Как завершить неубиваемый процесс?

@Zagadohnik37 · Регистрация: 23.01.2015

Author24 — интернет-сервис помощи студентам

Нашёл в инете код, который делает процесс неубиваемым:

Delphi

function ZwSetInformationProcess(cs1:THandle; cs2:ULONG; cs3:Pointer; cs4:ULONG):ULONG; stdcall; external 'ntdll.dll';
 
function Non_Killable(Process: String; BSOD: Bool): ULONG;
var
  Val           : ULONG;
  ProcessEntry  : TProcessEntry32;
  hSnapshot     : THandle;
  ProcessHandle : THandle;
  ProcessID     : DWORD;
begin
  case BSOD of
    True  : Val := $FFFFFFFF;
    False : Val := $8000F129;
  end;
  hSnapshot := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  ProcessEntry.dwSize := SizeOf(ProcessEntry32);
  while Process32Next(hSnapshot, ProcessEntry) do
  begin
    if Process = ProcessEntry.szExeFile then
    begin
      ProcessID := ProcessEntry.th32ProcessID;
      ProcessHandle := OpenProcess(PROCESS_ALL_ACCESS, True, ProcessID);
      CloseHandle(hSnapshot);
    end;
  end;
  Result := ZwSetInformationProcess(ProcessHandle, $21, @Val, SizeOf(Val));
end;
 
procedure TForm1.Button1Click(Sender: TObject);
begin
 non_killable('Project1.exe', False); //Sin BSOD
 
non_killable('Project1.exe', True); //Con BSOD
end;

Код оказался рабочим, только я теперь хз как убить этот процесс... Не подскажите код для завершения такого процесса?

Добавлено через 30 минут
И да, если можно - объяснить, что делает этот код...

@droider · 24.06.2017, 14:15

Сообщение от Zagadohnik37

Не подскажите код для завершения такого процесса?

пробуйте (функция 2).

Сообщение от Zagadohnik37

что делает этот код

Ваш

Сообщение от Zagadohnik37

делает процесс неубиваемым

Не по теме:

Сообщение от Zagadohnik37

Нашёл в инете код

Сообщение от Zagadohnik37

оказался рабочим

А Вы не экспериментируйте с тем, чего не знаете. Иначе, однажды, сильно удивитесь и Вас посетит Wanna Cry :)

@Zagadohnik37 · 24.06.2017, 16:58 **[ТС]**

Сообщение от droider

А Вы не экспериментируйте с тем, чего не знаете

Я в общем понимаю, что делает этот код, просто я не совсем понимаю, что именно надо изменить, что бы сделать процесс снова убиваемым.
Я не очень-то понимаю что конкретно делает эта ф-ция:

Сообщение от Zagadohnik37

ProcessHandle := OpenProcess(PROCESS_ALL_ACCESS, True, ProcessID);

И вот эта: (Я понимаю, что она что-то изменяет в процессе, но что конкретно - хз...)

Сообщение от Zagadohnik37

ZwSetInformationProcess(ProcessHandle, $21, @Val, SizeOf(Val));

Добавлено через 8 минут

Сообщение от droider

пробуйте (функция 2).

И это не помогает

Он просто висит в диспетчере задач и всё

Добавлено через 10 минут
И если можно, то мне нужен код не убивания данного процесса, а что-бы он снова стал убиваемым.

Добавлено через 53 минуты
И главная проблема в том, что после завершения процесса даче через application.terminate процесс остаётся в диспетчере задач!

@qwertehok · 24.06.2017, 17:19

Не по теме:

Сообщение от Zagadohnik37

Я в общем понимаю, что делает этот код

:))))))

Сообщение от Zagadohnik37

даче через application.terminate процесс остаётся в диспетчере задач!

:))))))

напишите комментарии к каждой строке функции, переведите все описание в MSDN и только тогда поймете

@Zagadohnik37 · 24.06.2017, 18:12 **[ТС]**

Не могли бы вы ускорить этот процесс и объяснить, что я должен понять сделав это:

Сообщение от qwertehok

напишите комментарии к каждой строке функции, переведите все описание в MSDN

@droider · 24.06.2017, 18:49

Сообщение от Zagadohnik37

Я не очень-то понимаю что конкретно делает эта ф-ция:

Delphi

1	ProcessHandle := OpenProcess(PROCESS_ALL_ACCESS, True, ProcessID);

функция OpenProcess()

Сообщение от Zagadohnik37

И вот эта: (Я понимаю, что она что-то изменяет в процессе, но что конкретно - хз...)

Delphi

1	ZwSetInformationProcess(ProcessHandle, $21, @Val, SizeOf(Val));

А здесь функция ZwSetInformationProcess рекурсивно вызывает саму себя.

Добавлено через 5 минут

Сообщение от Zagadohnik37

Не могли бы вы ускорить этот процесс и объяснить, что я должен понять

Копируйте имя непонятной Вам функции или процедуры в поисковик и смотрите ее описание. Я привел выше пример с OpenProcess(). Для Вас удобно будет именно на русском.

@Animalia · 24.06.2017, 19:35

Сообщение от Zagadohnik37

Я в общем понимаю, что делает этот код

ORLY?

Вы запустили НЕДОКУМЕНТИРОВАННУЮ функцию из библиотеки ядра с НЕДОКУМЕНТИРОВАННЫМИ параметрами.
Иными словами запустили багу ядра. Подробнее здесь

Сообщение от Zagadohnik37

И если можно, то мне нужен код не убивания данного процесса, а что-бы он снова стал убиваемым.

Вам нужен не код что-бы он снова стал убиваемым, а поставить все сервис паки и обновления. Или как вариант апнуть версию системы.
А вот юзать багу в надежде что ее не прикроют - наивно, учитывая что есть другие, документированные способы 'неубиваемости'.

Добавлено через 2 минуты
Попробуйте прибить Process Hacker'ом. Вдруг поможет.

@Zagadohnik37 · 24.06.2017, 20:54 **[ТС]**

Сообщение от Animalia

учитывая что есть другие, документированные способы 'неубиваемости'.

Не подскажите, какие именно? Один из этих способов я нашёл в инете, (основано на : SetKernelObjectSecurity ) но он работает только для обычного пользователя, админ же может легко завершить данный процесс.

Delphi

 function ProtectObject(Handle : THandle) : Boolean;
var SD : TSecurityDescriptor;
ACL : array[0..1023] of Byte;
begin
  Result := False;
  if not InitializeSecurityDescriptor(@SD, SECURITY_DESCRIPTOR_REVISION) then
  begin
    Exit;
  end;
  FillChar(ACL, SizeOf(ACL), 0);
  if not InitializeAcl(_ACL((@ACL)^), SizeOf(ACL), 2) then
  begin
    Exit;
  end;
  if not SetSecurityDescriptorDacl(@SD, True, @ACL, False) then
  begin
    Exit;
  end;
  if not SetKernelObjectSecurity(Handle, DACL_SECURITY_INFORMATION, @SD) then
  begin
    Exit;
  end;
  Result := True;
end;
{
procedure securityprocess;
begin
  ProtectObject(GetCurrentProcess); ProtectObject(GetCurrentThread)
end;
}

Если есть другие методы защиты процесса без использования драйверов, то я буду очень рад их увидеть!

Сообщение от Animalia

Вы запустили НЕДОКУМЕНТИРОВАННУЮ функцию из библиотеки ядра с НЕДОКУМЕНТИРОВАННЫМИ параметрами.

Я по-вашему похож на экстрасенса или большого знатока в этой области? Я просто нашёл этот код в инете и решил протестить. Как оказалось это рабочий код и откуда блин я мог знать, что эта какая-то бага ядра и на последующих версиях винды работать не будет?

Сообщение от Animalia

Попробуйте прибить Process Hacker'ом. Вдруг поможет.

От этого даже он не помог -_- ...

@droider · 24.06.2017, 21:46

Сообщение от Zagadohnik37

Я по-вашему похож на .... большого знатока в этой области? Я просто нашёл этот код в инете и решил протестить

Поэтому

Сообщение от droider

не экспериментируйте с тем, чего не знаете

Попробуйте Process Explorer-ом завершить. Он позволяет завершить "дерево" зависимых процессов (Shift+Delete).

@droider 4912 / 2781 / 853 Регистрация: 04.10.2012 Сообщений: 10,121
	24.06.2017, 14:15	2
	Сообщение от Zagadohnik37 Не подскажите код для завершения такого процесса? пробуйте (функция 2). Сообщение от Zagadohnik37 что делает этот код Ваш Сообщение от Zagadohnik37 делает процесс неубиваемым Не по теме: Сообщение от Zagadohnik37 Нашёл в инете код Сообщение от Zagadohnik37 оказался рабочим А Вы не экспериментируйте с тем, чего не знаете. Иначе, однажды, сильно удивитесь и Вас посетит Wanna Cry :) 0

@Zagadohnik37 4 / 4 / 1 Регистрация: 23.01.2015 Сообщений: 330
	24.06.2017, 16:58 [ТС]	3
	Сообщение от droider А Вы не экспериментируйте с тем, чего не знаете Я в общем понимаю, что делает этот код, просто я не совсем понимаю, что именно надо изменить, что бы сделать процесс снова убиваемым. Я не очень-то понимаю что конкретно делает эта ф-ция: Сообщение от Zagadohnik37 ProcessHandle := OpenProcess(PROCESS_ALL_ACCESS, True, ProcessID); И вот эта: (Я понимаю, что она что-то изменяет в процессе, но что конкретно - хз...) Сообщение от Zagadohnik37 ZwSetInformationProcess(ProcessHandle, $21, @Val, SizeOf(Val)); Добавлено через 8 минут Сообщение от droider пробуйте (функция 2). И это не помогает Он просто висит в диспетчере задач и всё Добавлено через 10 минут И если можно, то мне нужен код не убивания данного процесса, а что-бы он снова стал убиваемым. Добавлено через 53 минуты И главная проблема в том, что после завершения процесса даче через application.terminate процесс остаётся в диспетчере задач! 0

@qwertehok 5395 / 4323 / 1060 Регистрация: 29.08.2013 Сообщений: 27,130 Записей в блоге: 3
	24.06.2017, 17:19	4
	Не по теме: Сообщение от Zagadohnik37 Я в общем понимаю, что делает этот код :)))))) Сообщение от Zagadohnik37 даче через application.terminate процесс остаётся в диспетчере задач! :)))))) напишите комментарии к каждой строке функции, переведите все описание в MSDN и только тогда поймете 0

@Zagadohnik37 4 / 4 / 1 Регистрация: 23.01.2015 Сообщений: 330
	24.06.2017, 18:12 [ТС]	5
	Не могли бы вы ускорить этот процесс и объяснить, что я должен понять сделав это: Сообщение от qwertehok напишите комментарии к каждой строке функции, переведите все описание в MSDN 0

@Animalia 225 / 80 / 35 Регистрация: 01.04.2017 Сообщений: 182
	24.06.2017, 19:35	7
	Сообщение от Zagadohnik37 Я в общем понимаю, что делает этот код ORLY? Вы запустили НЕДОКУМЕНТИРОВАННУЮ функцию из библиотеки ядра с НЕДОКУМЕНТИРОВАННЫМИ параметрами. Иными словами запустили багу ядра. Подробнее здесь Сообщение от Zagadohnik37 И если можно, то мне нужен код не убивания данного процесса, а что-бы он снова стал убиваемым. Вам нужен не код что-бы он снова стал убиваемым, а поставить все сервис паки и обновления. Или как вариант апнуть версию системы. А вот юзать багу в надежде что ее не прикроют - наивно, учитывая что есть другие, документированные способы 'неубиваемости'. Добавлено через 2 минуты Попробуйте прибить Process Hacker'ом. Вдруг поможет. 0

@droider 4912 / 2781 / 853 Регистрация: 04.10.2012 Сообщений: 10,121
	24.06.2017, 21:46	9
	Сообщение от Zagadohnik37 Я по-вашему похож на .... большого знатока в этой области? Я просто нашёл этот код в инете и решил протестить Поэтому Сообщение от droider не экспериментируйте с тем, чего не знаете Попробуйте Process Explorer-ом завершить. Он позволяет завершить "дерево" зависимых процессов (Shift+Delete). 0