cj ПОЧТИ угадал. Хотя я тут на wasm.ru нашёл пару исходников, но они очень у меня глючат. В общем вот способы:
1) под ring0 работаем c PhysicalMemory
2) (это я уже придумал - может прокатит) Проецируем DLL в свой процесс(типа ImageDirectoryEntryToData) находим там функцию и проецируем её себе. Потом работаем с ней.

← →
Игорь Шевченко © (2008-01-26 14:43) [16]

dr_creigan (26.01.08 11:59) [15]

Дети Ивана Кулибина

← →
Cj © (2008-01-26 15:08) [17]

> 2) (это я уже придумал - может прокатит) Проецируем DLL
> в свой процесс(типа ImageDirectoryEntryToData) находим там
> функцию и проецируем её себе. Потом работаем с ней.

антисплайсинг чтоли?

← →
Сергей М. © (2008-01-26 15:50) [18]

> КАК ВЫРУБИТЬ .. ПРОЦЕСС

Проще не допустить его старт, чем потом пыжиться "вырубая" его.
Делается это как два пальца об асфальт - вижется и инсталлируется драйвер режима ядра, который :

1. регистрирует PsSetLoadImageNotifyRoutine-колбэк
2. в теле колбэк-функции модифицирует требуемым образом заголовок PE-модуля, например, изменяет точку входа.

Причем в самых свежих версиях виндового сервера даже не надо лезть ни в какие заголовки - колбэк просто возвращает false, и система попросту не грузит модуль, что равносильно отказу в инициализации интересующего процесса)

← →
dr_creigan (2008-01-28 10:07) [19]

Тут вот на днях скачал DDK для XP. файл оказался поротым, но я его отчасти восстановил. Но только отчасти - нужны папки типа X86 и 64, или хотя бы ShellExec.exe. И если можно, то объясните, как дрова делать, т.е. как создавать проект - у меня глюки с точкой входа...

P.S.: Буду очень признателен, если на моё мыло скините ещё и исходник какого - нибудь простейшего драйвера (dr_creigan@mail.ru)

← →
Сергей М. © (2008-01-28 10:15) [20]

> объясните, как дрова делать

В Делфи что ли ?

← →
dr_creigan (2008-01-28 10:19) [21]

По фигу в чём, но лучше, чтобы С++ или Делфи. Мне без разницы - переведу.

← →
Сергей М. © (2008-01-28 10:26) [22]

Если пофигу, скачай пример с wasm.ru

← →
dr_creigan (2008-01-28 10:30) [23]

А DDK скинешь (т.е. те файлы, которые перечислил выше). Ссылку на конкретную страницу дай, случаем не про Ring0 и Драйвера, автор- MS-Rem?

← →
dr_creigan (2008-01-28 10:47) [24]

В принципе на wasm.ru делфовских и сишных исходников я не нашёл, поэтому опять прошу скинуть на мыло...:(

автор, а не проще загрузиться с LiveCD и нежно выезать процесс нафиг?

← →
dr_creigan (2008-01-28 11:27) [26]

чё за LiveCD?

у кого есть скиньте плиз способ вырубания ЛЮБОГО драйвера...

> на wasm.ru делфовских и сишных исходников я не нашёл

Ты же сказал, что тебе "пофигу в чем" ?

так. по-моему, автор уходит в тяжёлый наркотический бред.

> выезать

Доктор ну вы и маньяк

← →
dr_creigan (2008-01-29 09:52) [30]

В принципе по фигу, но asm я не понимаю

← →
dr_creigan (2008-01-29 10:50) [31]

Мне как-то лучше будет, если на С++ найдутся проекты. Да, и можно всё -таки DDK для XP (те файлы, о чём говорилось выше) скинуть на моё мыло(dr_creigan@mail.ru)

вырубание процессов Найти похожие ветки