Конференция VBStreets

[t116]

Можно ли запретить снятие своего процесса через Диспетчер задач->Процессы?

[Arcady_XQST]

Можно, только для этого надо писать свой драйвер

[keks-n]

Не обязательно драйвер. Есть горы способов обойтись без него.

[Lumen]

t116
Вам сюда и по сопутствующим ссылкам. А вообще поиск рулит.

[tyomitch]

Как минимум, можно отобрать у всех права на его завершение. Тогда всякие procexp-ы тоже обломятся.

[Arcady_XQST]

Так ведь Process Explorer юзает собственный драйвер... Разве получится отобрать права из User-Mode?

[Twister]

Так ведь Process Explorer юзает собственный драйвер... Разве получится отобрать права из User-Mode?

Он завершает процесс не из драйвера - об этом свидетельствует то, что перехвата ZwTerminateProcess в юзермоде достаточно, чтоб обломить ProcExp.
Ты попробуй так надуть RkU...

[jangle]

Нифига, перехват ZwTerminateProcess не спасет отцов демократии от убиения процесса. Любой процесс в NT можно убить, и никакой антикиллинг не спасет

[Arcady_XQST]

Последняя версия RkU меня очень радует даже avp молчит... А насчет перехвата я что-то не догоняю: ведь нельзя перехватывать native-функции из user-mode, или я что-то путаю?

[Twister]

Нифига, перехват ZwTerminateProcess не спасет отцов демократии от убиения процесса. Любой процесс в NT можно убить, и никакой антикиллинг не спасет

Касаемо какого кольца идет речь? Из Ринг3 убить можно далеко не все. А вот из Ринг0 - пожалуйста. Да и то, на документированных способах далеко не уедешь. Хотя есть исключения - можно извратиться над процессом так, что система сама откажется его убивать. В частности, это касается невернувшегося IRP'a, извратов над окнами и над потоками в PspCidTable.

нельзя перехватывать native-функции из user-mode, или я что-то путаю?

Ты, можно сказать, все путаешь...

Последняя версия RkU меня очень радует

Приватная версия тебя бы порадовала больше, там есть пара фич, которых нет в паблике.

[Arcady_XQST]

Не подкинете статейку, где об этом (кольца, юзерморды, виды функций, перехваты) можно почитать? А то совсем запутался

[Twister]

Не подкинете статейку, где об этом (кольца, юзерморды, виды функций, перехваты) можно почитать? А то совсем запутался

rootkits.ru
wasm.ru

[jangle]

Нифига, перехват ZwTerminateProcess не спасет отцов демократии от убиения процесса. Любой процесс в NT можно убить, и никакой антикиллинг не спасет

Касаемо какого кольца идет речь? Из Ринг3 убить можно далеко не все

Из ринг3 можно убить все, по крайней мере любые антивирусы и файрволы

[keks-n]

jangle
Если доступ грамотно перекрыт из ring-0, то нет.

[Twister]

Из ринг3 можно убить все

Высказывания подобного рода заставляют задуматься о компетентности автора в области защищенного режима в общем и в устройстве линейки NT в частности. Не в обиду, jangle, но тут достаточно знать то, что Ринг3 наименее привелигерованный уровень защиты и из него, по большому счету, вообще ни хрена сделать нельзя - добрая часть АПИ-функций корнями уходит в ядро, на уровень 0.
Ты говоришь, что антивири и фаеры можно прибить из Ринг3 - да, это верно. Но это баги защиты конкретных программ.
Так же скажу, что практически любой процесс, имеющий окно - можно убить из Ринг3. Я занимался тестированием защиты небезызвестного RkU - завершить его можно, но для этого придется немного пораскинуть мозгами. А если бы RkU не имел окна, а к примеру консоль - то из режима пользователя атаковать его было бы не возможно.