Не закрываемая программа WinApi

@maksili · Регистрация: 02.04.2013

Author24 — интернет-сервис помощи студентам

Пишу анти-вирусную утилиту но вирусы уже адаптировались и убивают как ее защитить!я понимаю что это на чистом шарпе не сделаещ поэтому объясните как это сделать прибегая к функциям на WinApi.Help my please.

@maksili · 04.08.2013, 11:30 **[ТС]**

Сообщение от neBezGrexa

Из того что ты описал, вирусня убивает твое приложение как форму, т.е. с помощью WindowClose. Тогда просто делаешь в главной форме реакцию на событие WindowClose и в ней запускаешь свое же приложение через Process.
Но это не гуд. Все хорошие антивирусы используют службу в Windows которая следит за присутствием процесса антивируса в системе. Попробуй установить Касперского и кикнуть его через диспетчер задач и увидишь что он запуститься заново через пару секунд.

Пример с каспером фигня вот аваст даже не закрывается мне б такую защиту.И да протестировав еще раз вирус он просто закрывает все процессы кроме системных каждую мили секунду поэтому мой екзешник открывающий мою программу если она закрыта не помогает так что защита у каспера авно.М не надо как- то свой процесс системным сделать.

Убежденный · 04.08.2013, 12:16

Сообщение от maksili

аваст даже не закрывается мне б такую защиту

Никто не мешает написать драйвер, использующий специальный API - ObRegisterCallbacks.
Этот API позволяет перехватывать попытки открыть процесс и с его помощью можно
сделать процесс неубиваемым. Почти.

А в user mode делать такие вещи бессмысленно.

@maksili · 04.08.2013, 23:25 **[ТС]**

Сообщение от Убежденный

Никто не мешает написать драйвер, использующий специальный API - ObRegisterCallbacks.
Этот API позволяет перехватывать попытки открыть процесс и с его помощью можно
сделать процесс неубиваемым. Почти.

А в user mode делать такие вещи бессмысленно.

а если я как-то умудрюсь это написать будет много весить?

@NickoTin · 05.08.2013, 01:44

Не по теме:

Сообщение от maksili

а если я как-то умудрюсь это написать будет много весить?

100500 терабайт. Во время того как будете писать и после написания (если всё-таки получится), думаю этот вопрос будет Вас волновать в наименьшей степени...

@maksili · 05.08.2013, 10:12 **[ТС]**

А почему у моего друга получилось это сделать при помощи перехвата закрытия в WinApi?

@NickoTin · 05.08.2013, 11:43

maksili, наверное потому-что он попробовал? Этот вариант (перехват API в каждом процессе, если всё правильно понял) на чистом C# не реализуем.

@maksili · 05.08.2013, 16:11 **[ТС]**

Сообщение от NickoTin

maksili, наверное потому-что он попробовал? Этот вариант (перехват API в каждом процессе, если всё правильно понял) на чистом C# не реализуем.

а как с помощью API это реализовать.

Добавлено через 8 минут
Как при добавке в реестре в авто загрузку нового ключа выводилось сообщение "Название ключа" добавлен в авто загрузку удалить или оставить?

Добавлено через 51 минуту
а как фаервол отлавливает попытку его закрыть в User mode и может запретить закрытие!

Убежденный · 05.08.2013, 16:27

Сообщение от maksili

Как при добавке в реестре в авто загрузку нового ключа выводилось сообщение "Название ключа" добавлен в авто загрузку удалить или оставить?

Сообщение от maksili

а как фаервол отлавливает попытку его закрыть в User mode и может запретить закрытие!

Это все относительно легко делается в режиме ядра. Win32 API в таких вещах не помощник.

@maksili · 06.08.2013, 18:14 **[ТС]**

Как это режим ядра?

Убежденный · 06.08.2013, 18:17

Сообщение от maksili

Как это режим ядра?

Т.е. с помощью специального драйвера.

@maksili · 06.08.2013, 20:38 **[ТС]**

Сообщение от Убежденный

Т.е. с помощью специального драйвера.

блин я не смогу его написать я даже ничего на эту тему найти не могу может подскажете что-нибудь.

@natrox · 29.08.2013, 12:00

Предложили тут уже кучу вариантов, maksili, ты вообще хоть что-то из выше предложенного попробовал реализовать?

@maksili · 23.09.2013, 19:50 **[ТС]**

Сообщение от natrox

Предложили тут уже кучу вариантов, maksili, ты вообще хоть что-то из выше предложенного попробовал реализовать?

Пробовал нашел конкретный пример на Winapi на забугорном форуме, но есть один недостаток мою программу могут закрыть программы запущенные от имени администратора а от простого пользователя нет.

@maksili 1 / 1 / 1 Регистрация: 02.04.2013 Сообщений: 124
	04.08.2013, 11:30 [ТС]	21
	Сообщение от neBezGrexa Из того что ты описал, вирусня убивает твое приложение как форму, т.е. с помощью WindowClose. Тогда просто делаешь в главной форме реакцию на событие WindowClose и в ней запускаешь свое же приложение через Process. Но это не гуд. Все хорошие антивирусы используют службу в Windows которая следит за присутствием процесса антивируса в системе. Попробуй установить Касперского и кикнуть его через диспетчер задач и увидишь что он запуститься заново через пару секунд. Пример с каспером фигня вот аваст даже не закрывается мне б такую защиту.И да протестировав еще раз вирус он просто закрывает все процессы кроме системных каждую мили секунду поэтому мой екзешник открывающий мою программу если она закрыта не помогает так что защита у каспера авно.М не надо как- то свой процесс системным сделать. 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	04.08.2013, 12:16	22
	Сообщение от maksili аваст даже не закрывается мне б такую защиту Никто не мешает написать драйвер, использующий специальный API - ObRegisterCallbacks. Этот API позволяет перехватывать попытки открыть процесс и с его помощью можно сделать процесс неубиваемым. Почти. А в user mode делать такие вещи бессмысленно. 0

@NickoTin Почетный модератор 8721 / 3673 / 404 Регистрация: 14.06.2010 Сообщений: 4,513 Записей в блоге: 9
	05.08.2013, 11:43	26
	maksili, наверное потому-что он попробовал? Этот вариант (перехват API в каждом процессе, если всё правильно понял) на чистом C# не реализуем. 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	05.08.2013, 16:27	28
	Сообщение от maksili Как при добавке в реестре в авто загрузку нового ключа выводилось сообщение "Название ключа" добавлен в авто загрузку удалить или оставить? Сообщение от maksili а как фаервол отлавливает попытку его закрыть в User mode и может запретить закрытие! Это все относительно легко делается в режиме ядра. Win32 API в таких вещах не помощник. 0

@maksili 1 / 1 / 1 Регистрация: 02.04.2013 Сообщений: 124
	06.08.2013, 20:38 [ТС]	31
	Сообщение от Убежденный Т.е. с помощью специального драйвера. блин я не смогу его написать я даже ничего на эту тему найти не могу может подскажете что-нибудь. 0

@maksili 1 / 1 / 1 Регистрация: 02.04.2013 Сообщений: 124
		1
	Не закрываемая программа WinApi 31.07.2013, 08:31. Показов 3329. Ответов 32 Метки нет (Все метки) Пишу анти-вирусную утилиту но вирусы уже адаптировались и убивают как ее защитить!я понимаю что это на чистом шарпе не сделаещ поэтому объясните как это сделать прибегая к функциям на WinApi.Help my please. 0

@maksili 1 / 1 / 1 Регистрация: 02.04.2013 Сообщений: 124
	04.08.2013, 23:25 [ТС]	23
	Сообщение от Убежденный Никто не мешает написать драйвер, использующий специальный API - ObRegisterCallbacks. Этот API позволяет перехватывать попытки открыть процесс и с его помощью можно сделать процесс неубиваемым. Почти. А в user mode делать такие вещи бессмысленно. а если я как-то умудрюсь это написать будет много весить? 0

@NickoTin
	05.08.2013, 01:44 #24
	Не по теме: Сообщение от maksili а если я как-то умудрюсь это написать будет много весить? 100500 терабайт. Во время того как будете писать и после написания (если всё-таки получится), думаю этот вопрос будет Вас волновать в наименьшей степени... 0

@maksili 1 / 1 / 1 Регистрация: 02.04.2013 Сообщений: 124
	05.08.2013, 10:12 [ТС]	25
	А почему у моего друга получилось это сделать при помощи перехвата закрытия в WinApi? 0

@maksili 1 / 1 / 1 Регистрация: 02.04.2013 Сообщений: 124
	05.08.2013, 16:11 [ТС]	27
	Сообщение от NickoTin maksili, наверное потому-что он попробовал? Этот вариант (перехват API в каждом процессе, если всё правильно понял) на чистом C# не реализуем. а как с помощью API это реализовать. Добавлено через 8 минут Как при добавке в реестре в авто загрузку нового ключа выводилось сообщение "Название ключа" добавлен в авто загрузку удалить или оставить? Добавлено через 51 минуту а как фаервол отлавливает попытку его закрыть в User mode и может запретить закрытие! 0

@maksili 1 / 1 / 1 Регистрация: 02.04.2013 Сообщений: 124
	06.08.2013, 18:14 [ТС]	29
	Как это режим ядра? 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	06.08.2013, 18:17	30
	Сообщение от maksili Как это режим ядра? Т.е. с помощью специального драйвера. 0

@natrox 14 / 18 / 5 Регистрация: 13.04.2011 Сообщений: 148
	29.08.2013, 12:00	32
	Предложили тут уже кучу вариантов, maksili, ты вообще хоть что-то из выше предложенного попробовал реализовать? 0

@maksili 1 / 1 / 1 Регистрация: 02.04.2013 Сообщений: 124
	23.09.2013, 19:50 [ТС]	33
	Сообщение от natrox Предложили тут уже кучу вариантов, maksili, ты вообще хоть что-то из выше предложенного попробовал реализовать? Пробовал нашел конкретный пример на Winapi на забугорном форуме, но есть один недостаток мою программу могут закрыть программы запущенные от имени администратора а от простого пользователя нет. 0