zabranenie killnutia aplikacie v taskman

miamia · Napísal **miamia**: 23.08.2010 0:33

Zdravim,

mohli by ste mi poradit, ako by som zabranil tomu, aby sla moja aplikacia jednoducho vypnut v taskmanagerovi? Zablokovanie ctrl+alt+del je pre mna nevhodne. Zatial to riesim tak, ze mam spustene dve aplikacie a jedna kontroluje, ci bezi ta druha a naopak - ale pri castej kontrole cez timer to zoziera dost CPU, tak hladam vhodnejsiu alternativu.

P.S. nejedna sa o aplikaciu typu "virus", zadanie bolo take, ze zamestnanci si nesmu vypnut tuto aplikaciu, preto hladam nejake riesenie.

vdaka vopred

coldak · Napísal **coldak**: 23.08.2010 7:57

no ved si ju naprogramuj ako service a nech sa spusta ako system, vtedy bezny uzivatel nebude mat prava ju stopnut

Fico · Napísal **Fico**: 23.08.2010 11:12

Zabrániť vypnutiu sa teoreticky nedá, keďže v záložke Processes sa po kliknutí na ukončenie procesu daný proces a jeho vlákna okamžite skončia. Jedna možnosť je, ako spomenul coldak, v obmedzení práv. Ďalšia finta je pomenovať proces ako iný, viac-krát použitý proces - napríklad svchost.exe. Vravíš, že zablokovanie skratky CTR+ALT+DEL nie je vhodné. Neviem, či kvôli zaznamenávaniu klávesov, ale ak iba kvôli tomu, Task Manager sa dá zakázať aj pomocou jednoduchej úpravy registru:

Kód:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

// tu vytvoriť novú DWORD hodnotu s názvom DisableTaskMgr
// a priradiť jej hodnotu 1 pre zakázanie, 0 pre povolenie Task Managera

Nakoniec ešte najkomplikovanejší spôsob odstránenia aplikácie z TM - pomocou DLL injekcie. Tzn, zistiť, ako Task Manager získava list procesov, a upraviť kód tak, aby tam nezahrnul tvoju aplikáciu. Ale:
1.) to už je cracking, čiže je to nelegálne
2.) fungovalo by to iba pre TaskMgr, pre iné podobné aplikácie by to bolo nutné aplikovať aj na ne.

coldak · Napísal **coldak**: 23.08.2010 11:57

maskovanie procesu v zozname procesov je ucine iba proti uplnemu zaciatocnikovi. staci si stiahnut daphne a tam sa mu zobrazia beziace aplikacie aj s cestami k suborom. daphne tiez umoznuje kill na zaklade nazvu okna a myslim ze okna bez nazvov su asi tiez neziaduce. apropo taskmanager nieje vobec potrebny, staci v prikazovom riadku zavolat taskkill

Kód:

TASKKILL [/S system [/U username [/P [password]]]]
         { [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]

Description:
    This command line tool can be used to end one or more processes.
    Processes can be killed by the process id or image name.

Parameter List:
    /S    system           Specifies the remote system to connect to.

    /U    [domain\]user    Specifies the user context under which
                           the command should execute.

    /P    [password]       Specifies the password for the given
                           user context. Prompts for input if omitted.

    /F                     Specifies to forcefully terminate
                           process(es).

    /FI   filter           Displays a set of tasks that match a
                           given criteria specified by the filter.

    /PID  process id       Specifies the PID of the process that
                           has to be terminated.

    /IM   image name       Specifies the image name of the process
                           that has to be terminated. Wildcard '*'
                           can be used to specify all image names.

    /T                     Tree kill: terminates the specified process
                           and any child processes which were started by it.

    /?                     Displays this help/usage.

Filters:
    Filter Name   Valid Operators           Valid Value(s)
    -----------   ---------------           --------------
    STATUS        eq, ne                    RUNNING | NOT RESPONDING
    IMAGENAME     eq, ne                    Image name
    PID           eq, ne, gt, lt, ge, le    PID value
    SESSION       eq, ne, gt, lt, ge, le    Session number.
    CPUTIME       eq, ne, gt, lt, ge, le    CPU time in the format
                                            of hh:mm:ss.
                                            hh - hours,
                                            mm - minutes, ss - seconds
    MEMUSAGE      eq, ne, gt, lt, ge, le    Memory usage in KB
    USERNAME      eq, ne                    User name in [domain\]user
                                            format
    MODULES       eq, ne                    DLL name
    SERVICES      eq, ne                    Service name
    WINDOWTITLE   eq, ne                    Window title

NOTE: Wildcard '*' for the /IM switch is accepted only with filters.

NOTE: Termination of remote processes will always be done forcefully
      irrespective of whether /F option is specified or not.

Examples:
    TASKKILL /S system /F /IM notepad.exe /T
    TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
    TASKKILL /F /IM notepad.exe /IM mspaint.exe
    TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
    TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe
    TASKKILL /S system /U domain\username /FI "USERNAME ne NT*" /IM *
    TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"

injectovanie DLL nieje ilegalne, ilegalne je pouzivanie tejto techniky na ilegalnu cinnost ale tam uz ta cinnost je vlastne ilegalna

a tvomto pripade aj tak nic neriesi

miamia · Napísal autor témy **miamia**: 23.08.2010 12:14

dakujem za vase odpovede.
Coldak, prosim, ako by som mal aplikaciu upravit, aby teda mohla byt spustena ako service? vopred vdaka

coldak · Napísal **coldak**: 23.08.2010 12:23

http://www.devarticles.com/c/a/Delphi-Kylix/Creating-a-Windows-Service-in-Delphi/
http://articles.techrepublic.com.com/5100-10878_11-1050538.html
http://www.tolderlund.eu/delphi/service/service.htm
na nete je toho dost

obdobny system pouzivaju aj antiviraky

Forty- · Napísal **Forty-**: 23.08.2010 13:54

Fico píše:

Ďalšia finta je pomenovať proces ako iný, viac-krát použitý proces - napríklad svchost.exe.

Za toto by som ruky lamal.

shiro · Napísal **shiro**: 23.08.2010 15:59

jj, veselo sa tuna spominaju finty, ked sa to chova ako nejaky spyware...co antispyware soft rychlo zisti a bude kricat.

miamia · Napísal autor témy **miamia**: 23.08.2010 16:11

juuj, vdaka vdaka. som zabudol poznamenat, ze to robim vo vb6. ale nahodili ste ma na spravnu cestu,tak pogooglim
dakujem

stopa27 · Napísal **stopa27**: 23.08.2010 16:39

V tomto pripade existuju 2 cesty ako to riesit. O prvej som si nie celkom isty, ale druha funguje urcite. Spociva to vo vytvoreni driveru, ktory by monitoroval pristup k funkcii zobrazujucej procesy a pokial by nasiel meno tvojej aplikacie, tento zaznam by odstranil. Toto riesenie nema nic spolocne s nelegalnou cinnostou ani nie je velmi zlozite. //Vo stvrtok idem tahat ddk, ak to nespravis sam, pozriem sa ti na to.

//je to klasicka metoda, ktoru opuzivaju rootkity, ale aj antiviry a podobne, cize by nemala byt prilis podozriva. Urcite na nu najdes aj kopu linkov ak sa chces dozvediet viacej

//http://www.apriorit.com/our-experience/articles/9-sd-articles/160-apihooks - tuto je opisana metoda, ktoru som spominal vyssie bez pouzitia driveru. najjednoduchsia cesta, nepatrne spomaly system, kedze treba vykonat trosku viac instrukcii, ale to je zanedbatelne. Podla tohto linku by si to mohol spravit, je to jednoduchsie ako pisat driver. Spolocne s nejakym zamaskovanim spustania procesu (lebo zabit sa da zrejme stale, ak poznas jeho meno) je to fajn

coldak · Napísal **coldak**: 23.08.2010 18:14

shiro píše:

jj, veselo sa tuna spominaju finty, ked sa to chova ako nejaky spyware...co antispyware soft rychlo zisti a bude kricat.

ktora technika by akoze vadila antispywareovemu softu ? services su bezna vec, ddl injections tiez, a blokovanie otvarania taskmanagera je bezna policy

antispayware vyuziva databazu znameho spyware tak ako aj antiviraky, popripade monitoruje neziaduce TCP komunikacie kedze ulohou spyware je kradnut info a nasledne ho niekam odoslat.

shiro · Napísal **shiro**: 23.08.2010 20:24

povazujes za beznu vec aj nazov procesu velmi podobny svchost.exe?

coldak · Napísal **coldak**: 23.08.2010 20:40

za beznu sice nie, ale aby to robilo problem nejakemu antispyware nevidim dovod. nebude mi predsa ziadny antispyware prikazovat ako sa nesmie volat moj program

shiro · Napísal **shiro**: 24.08.2010 8:43

omyl, ty mas programovat ako clovek a nie ako prasa. Odvykni si od toho ze v pc mozes vsetko, co sa ti zapaci. Od toho je tuna UAC a user policy.
Pretoze ked vyrobis program ktory si uzurpuje full access aj tam, kam ho mat nemusi, tak je to zle. Preto je v programoch pre windows taky bordel a klesa zabezpecenie systemu.

coldak · Napísal **coldak**: 24.08.2010 8:58

co ma spolocne nazov suboru a full access ?

shiro · Napísal **shiro**: 24.08.2010 9:23

nema to spolocne nic, ale clovek ktoremu je to jedno, vacsinou kasle aj na ostatne veci ktore ma dodrziavat.

Akoze, comu pomoze ked sa to bude volat schvost.exe ? (prehodene ch a v v nazve). Len to bude miast uzivatelov a pokial k tomu pride niekto kto to bude chciet odvirovat, tak takyto podozrivy proces bude zostrelovat ako prvy.

A ked zisti ze je to program ktory tam ma bezat, tak len pokruti hlavou, alebo v horsom pripade zanadava ze programator bol debil.

coldak · Napísal **coldak**: 24.08.2010 9:44

preco by to miatlo uzivatelov ? vacsina znich vie o programe len to ze ma niekde ikonku na spustanie a ani netusia ze podobny nazov ma aj systemovy proces. dobry odvirovac si najprv zisti ako sa virus, spyware, malware ... prejavuje a na zaklade toho potom riesi situaciu. to ze bude krutit hlavou popripade nadavat je jeho problem. v ziadnej programatorskej prirucke som nevidel zoznam nazvov suborov ktore sa nesmu pouzivat. ja neschvalujem myslienku nazvat subor tak ako kdejaky iny systemovy proces, neskusenemu userovi je jedno ako sa proces bude volat aj tak ho v task managerovi nenajde a pred skusenejsim userom to aj tak neobstoji. ja sa tu len snazim napisat ze techniky ktore tu boli popisane by nemali vadit ziadnemu antispywareovemu softu.

shiro · Napísal **shiro**: 24.08.2010 10:29

no kazdopadne to tak nieje dobre robit. preco, to som ti napisal vyssie. Da sa to riesit normalnym sposobom cez services, tak preco to zbytocne komplikovat.

Podla toho co pises je to vlastne aj zbytocne vobec riesit, kedze userovi ani nemusi na um zist nejak tu aplikaciu vypinat :-)

coldak · Napísal **coldak**: 24.08.2010 10:44

no ved ja som navrhoval services hned na zaciatku

a vcera vecer som to doma aj odskusal a funguje to bez problemov

shiro · Napísal **shiro**: 24.08.2010 12:32

potom tu zbytocne riesime blbosti ako je zmena nazvu na nieco podobne ako syst. proces :-)

coldak · Napísal **coldak**: 24.08.2010 12:54

poprosim moderatora aby vymazal zbytocne prispevky podla uvazenia

zabranenie killnutia aplikacie v taskman

Podobné témy