Бессмертная программа, которую невозможно (насколько это возможно) убить

Всем доброго времени суток.
Необходимо! Создать программу, которую невозможно (насколько это возможно) убить!

В чем суть? Надеюсь те, у кого есть младшие братья, которые сутками сидят за компом , догадались))
Программа будет выключать комп, либо давать доступ только к определенным приложениям (к примеру торрент-клиенту) по истечении указанного времени (хватит ему 6 часов в день )

Но вот убить простой процесс очень уж легко. Ставил программу TimeBoss, толку 0 (убивается Unlocker'ом очень успешно)
Разумеется очень хороший вариант - внедрять 2 программы, которые контролируют друг-друга, одну убили - другая возобновляет процесс, другую - первая возобновляет.

Но хочется максимально усложнить убийство процесса.
Какие мысли меня посещают:

1) Запустить как драйвер?(возможно?)
2) В антивирусах такое реализовано прекрасно, к примеру nod32 не дает себя убить. Выводит сообщение "операция не может быть завершена, отказано в доступе" (как?)
3) Скрыть процесс (в XP это было легко, есть ли способы для Windows Seven?)

Буду очень благодарен за дельные советы!

0

Как вариант: написать сервис, который запускается в контексте администратора, а братьев позадить на учетку пользователя.

1

Можно попробовать запустить процесс от имени SYSTEM при загрузке компьютера. Использовать комплексную защиту (два процесса, например). Однако, даже самую мощную защиту можно обойти (можно лишь рассчитывать на тугоумность младших братьев ). Я, например, всё-таки смог убить процессы антивирусника (AVG)

1

И как же вы скрыли процесс в ХР?

0

Вариант скрытия процессов в стандартном Диспетчере задач, и на XP и на 7 фурычит.
Хотя толку нет комерческий диспетчер на этот код чихал...

Совет от _engineer с сервисом хороший!

3

Правильно сказано, что в сторону прав двигать нужно, ибо если они есть, то тот же сервис убить можно секунд за 5. Если воспринимать хедшот варианты - то шотдаун компа при "поимке" любого события закрытия приложения. При этом чем ниже уровень комманд использовать, тем лучше.

Что касается запуска определенных приложений, опять же можно сканить процессы или окна, но права доступа (при установке ПО обычно указывается для каких пользователей разрешен запуск) опять же ставят вопрос, нужен ли велосипед.

1

Сообщение от _engineer_ Как вариант: написать сервис, который запускается в контексте администратора, а братьев позадить на учетку пользователя.

Не вариант) Братан с милой улыбкой и невинным взглядом взломает пароль к админу за пару минут))
Честно говоря тут проще некуда.. есть один такой загрузочный диск, работает во ВСЕХ версиях Windows!
Помню нарезал его в 2005 году чтоб сменить пароль на XP,
Просто загружаетесь с диска, вводите новый пароль, и пользуетесь учеткой админа)))
Я был безумно удивлен, когда убедился в его работоспособности на Seven

Так что нужно что то очень хитрое))

Сообщение от Vovik_0_1 И как же вы скрыли процесс в ХР?

Уж года 2 прошло, код не сохранился по причине неактуальности.
По-моему все делал по книжке "C++ глазами хакера"

Samrisbe спасибо за год скрытия процесса!
Вот только братан любит пользоваться Unlocker'ом и всякими ProcessKiller'ами

Хотя, если дать имя процесса системной службы, то процесс обнаружения значительно усложниться.

Но все же хочется как-то сделать ее именно "неубиваемой"

Сообщение от mymedia Можно попробовать запустить процесс от имени SYSTEM при загрузке компьютера

Звучит то что надо! Есть более подробная информация на счет этого?

1

А если сделать программу как службу Windows?(панель Управления/Администрирование/Службы)

0

Если есть полные права, то даже выключение компьютера при киле процесса не поможет. Хорошо, у нас есть 20 процессов, следящие друг за другом - заходим в реестр, удаляем их, релогаем комьютер - до свиданья. Хорошо, у нас есть сервис, заходим в службы, отключаем ее, релог - до свиданья. Дальнейшие манипуляции с переименованием, удалением приложений и тот же эффект. В комьютерных клубах еще лет 5 назад использовались свои версии explorer'ов, но имея доступ к учетке администратора и все заканчивается печально.
Единственное, что можно предложить независимо для всех учетоков, ловить и блокировать все и вся. Но ИМХО безопасный режим, это поправит. Могу посоветовать решить данную проблему на аппартном уровне, вытащив флопик или ставить убунту

ps. хотя есть вариант, что восстановление пароля через дискету можно отрубить в системе, ИМХО пока не решить проблему с правами, вариантов мало.

1

Сообщение от __bool Сообщение от mymedia Можно попробовать запустить процесс от имени SYSTEM при загрузке компьютера Звучит то что надо! Есть более подробная информация на счет этого?

К сожалению, оказывается, я (администратор) могу закрыть процесс, запущенный от имени системы
А вот как запустить процесс от имени SYSTEM. Скачиваем PsExec.exe. Запускаем из командной строки PsExec.exe -s taskmgr (это запуск диспечера задач от имени системы)

Вложения

PsExec.rar (115.8 Кб, 84 просмотров)

1

Антивирус Касперского я как администратор закрыть не могу (и менять файлы в его папке тоже). Хоть занастраивай права доступа. Только снятие галочки самозащиты в самом антивирусе решает проблему. Кто знает как он это делает, хоть примерно?

0

Сообщение от gumi250 Кто знает как он это делает, хоть примерно?

Запуск идет от имени учетной записи, к файлам и процессам которой даже администратор не имеет доступа. Очень схоже с майкрософтской записью TrustedInstaller. Делается это все с помощью установки дополнительных прав. Подобную запись можно создать (и удалить) вручную (для справки: открываем администрирование->локальная политика безопасности->локальные политики и уделяем внимания пунктам, где в описании встречается "урожает безопасности системы").

Файлы под защитой этой записью, так же легко поддаются изменению (конечно, после убийства находящихся там и контролирующих защиту процессов). Windows 7 – How to Delete Files Protected by TrustedInstaller. Статья в подтверждение.

Что касается бессмертия данного антивируса. Понятное дело, что ребята не просто на месте сидят, но защита все равно организована в два направления: от вредоносных приложений и "от дурака". Удалить без использования средств данного ПО - вполне реально (тут уже ссылки выкладывать не буду, не думаю, что были подобные прициденты, кроме как на тему "статья для тру хакера, как обойти каспер").

Для решения данной задачи, не нужно смотреть в сторону антивирусов, а больше внимания уделить тому, из-за чего они появились. Ибо только вирусы работают против пользователя (а здесь именно такая ситуация, хоть и в благих целях).

3

Запуск идет от имени учетной записи, к файлам и процессам которой даже администратор не имеет доступа.

Наверно в администрирование->Управлении компьютером не показаны все учетки, TrustedInstaller там нет.
Не знаю как кого, а лично меня уже достала эта тенденция когда админ и не админ вовсе (не все может удалить или закрыть), когда ты не хозяин своему компу. Как хорошо было в Win98 делай что хочешь никаких прав. Почему нельзя сделать учетку супер-пупер админа, который может абсолютно все и вся или вообще отключить все эти права доступа для человека сидящего за компом.

1

Сообщение от gumi250 Наверно в администрирование->Управлении компьютером не показаны все учетки, TrustedInstaller там нет.

Да, там не отображаются все учетные записи (особенно скрытые), про группы я вообще молчу, но место обитания TrustedInstaller вы вряд ли найдете, ибо фактически это системная служба.

Сообщение от gumi250 Не знаю как кого, а лично меня уже достала эта тенденция когда админ и не админ вовсе (не все может удалить или закрыть), когда ты не хозяин своему компу. Как хорошо было в Win98 делай что хочешь никаких прав. Почему нельзя сделать учетку супер-пупер админа, который может абсолютно все и вся или вообще отключить все эти права доступа для человека сидящего за компом.

Ну в Win 3.11 вообще замечателен был, еще и с окнами возится не надо. Про права администратора я уже сказал более, чем достаточно, поэтому постараюсь в кратце. В отличии от Linux в Windows нет такого понятия как супер пользователь, но есть скрытая запись администратора, которая так и называется (на семерке есть, скорее всего под вистой так же). Правда она мало чем отличается от стандартной (все можно и так настроить). А различные группы пользователей, системные службы - нужны, ибо без них как-то плачевно получается в плане безопасности.

Чтобы пост совсем оффтоп не напоминал добавлю по теме Нужно смотреть в строну родительского контроля, групповой политики, учетных записей пользователей и назначения прав к вашему ПО. В этом случае, для группы "пользователи" получаем неубиваемый процесс. Ну а если хотите быть ближе к антивирусам, то "здравствуй дядя асамблер" и Ring (computer security). *

* см. на wikipedia "Кольца Защиты".

2

Сделай способ запуска и сокрытия как в Zeus.
Вот цитата из руководства его: Бот основан на перехвате WinAPI, методом сплайсинга в ring3(пользовательский режим), путем запуска копии своего кода в каждом процессе пользователя (без использования DLL).
Т.е убить его будет практически невозможно. Имеются и исходники данного произведения. Вот оттуда и можно выдрать этот код. Тем более там всё с комментариями на русском.

1

Сообщение от Kamenev_D основан на перехвате WinAPI, методом сплайсинга в ring3(пользовательский режим), путем запуска копии своего кода в каждом процессе пользователя (без использования DLL)

Отличный способ погибнуть в неравном бою с антивирусом

1

Оставим сплайсинг и кольца в стороне, там да, сходу рубит любой антивирус. Сам метод интересен.

В общем делай так, в ветке HKCR\exefile\shell\open\command параметр " "%1" %* " меняй на "%Windows%\you_application.exe „%1 ". В результате, какой бы ехе файл не запускался, будет запускаться и твой файл. Но есть небольшое НО. Если твой файл будет удален, то *.ехе файлы перестанут запускаться. Тогда меняй значение реестра на первоначальное.

Перед тестом советую сделать бекап. Или тести на виртуалке.

Добавлено через 44 минуты
Забыл сказать, делай какие нить мьютексы, что бы память не забил своим приложением.

2

В итоге получим неплохой контроль над запуском программ, это да. Уже можно вводить правила, завязанные на время и конкретный запускаемый процесс. Но это до тех пор, пока брат не догадается пошерстить реестр в правильном направлении. Да и остается проблема сохранения нашего процесса в сознании, ведь сколько бы копий ни было запущено, все равно их можно одновременно хлопнуть при наличии прав.

__bool, сдается мне, такой армрестлинг приведет только к тому, что ваш братишка в своих попытках свалить защиту будет периодически убивать операционку; которую вам потом еще и восстанавливать...
Нет, тут надо именно права доступа ему перекрыть. Ограниченная учетка, родительский контроль, пароль на bios, замок на банку. Ну, и воспитательные работы, куда ж без них.

1

Сообщение от Samrisbe HWND MyHandle = FindWindow(0,"Диспетчер задач Windows"); if (MyHandle) { HWND hProcess = FindWindowEx(MyHandle,0,0,"Процессы"), hApplication = FindWindowEx(MyHandle,0,0,"Приложения"); ShowWindow(hProcess,SW_HIDE); ShowWindow(hApplication,SW_HIDE); }

Странно у меня не работает! В диспетчире всё равно видно(

0

Сообщение от Vovik_0_1 Странно у меня не работает! В диспетчире всё равно видно(

У меня кстати тоже не скрывается в диспетчере задач

0