как сделать такую фишку, нужно чтобы процесс было выдно в такс менеджере но
прибить стандартными средставим нези было? писало типа нет доступа или процесс
секьюрити системы или что-то типа того, реально ли такое?


спасибо

Здравствуйте, VxCall, Вы писали:

Это можно попробывать реализовать через сервис, он видет в ТМ но прибить нельзя, бо нет привелегий (Сервис ситемный процесс)

Здравствуйте, VxCall, Вы писали:

VC>как сделать такую фишку, нужно чтобы процесс было выдно в такс менеджере но
VC>прибить стандартными средставим нези было? писало типа нет доступа или процесс
VC>секьюрити системы или что-то типа того, реально ли такое?


VC>спасибо

Попробуй, задать процессу, системный токен привелегий.
Попробую поискать код на C++, реализующий данную фитчу.

Здравствуйте, А.Якубовский, Вы писали:

АЯ>Здравствуйте, VxCall, Вы писали:

АЯ>Это можно попробывать реализовать через сервис, он видет в ТМ но прибить нельзя, бо нет привелегий (Сервис ситемный процесс)

а есть где почитать про это всё? или исходнички?


спасибо

Здравствуйте, white_znake, Вы писали:

_>Здравствуйте, VxCall, Вы писали:

VC>>как сделать такую фишку, нужно чтобы процесс было выдно в такс менеджере но
VC>>прибить стандартными средставим нези было? писало типа нет доступа или процесс
VC>>секьюрити системы или что-то типа того, реально ли такое?


VC>>спасибо

_>Попробуй, задать процессу, системный токен привелегий.
_>Попробую поискать код на C++, реализующий данную фитчу.

искал, ничего не нашёл, можно побробнее, про "системный токен привелегий"

спасибо

Hello, А.Якубовский!
You wrote on Fri, 24 Dec 2004 08:43:32 GMT:

А> Это можно попробывать реализовать через сервис, он видет в ТМ но прибить
А> нельзя, бо нет привелегий (Сервис ситемный процесс)

Из под администратора все равно такой процесс убить можно. Просто в менюхе
надо выбирать не End Process, а Debug. А потом отладчиком срубить.

With best regards, Sergey.

Здравствуйте, Sergey, Вы писали:

S>Hello, А.Якубовский!
S>You wrote on Fri, 24 Dec 2004 08:43:32 GMT:

А>> Это можно попробывать реализовать через сервис, он видет в ТМ но прибить
А>> нельзя, бо нет привелегий (Сервис ситемный процесс)

S>Из под администратора все равно такой процесс убить можно. Просто в менюхе
S>надо выбирать не End Process, а Debug. А потом отладчиком срубить.

S>With best regards, Sergey.

ладно, а как сделать чтобы стандартным "End Process" срубить низя было?

спасибо

Здравствуйте, VxCall, Вы писали:

VC>как сделать такую фишку, нужно чтобы процесс было выдно в такс менеджере но
VC>прибить стандартными средставим нези было? писало типа нет доступа или процесс
VC>секьюрити системы или что-то типа того, реально ли такое?


VC>спасибо

Можно сделать, что бы процесс нельзя было убить Task Manager`ом. Для этого достаточно переименовать екзешник в csrss.exe или smss.exe, но сторонними утилитами он будет убиваться без проблем.

Здравствуйте, VxCall, Вы писали:

VC>как сделать такую фишку, нужно чтобы процесс было выдно в такс менеджере но
VC>прибить стандартными средставим нези было? писало типа нет доступа или процесс
VC>секьюрити системы или что-то типа того, реально ли такое?

Чтобы процесс можно было прибить из-под некоей учетной записи, необходимо, чтобы эта учетная запись имела право PROCESS_TERMINATE для этого процесса.

Таким образом, задача сводится к созданию процесса, в SECURITY_DESCRIPTOR которого это право никому не дано.

Указатель на SECURITY_DESCRIPTOR находится в SECURITY_ATTRIBUTES, а последняя используется в CreateProcess.

Как заполнять все это и т.д. — см. книгу Рихтера по серверным приложениям.

P.S. Лучше не давать это право и SYSTEM. Иначе продвинутый пользователь может запустить Task Manager от имени SYSTEM (это делается командой AT) и убить процесс. Кстати, таким образом вполне можно убить csrss.exe или smss.exe и любоваться после этого на BSOD.

With best regards
Pavel Dvorkin





VC>спасибо

Hello, VxCall!
You wrote on Fri, 24 Dec 2004 13:09:34 GMT:

V> ладно, а как сделать чтобы стандартным "End Process" срубить низя было?

Если прав у срубающего хватает — то никак, привилегии тут не помогут.

With best regards, Sergey.

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Здравствуйте, VxCall, Вы писали:

VC>>как сделать такую фишку, нужно чтобы процесс было выдно в такс менеджере но
VC>>прибить стандартными средставим нези было? писало типа нет доступа или процесс
VC>>секьюрити системы или что-то типа того, реально ли такое?

PD>Чтобы процесс можно было прибить из-под некоей учетной записи, необходимо, чтобы эта учетная запись имела право PROCESS_TERMINATE для этого процесса.

PD>Таким образом, задача сводится к созданию процесса, в SECURITY_DESCRIPTOR которого это право никому не дано.

PD>Указатель на SECURITY_DESCRIPTOR находится в SECURITY_ATTRIBUTES, а последняя используется в CreateProcess.

PD>Как заполнять все это и т.д. — см. книгу Рихтера по серверным приложениям.

PD>P.S. Лучше не давать это право и SYSTEM. Иначе продвинутый пользователь может запустить Task Manager от имени SYSTEM (это делается командой AT) и убить процесс. Кстати, таким образом вполне можно убить csrss.exe или smss.exe и любоваться после этого на BSOD.


у нас обычны пользователь, с обычными привелегиями, интересует средний вровень защиты





VC>>спасибо

Здравствуйте, VxCall, Вы писали:

Ну тады драйвер. Его не чем не срубишь, и в таск менеджере видно не будет

Здравствуйте, А.Якубовский, Вы писали:

АЯ>Здравствуйте, VxCall, Вы писали:

АЯ>Ну тады драйвер. Его не чем не срубишь, и в таск менеджере видно не будет

Вариант, после запуска самого экзе, перезапуститься функцией

char sdfg[256];
GetModuleFileName(hIns,sdfg,MAX_PATH);
CreateProcess(sdfg,NULL,0,0,FALSE,0,NULL,NULL,&si,&pi);

что нужно указывать в CreateProcess 6тым параметром чтобы был нормальный уровень защиты?
или я не там копаю? я новичёк, спасибо

Здравствуйте, VxCall, Вы писали:

VC>как сделать такую фишку, нужно чтобы процесс было выдно в такс менеджере но
VC>прибить стандартными средставим нези было? писало типа нет доступа или процесс
VC>секьюрити системы или что-то типа того, реально ли такое?
Перехватить функции API, которые служат для прибивания процесса (разные для Win9* и NT).
В них не трогать свой процесс...

VC>спасибо

Здравствуйте, Виталий, Вы писали:

В>Здравствуйте, VxCall, Вы писали:

VC>>как сделать такую фишку, нужно чтобы процесс было выдно в такс менеджере но
VC>>прибить стандартными средставим нези было? писало типа нет доступа или процесс
VC>>секьюрити системы или что-то типа того, реально ли такое?
В>Перехватить функции API, которые служат для прибивания процесса (разные для Win9* и NT).
В>В них не трогать свой процесс...

VC>>спасибо

направление куда копать, сами эти функции

Здравствуйте, VxCall, Вы писали:


VC>у нас обычны пользователь, с обычными привелегиями, интересует средний вровень защиты

Ну и бога ради. Если он член Users, то группе Users надо не давать этого права при создании процесса.

With best regards
Pavel Dvorkin

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Здравствуйте, VxCall, Вы писали:


VC>>у нас обычны пользователь, с обычными привелегиями, интересует средний вровень защиты

PD>Ну и бога ради. Если он член Users, то группе Users надо не давать этого права при создании процесса.

PD>With best regards
PD> Pavel Dvorkin

а по подробнее про "надо не давать этого права при создании процесса" какой параметр и какой он должен быть

спасибо

Здравствуйте, VxCall, Вы писали:

VC>Здравствуйте, Pavel Dvorkin, Вы писали:

VC>а по подробнее про "надо не давать этого права при создании процесса" какой параметр и какой он должен быть

Поподробнее — придется всю главу Рихтера о безопасности переписать. Если хочешь — вышлю Рихтера. Пиши на e-mail

With best regards
Pavel Dvorkin