Отслеживание ShellExecute, WinExec

@fenix25509 · Регистрация: 04.07.2013

Author24 — интернет-сервис помощи студентам

Привет всем!

Хотел бы задать небольшой вопрос, т.к. решения в гугле не нашёл.

Что мне нужно: 1) Отследить ShellExecute или WinExec с помощью хука. 2) Понять, какая программа запустила с помощью этих функций. 3) Вычислить её имя и завершить её через KillTask.

Вот что-то типо этого.

Надеюсь вы мне поможете. Жду ответа.

@mss · 04.07.2013, 16:17

Сообщение от fenix25509

Понять, какая программа запустила с помощью этих функций

Запустила или запустилась ?

@fenix25509 · 05.07.2013, 21:00 **[ТС]**

Запустилась.

Добавлено через 14 минут
Ап. Срочно помощь нужна.

@cotseec · 05.07.2013, 21:02

Перехват вызовов API

@fenix25509 · 05.07.2013, 21:12 **[ТС]**

Сообщение от cotseec

Перехват вызовов API

Можно как-то объяснить лучше, статьи то я уже читал.

@mss · 08.07.2013, 09:21

Сообщение от fenix25509

Запустилась

ShellExecute и WinExec - не единственные ф-ции, позволяющие стартовать процесс.
Так что их перехват - занятие бестолковое.

@fenix25509 · 08.07.2013, 09:51 **[ТС]**

Ну тогда мне просто нужно перехватить создание процесса, вычислить его имя, и завершить его.

Помогите :3

@mss · 08.07.2013, 10:04

Это штатно настраивается в локальных политиках безопасности и городить свой огород с перехватом нет никакого смысла.
В крайнем случае плясать следует отсюда

Убежденный · 10.07.2013, 16:16

Сообщение от fenix25509

Что мне нужно: 1) Отследить ShellExecute или WinExec с помощью хука. 2) Понять, какая программа запустила с помощью этих функций. 3) Вычислить её имя и завершить её через KillTask.
Вот что-то типо этого.

В Windows есть недокументированный, но рабочий способ заблокировать запуск
нежелательных процессов. Причем в режиме пользователя, то есть, без драйвера.
Нужно написать dll-ку с единственной экспортируемой функцией CreateProcessNotify и
зарегистрировать ее в ключе реестра
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls.
Способ работает на всех системах, начиная с Windows 2000 и заканчивая последними
превьюшками Windows 8.1 (на счет блокировки metro-приложений - не проверял, но скорее
всего работать не будет). Подробности ищите в гугле по ключевым словам "AppCertDlls".

~~Dr_Quake~~ · 11.07.2013, 21:32

Аналогично можно аттачить дебаггером ко всем, так же через реестр, только смысла...

@ParanoiS · 06.10.2013, 20:57

набери в Я (или в G)

перехват функций API code injection

@fenix25509 0 / 0 / 0 Регистрация: 04.07.2013 Сообщений: 4
		1
	Отслеживание ShellExecute, WinExec 04.07.2013, 07:58. Показов 2219. Ответов 10 Метки нет (Все метки) Привет всем! Хотел бы задать небольшой вопрос, т.к. решения в гугле не нашёл. Что мне нужно: 1) Отследить ShellExecute или WinExec с помощью хука. 2) Понять, какая программа запустила с помощью этих функций. 3) Вычислить её имя и завершить её через KillTask. Вот что-то типо этого. Надеюсь вы мне поможете. Жду ответа. 0

@mss 2664 / 2270 / 279 Регистрация: 24.12.2010 Сообщений: 13,723
	04.07.2013, 16:17	2
	Сообщение от fenix25509 Понять, какая программа запустила с помощью этих функций Запустила или запустилась ? 0

@fenix25509 0 / 0 / 0 Регистрация: 04.07.2013 Сообщений: 4
	05.07.2013, 21:00 [ТС]	3
	Запустилась. Добавлено через 14 минут Ап. Срочно помощь нужна. 0

@cotseec Пишу на Delphi...иногда 1423 / 1278 / 286 Регистрация: 03.12.2012 Сообщений: 3,914 Записей в блоге: 5
	05.07.2013, 21:02	4
	Перехват вызовов API 0

@fenix25509 0 / 0 / 0 Регистрация: 04.07.2013 Сообщений: 4
	05.07.2013, 21:12 [ТС]	5
	Сообщение от cotseec Перехват вызовов API Можно как-то объяснить лучше, статьи то я уже читал. 0

@mss 2664 / 2270 / 279 Регистрация: 24.12.2010 Сообщений: 13,723
	08.07.2013, 09:21	6
	Сообщение от fenix25509 Запустилась ShellExecute и WinExec - не единственные ф-ции, позволяющие стартовать процесс. Так что их перехват - занятие бестолковое. 0

@fenix25509 0 / 0 / 0 Регистрация: 04.07.2013 Сообщений: 4
	08.07.2013, 09:51 [ТС]	7
	Ну тогда мне просто нужно перехватить создание процесса, вычислить его имя, и завершить его. Помогите :3 0

@mss 2664 / 2270 / 279 Регистрация: 24.12.2010 Сообщений: 13,723
	08.07.2013, 10:04	8
	Это штатно настраивается в локальных политиках безопасности и городить свой огород с перехватом нет никакого смысла. В крайнем случае плясать следует отсюда 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	10.07.2013, 16:16	9
	Сообщение от fenix25509 Что мне нужно: 1) Отследить ShellExecute или WinExec с помощью хука. 2) Понять, какая программа запустила с помощью этих функций. 3) Вычислить её имя и завершить её через KillTask. Вот что-то типо этого. В Windows есть недокументированный, но рабочий способ заблокировать запуск нежелательных процессов. Причем в режиме пользователя, то есть, без драйвера. Нужно написать dll-ку с единственной экспортируемой функцией CreateProcessNotify и зарегистрировать ее в ключе реестра HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls. Способ работает на всех системах, начиная с Windows 2000 и заканчивая последними превьюшками Windows 8.1 (на счет блокировки metro-приложений - не проверял, но скорее всего работать не будет). Подробности ищите в гугле по ключевым словам "AppCertDlls". 1

~~Dr_Quake~~ Заблокирован
	11.07.2013, 21:32	10
	Аналогично можно аттачить дебаггером ко всем, так же через реестр, только смысла... 0

	06.10.2013, 20:57

@ParanoiS 0 / 0 / 0 Регистрация: 12.09.2013 Сообщений: 4
	06.10.2013, 20:57	11
	набери в Я (или в G) перехват функций API code injection 0