Текущий архив: 2006.05.21;
Скачать: CL | DM;
Вниз
Запретить регистрвцию процесса в системе Найти похожие ветки
← →
Arazel © (2006-02-27 17:01) [0]Надо перехватить регистрацию процесса
затем проверить запускать его или нет
если да> тогда запустить иначе нет!
У кого какие идей?
← →
Crash Coredump © (2006-02-27 17:25) [1]процессы не регистрируются.
← →
Arazel © (2006-02-27 17:57) [2]Регистрируются! Все регисрируются! в системе
← →
Eraser © (2006-02-27 17:58) [3]
> Arazel © (27.02.06 17:57) [2]
>
> Регистрируются! Все регисрируются! в системе
тогда перехватывай регистратор :-)
← →
Arazel © (2006-02-27 19:46) [4]тогда скажи мне какая ф-ция отвечает за это? Естественно из под драйвера!
← →
Сергей М. © (2006-02-28 09:16) [5]
> Естественно из под драйвера
на wasm.ru есть статья с примерами
← →
Arazel © (2006-02-28 17:14) [6]Нет на wasm.ru это нето!!!
Надо учитывать
О создание процессе не должна знать OC
Естественно должно выполнятся на уровне ядра (Драйвер я сам сделаю)
Надо копать где-то около EPROCESS а может даже дальше...
← →
Crash Coredump © (2006-02-28 17:22) [7]
> О создание процессе не должна знать OC
Нет процесса - нет проблем.
По сабжу - копай в сторону ImageFileExecutionOptions в реестре
← →
n0name (2006-02-28 19:20) [8]CsrClientCallServer - регистрирует новый процесс с CSRSS.
← →
kaZaNoVa © (2006-02-28 19:48) [9]Crash Coredump © (28.02.06 17:22) [7]
Нет процесса - нет проблем.
предлагаю внедрять поток .. :))
← →
Игорь Шевченко © (2006-02-28 23:36) [10]n0name (28.02.06 19:20) [8]
Глупости
← →
Anatoly Podgoretsky © (2006-03-01 00:40) [11]kaZaNoVa © (28.02.06 19:48) [9]
Не, тут фиберы нужны.
← →
Игорь Шевченко © (2006-03-01 01:25) [12]n0name (28.02.06 19:20) [8]
Прошу прощения за [10], не так прочитал пост [8]. Но тем не менее, в CSRSS процесс регистрируется уже ПОСЛЕ его полноценного создания.
Ну кроме того, CsrClientCallServer выполняет еще массу всяких интересных функций, не относящихся к процессам.
← →
kaZaNoVa © (2006-03-01 02:02) [13]Anatoly Podgoretsky © (01.03.06 0:40) [11]
а чем они от потока (Thread) отличаются?))
← →
Arazel © (2006-03-01 05:16) [14]Какая ф-ция заполняет списки процессов (ActiveProcessesLink)???
← →
Сергей М. © (2006-03-01 08:53) [15]
> Arazel © (28.02.06 17:14) [6]
> Нет на wasm.ru это нето!!!
По крайней мере в части мониторинга старт-стопа процессов - как раз то самое.
> О создание процессе не должна знать OC
Что за глупости ?
С каких пор процесс стал существовать сам по себе и при этом не подконтролен ОС ?
> Естественно должно выполнятся на уровне ядра (Драйвер я
> сам сделаю)
Вот как раз в той статье на wasm.ru и приводится пример такого kernel-mode-драйвера
← →
n0name (2006-03-01 09:01) [16]> О создание процессе не должна знать OC
А проц. время кто будет выделять?
>Ну кроме того, CsrClientCallServer выполняет еще массу всяких интересных функций, не относящихся к процессам.
Этим заканчивается создание процесса, так что если нужно отловить создание, то можно перехватить эту функцию.
← →
BiN © (2006-03-01 10:03) [17]
> n0name (01.03.06 09:01) [16]
>
> > О создание процессе не должна знать OC
> А проц. время кто будет выделять?
Хотя некоторая информация из EPROCESS, а точнее из маркера процесса, и используется планировщиком при выделении процессорного времени, но само оно (время) может выделятся не процессу, а лишь кодовым потокам.
← →
Crash Coredump © (2006-03-01 12:40) [18]n0name (01.03.06 09:01) [16]
> Этим заканчивается создание процесса, так что если нужно
> отловить создание, то можно перехватить эту функцию.
У кого перехватить ? Тогда проще CreateProcess перехватывать
← →
Arazel © (2006-03-01 18:11) [19]Сергей М. © (01.03.06 08:53) [15]
Что за глупости ?
С каких пор процесс стал существовать сам по себе и при этом не подконтролен ОС ?
Эти примеры не к чему! Так как процесс уже cоздан!
А надо перехватить тогда когда процесс ещё не запустился
например:
Есть программа (Вирус/Троян/Рутик) последниму я обращаю больше
внимание!
Сейчас рутиков очень много и многие скрываются спомощью
перехвата ядерных ф-ций из под драйвера! А есть вирусы Драйвера
да-да именно драйвер! Но это все потом, сейчас же надо порализовать
вирус таким образом чтобы он не смог выполнить свою задачу!
← →
Crash Coredump © (2006-03-01 18:38) [20]
> Но это все потом, сейчас же надо порализовать
> вирус таким образом чтобы он не смог выполнить свою задачу!
>
Установи антивирус и не мучайся
← →
Arazel © (2006-03-01 20:20) [21]Crash Coredump © (01.03.06 18:38) [20]
Дело не в Антивирусе дело в методе...
← →
Игорь Шевченко © (2006-03-02 01:07) [22]
> дело в методе...
Боюсь, что до метода тебе далеко. Без обид.
← →
Arazel © (2006-03-02 05:04) [23]Игорь Шевченко © (02.03.06 01:07) [22]
Все знать не возможно, а больше всего запомнить!!!
Но я знаю то что тебе до этого далеко!!! Без обид.
← →
Сергей М. © (2006-03-02 08:51) [24]
> Arazel © (02.03.06 05:04) [23]
Тебе сюда :
http://www.codeproject.com/system/soviet_protector.asp
← →
Arazel © (2006-03-02 10:03) [25]Удалено модератором
Страницы: 1 вся ветка
Текущий архив: 2006.05.21;
Скачать: CL | DM;
Память: 0.52 MB
Время: 0.057 c
