|
Re: Sich gegen KillProcess wehren
@kalmi01: Äh, was hat des Beenden der Sitzung mit dem Abschiessen eines Prozess zu tun? Und ob Vista das noch mit sich machen lässt, weiß ich nicht. Aber auch schon Windows < Vista bringt einen entsprechenden Dialog mit dem du den hängenden Prozess beim Beenden abschiessen kannst.
|
Re: Sich gegen KillProcess wehren
Ich hab mal verschiedenes mit WinXP-Sp2 ausprobiert.
WMQueryEndSession wird nur gefeuert, wenn der Benutzer abgemeldet wird. Beim Killen über den Taskmanager passiert nix. ( Aber gut zu wissen :zwinker: ) Auch CloseQuery wird nicht gerufen wenn man den Prozess killt. Ein zweites Programm, welches das Erste überwacht, halte ich für mein Projekt für etwas overkill. Außerdem nützt es mit ja nix, wenn ich weiß, das mein Programm abgeschossen wurde, weil ich es ja eigentlich verhindern will und es gezielt beenden möchte. Meine Überlegung: :coder2: Ein Delphi-Programm besitzt doch einen Haupt-Thread. Der Taskmanger beendet nicht den Thread, sondern unterbricht ihn irgendwie und wirft ihn aus dem Speicher. (hab von Threads relativ wenig Ahnung) Da Threads ja auch Messages erhalten können, müsste es doch eine Message geben (die den Thread unterbricht,stoppt, killt, was auch immer) die man abfangen könnte. Darin "MachSonstWas" rufen und danach dem sterben freien Lauf lassen. Funktioniert sowas? |
Re: Sich gegen KillProcess wehren
TerminateProcess ist so konzipiert, dass das abgeschossene Programm gar nichts davon mitbekommt, also auch keine Message o.Ä. Das einzige was du meiner Meinung nach tun kannst, ist, dem Taskmanager einfach nicht die Rechte zum Terminieren zu geben. Ich habe dazu mal etwas gepostet, siehe
 hier. Das sollte funktionieren, sofern der Taskmanager nicht von einem User in der Gruppe Debugger-Benutzer gestartet wurde oder wenn er das nötige Privileg aus anderen Gründen nicht hat. |
Re: Sich gegen KillProcess wehren
Über einen SSDT Hook auf NtTerminateProcess geht das ..
|
Re: Sich gegen KillProcess wehren
Was ist denn ein SSDT-Hook? Google spuckt mir da eine ganze Menge asiatischer Seiten aus...
|
Re: Sich gegen KillProcess wehren
Hi,
ein SSDT Hook ist ein kernelhook(ring0)... aber ich kann davon nur abraten mit delphi in ring0 zu "gehen"... MfG Carlo |
Re: Sich gegen KillProcess wehren
Ja .. Ring0 sowieso nur über Treiber, also in C oder ASM. Aber du könntest mit Adminrechten auch einen Ring3 Hook installieren.
|
Re: Sich gegen KillProcess wehren
wenn es nicht wirklich hinnzubekommen ist, das abschiessen zu verhindern, dann kann man den prozess ja immer noch verstecken, fündig hierzu wird man in der codelib..
versteckenmfg |
Re: Sich gegen KillProcess wehren
@lbccaleb das hat Zacherl doch gesagt:
Zitat:
MfG Carlo |
Re: Sich gegen KillProcess wehren
Verstecken ist immer die schlechteste Methode. Man will ja kein Rootkit haben :P Ein Ring3 Hook wird das einfachste sein, wobei man als Admin diesen auch jederzeit wieder entfernen kann, wenn man weiß, dass er existiert.
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:20 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz