FTP | CCD | Buscar | Trucos | Trabajo | Foros |
|
Registrarse | FAQ | Miembros | Calendario | Guía de estilo | Buscar | Temas de Hoy | Marcar Foros Como Leídos |
|
Herramientas | Buscar en Tema | Desplegado |
|
#1
|
||||
|
||||
Cita:
Está escrito en 'C', pero la técnica es genérica. P.e. seoane lo utiliza aquí. (EnablePrivilege). Una vez obtenidos los privilegios, realiza un ShellExecute al TaskManager que hereda esos privilegios y a matar todo lo que se ponga por delante... Las explicaciones están aquí (hay que mover la pantalla del navegador un poco hacia la derecha para verlo bien....) Siguiendo con el asunto de evitar que se puede matar un proceso, aquí se describen unas técnicas usuales, pero el plato fuerte está aquí donde se describe una patente para realizar procesos seguros. Quien le pone el cascabel al gato ?
__________________
Un poco de tu generosidad puede salvar la vida a un niño. ASÍ DE SENCILLO |
#2
|
||||
|
||||
Pese a lo dicho antes... al mi el procedimiento o no me funciona...
__________________
Un poco de tu generosidad puede salvar la vida a un niño. ASÍ DE SENCILLO |
#3
|
||||
|
||||
Siguiendo lo comentado por ardilla, vamos a hacer un killer:
Lo primero es elevarnos nuestro privilegios para que nadie se nos resista. A partir de ahí tenemos dos métodos de matar. Uno es utilizar la función TerminateProcess con el handle del proceso y el otro es matar desde dentro, ejecutando de forma remota la función ExitProcess dentro de nuestra víctima. Bueno, aquí os lo dejo como curiosidad Código:
// Modo de empleo // Matar el notepad Killer notepad.exe // Matar el notepad desde dentro (/i tiene que ser el primer parámetro) Killer /i notepad.exe |
#4
|
||||
|
||||
He visto por ahí que lo habitual en estos casos es abrir el proceso con: OpenProcess PROCESS_TERMINATE
Aquí hay un ejemplo pero sin utilización de privilegios, y aquí hay otro que si los utiliza, pero como puedes ver ambos abren el proceso con PROCESS_TERMINATE Por cierto seoane, has leído el tema de las patentes de procesos seguros... precisamente para evitar esto y otras muchas cosas ?
__________________
Un poco de tu generosidad puede salvar la vida a un niño. ASÍ DE SENCILLO |
#5
|
||||
|
||||
Hombre Ardilla, una vez que nos elevamos los privilegios para que andar ajustando los permisos si tenemos garantizado PROCESS_ALL_ACCESS. Pero bueno, si se quiere ajustar, es verdad que no hacen falta todos los permisos, aunque habría que incluir los necesarios para poder obtener el nombre del ejecutable.
En cuanto a la patente, la he leído un poco por encima, pero no parece describir un método para hacerlo en windows, sino que describe como se debería de implementar un sistema operativo para tener procesos seguros. La verdad es que si se pudieran implementar procesos seguros, los procesos como winlogon.exe serian los primeros en serlo, y como ya quedo demostrado, con los permisos necesarios se puede inyectar código dentro de ellos. PD: Lo que me gustaría saber es si el proceso inmortal de roman se muere con alguno de los dos métodos. |
#6
|
||||
|
||||
Cita:
Por ejemplo hay en mis procesos un exe de ZoneAlarm, concretamente el zlclient.exe que no se deja tocar. También estuve examinando el código de algunos firewall de SourceForge y utilizan esa técnica (CreateService) para permanecer como procesos protegidos o incluso como drivers.
__________________
Un poco de tu generosidad puede salvar la vida a un niño. ASÍ DE SENCILLO |
Herramientas | Buscar en Tema |
Desplegado | |
|
|
Temas Similares | ||||
Tema | Autor | Foro | Respuestas | Último mensaje |
Administrador de tareas | Iskariote0087 | API de Windows | 7 | 31-12-2006 20:26:36 |
Evitar cerrar un formulario desde un componente | genius | Varios | 1 | 23-11-2006 15:55:42 |
Administrador de tareas - recuento de indentificadores | mole | API de Windows | 2 | 25-08-2006 09:41:52 |
Activar Administrador de Tareas | CARSOFT_AR | Varios | 4 | 23-11-2005 20:12:58 |
Cerrar mi programa desde otro | Sr_Sombrero | API de Windows | 2 | 02-12-2004 22:12:09 |
|