Конференция VBStreets

[GPP]

Как сделать программу системным процессом? Ну чтоб ее было сложно закрыть из менеджера задач... Может есть еще какие способы? Посоветуйте пожалуйста...

[Хакер]

И зачем?

[ANDLL]

В windows нет никаких "системных процессов", все программы абсолютно легко завершаются через диспетчер задач.
Правда, стандартный диспетчер не завершает программы, названные определенным образом, так что можеш назвать свою прогу winlogon и радоваться. Но это не помешает закрыть ее через ProcessExplorer например
Сама архитектура дает единственную возможность для ограничения "завершаемости" процесса - его ACL, но и тут нельзя добится каких то чудес - администратор всегда сможет завершить любой процесс, вне зависимости от того, какой у него ACL
Разумеется, есть способы, которые действуют в обход архитектуры. Их легко найти в гугле, еще проще найти на wasm.ru или подобных зарубежных сайтах. Очевидно, что все эти способы хороши для программ написанных для себя\друзей, но неудачны при более-менее обширном контингенте. Кроме того, при выходе новой платформы придетеся беспокоится об их адаптации. Если способ был просто "скатан" с какогонибудь сайта, то его адаптация скорее всего окажется для автора задачей невыполнимой.

[alibek]

Иногда они возвращаются.

[GPP]

Хакер, для программы GPP Remote Administrator(сервер)
http://bbs.vbstreets.ru/viewtopic.php?t=36242

[Хакер]

ANDLL
Насколько я помню, где-то в реестре есть список процессов, которые стандартный таскмгр не должен давать убить пользователю.

[GPP]

Хакер, а ты не мог бы вспомнить в какой ветке? Заранее Огромное Спасибо!

[Antonariy]

Нет такой ветки. Иначе бы вся вирусня с удовольствием ей пользовалась.

[ANDLL]

Насколько я помню, где-то в реестре есть список процессов, которые стандартный таскмгр не должен давать убить пользователю.

Ну по крайней мере в 2000 код проверки ничего из реестра не берет, вот-с:

Код: Выделить всё

BOOL CProcPage::IsSystemProcess(DWORD pid, CProcInfo * pProcInfo)
{
    // We don't allow the following set of critical system processes to be terminated,
    // since the system would bugcheck immediately, no matter who you are.

    static const LPCTSTR apszCantKill[] =
    {
        TEXT("csrss.exe"), TEXT("winlogon.exe"), TEXT("smss.exe"), TEXT("services.exe")
    };

    // if they pass in a pProcInfo we'll use it, otherwise find it ourselves
    if (!pProcInfo)
        pProcInfo = FindProcInArrayByPID(m_pProcArray, pid);
    if (!pProcInfo)
        return FALSE;

    for (int i = 0; i < ARRAYSIZE(apszCantKill); ++i)
    {
        if (0 == lstrcmpi(pProcInfo->m_pszImageName, apszCantKill[i]))
        {
            TCHAR szTitle[MAX_PATH];
            TCHAR szBody[MAX_PATH];

            if (0 != LoadString(g_hInstance, IDS_CANTKILL, szTitle, ARRAYSIZE(szTitle)) &&
                0 != LoadString(g_hInstance, IDS_KILLSYS,  szBody,  ARRAYSIZE(szBody)))
            {
                MessageBox(m_hPage, szBody, szTitle, MB_ICONEXCLAMATION | MB_OK);
            }
            return TRUE;
        }
    }
    return FALSE;
}

Врядли позже фичу добавили?

[Хакер]

Нет такой ветки. Иначе бы вся вирусня с удовольствием ей пользовалась.

Как будто им больше нечем больше другим воспользоваться?

Возможно я что-то путаю, конечно.

[Twister]

Нет такой ветки. Иначе бы вся вирусня с удовольствием ей пользовалась.

Есть такая ветка. Но не помню путь к ней.

[Antonariy]

Случайно не HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process
Эта ветка наиболее похожа на этот гипотетический неубиваемый список, но в ней же присутствуют и explorer, и iexplore, а они убиваются на ура. Поиск в реестре по "winlogon" больше ничего хотя бы отдаленно похожего не дал.