Programmstart verhindern
 

Hallo,

ich habe für unsere Schule einen Service entwickelt und möchte gerne, dass er bestimmte Programme am starten verhindert.
Und zwar wird leider ziemlich viel CS2D gespielt, und naja ich dachte mir, ich "bekomme" mit, wenn ein Programm gestartet wird und lese den Dateipfad aus, erstelle einen MD5 (o.ä.) Hash und überprüfe, ob dieser Hash in einer "Blacklist" Datenbank vorkommt und wenn dies nicht der Fall ist, lasse ich das Programm starten. Ansonsten könnte ich eine Meldung ausgeben oder ähnliches.
Mir geht es aber erstmal nur darum jeden Start einer *.exe mitzubekommen und dann den Dateinamen auszulesen. Hash erstellen und Datenbankkrams werde ich wahrscheinlich selber hinkriegen :D

MfG
xZise

Re: Programmstart verhindern
 

Start verhindern weis ich jetzt nicht, geht sicher auch (machen ja Firewalls).

Nach Start gleich wieder abwürgen würde sich aber via Liste mit CreateToolhelp32Snapshot anbieten.

Re: Programmstart verhindern
 

Ich hab mit sowas keine parktische Erfahrung, aber theoretisch würde ich es so machen: Thread in Kernel32.dll injizieren, Adresse von CreateProcess (und ggf. einiger anderer Prozeduren) herausfinden, dort einen Sprungbefehl auf eine eigene Prozedur einfügen, in der geprüft wird, ob die Datei zugelassen ist und falls ja, wieder zur Originalprozedur zurückgesprungen wird.

Ich würde aber mal vermuten, dass Virenscanner bei sowas Alarm schlagen. Außerdem ist die Frage, wie sinnvoll das wirklich ist... Mit dem Hexeditor irgendwo hinten an der Exe ein Byte angehängt, und schon ist die Sperre ausgehebelt...

Re: Programmstart verhindern
 

Dito :P

Das tun sie jetzt schon, und naja auch nicht zu unrecht :P Aber das Verhalten ist numal gewünscht ^^

Aber andere Alternativen? Ich meine den Dateinamen zu überprüfen ist noch unsicherer. Und dann muss auch derjenige erstmal wissen wo er die Exe ändern darf. Und ansonsten könnte man ja nur bestimmte Bereiche hashen...

MfG
xZise

Re: Programmstart verhindern
 

Prüfe doch einfach turnusmäßig alle laufenden Prozesse, dafür sollte es doch Quellen zuhauf geben.

Ist der Prozess nicht zugelassen, dann kannst du den ja wieder rauswerfen :mrgreen:

Jetzt würde ich dabei die Prozesse aber immer nach einer zufälligen Zeitdauer prüfen.
Damit die Schüler keinen Zusammenhang zwischen einer installierten Sperre mitbekommen.
Die sollen ruhig denken, dass die Rechner für CS2D einfach nix taugen :zwinker:
Meinetwegen auch defekte Hardware, etc.

Es gibt nix frustrierenderes, als nach 2-3 Minuten wieder aus dem Spiel zu fliegen.

Und die Gesichter sind allemal besser :shock:

Gleichzeitig noch eine Message auf den Lehrer-PC ...

Möglich wäre es ja auch, alle Prozesse, die nicht in einer Whitelist stehen auf dem Lehrer-PC
anzuzeigen und durch Auswahl von dort auf dem Schüler-Rechner zu killen.

Blacklist - Die Programme werden beim Überprüfen geschlossen/entfernt
Whitelist - Alles ist gut
Alles andere kann von einem zentralen Rechner beendet werden, in die White- oder Blacklist aufgenommen werden.

cu

Oliver

Re: Programmstart verhindern
 

Moin,

so geht das natürlich auch, aber:
1. Geht es auf der Hardware und das wissen sie ja (sie spielen es ja gerade)
2. Gibt es keinen "Lehrer PC" ;) Zumindest nicht in dem Raum um den es geht. Dort ist sozusagen freiwillige Beschäftigung (*räsuper*)
3. Dachte ich mir, zum Beispiel Kaspersky überprüft ja jede *.exe beim Start, dann könnte ich das ja auch "sauber" erledigen und nicht andere Prozesse kille :P

Und auch dort fehlt es mir an einer zuverlässigen Erkennung von unerwünschten Prozessen :P Also bisher fällt mir nur MD5 Hash und Dateinamen check ein.

MfG
xZise

Re: Programmstart verhindern
 

Aber es ist doch ein Windows-System, da kann man unerklärliche Phänomene damit erklären "Kommt halt von Billy-Boy" :mrgreen:
Aber man könnte doch zentral eine White-/Grey-/Blacklist halten und diese entsprechend füllen lassen. Und zentral kann man dann von der Greylist in die White-/Blacklist eintragen lassen. MD5-Hash wäre das richtige Kriterium zum Merken und dazu den PC-Namen und Dateipfad.
Ist aber wahrscheinlich schwieriger von der Umsetzung. Meine Variante ist da relativ einfach umzusetzen (getarnt als automatisches Software-Update).
BTW: Du solltest dein Programm auf jeden Fall immer einen "Heartbeat" senden lassen, sonst hat über kurz oder lang ein Schüler diesen Prozess gekillt.
Am Besten 2 Prozesse, die sich gegenseitig überwachen.

Darum ja auch White-/Grey-/Blacklist

cu

Oliver

Re: Programmstart verhindern
 

Gibt es nicht noch das Projekt mit denen die ein Programm entwerfen was auf der Festplatte nach "Killerspielen" sucht? Die könnte man mal fragen wie die die Spiele erkennen, hab leider keine Adresse grad :(

Re: Programmstart verhindern
 

Warum so umständlich? Für solche Fälle nimmt man einen Dienst.

Re: Programmstart verhindern
 

Namen von Fenstern/Labels/.... oder im Programm geladenen DLLs

oder wie bei den AntiVirenProgies > Mustererkennung, also etwas was möglichst und in den Programmen (z.B. deren RAM vorkommt) und das würde dann eventuell auch nach einem Programmupdate immernoch funktionieren

Re: Programmstart verhindern
 

Wir sprechen aber auch von Kids, die da sehr kreativ sein können, somit also gleich eine weitere Hürde einbauen.

Re: Programmstart verhindern
 

Wie gefällt dir folgendes?

Edit: Beschreibung:
Auf Hook klicken, andere Programme öffnen und zusehen, wie Einträge in der Listbox entstehen.

MfG

Re: Programmstart verhindern
 

Und wie sollen sie bei einem Dienst kreativ sein? Ich denke mal, dass sie nicht als Administratoren an den Rechnern sitzen. Bei deiner unsicheren Lösung würden sie wahrscheinlich kreativ werden. Zum Beispiel per Skript schnell hintereinander beide Prozesse abschiessen oder so was.

Re: Programmstart verhindern
 

Und wenn du statt der Blacklist eine Whitelist nimmst? Sprich, alle Programme, die in dieser Liste stehen, dürfen gestartet werden.

Re: Programmstart verhindern
 

Sowas sollte man über Security Policies von Windows regeln.

Re: Programmstart verhindern
 

Naja ich wollte es ja eh Zentral in einer MySQL Datenbank abspeichern, wo alle lesend Zugriff haben.
Wozu tarnen? Da es ein Dienst bzw. Service ist, bekommt der normale Benutzer davon nichts mit. Und da sie natürlich keine Administrationsrechte haben, bekommen sie den Dienst auch nicht weg. Also alles wunderbar.

In wie fern. Also ich kenne mich da jetzt nicht so wahnsinnig gut aus, aber soweit ich weiß kann man ja nur einen Pfad angeben.

Aber an diesen Rechnern wird u.U. auch programmiert, oder es werden einfach andere Programme gebraucht. Deshalb ist eine reine Whitelist nicht "umzusetzen" :)

Das schaue ich mir gleich mal an.

Sagte zwar Luckie schon, aber da nützt eigentlich nur die Kreativität die Administratoren zu "bestechen". Aber das kann ich schlecht verhindern. Außerdem läuft ein Dienst auch, ohne das jemand angemeldet ist.

MfG
xZise

Re: Programmstart verhindern
 

Wie wäre es damit, ein kleines Teil zu proggen, das folgende Funktion nutzt:


einen Timer reingesetzt, der z.B. alle 5 min. abfragt, ob die "böse" exe in Benutzung ist. Wenn ja, dann einfach die exe löschen lassen :idea:

und die compilierte exe einfach mit Windows mitstarten lassen (nur über Registry-Eintrag).

Re: Programmstart verhindern
 

Naja, aber ich kenne ja gerade nicht den Dateinamen. Sondern ich möchte den Dateinamen haben, damit ich davon einen Hash erstellen kann.

Und warum dann nicht als Dienst?!

Übrigens Aphton: Unter Windows 7 scheint das nicht zu funktionieren. Ich werde das gleich nochmal auf XP testen.

MfG
xZise

Re: Programmstart verhindern
 

Sicher bin ich mir nur hier bei Vista 32 Bit SP2.
Aber ansich sollte es schon funzen; zumindest XP & Vista

Es ist genau das, was du suchst!

MfG

Re: Programmstart verhindern
 

Hallo Aphton,
Erstens bezog ich mich auf "ccc2" und zweitens kann ich dann verhindern, dass das Programm gestartet wird?

MfG
xZise

Re: Programmstart verhindern
 

Hallo ihr,
also unter Windows XP mit einer normalen Anwendung funktioniert das. Aber in einem Dienst habe ich ja keine Möglichkeit Messages umherzusenden.

Außerdem kann ich damit zwar nicht den Programmstart unterbrechen, aber ich bräucht noch das Handle damit ich es beenden kann.

MfG
xZise

Re: Programmstart verhindern
 

Dazu reicht das Prozesshandle für TerminateProcess, das Fensterhandle brauchst du nicht.

Re: Programmstart verhindern
 

Hast du Windows 7 (x64), wenn ja, dann ist das der Grund, warum es nicht funktioniert, da die ProcessWatcher.dll nur als 32bit Version vorhanden ist. Diese ist nämlich bestimmt mit Delphi kompiliert wurden und dafür gibt es soweit ich weiß noch keinen 64bit-Compiler. Aber ich denke, dass in der ProcessWatcher.dll ein ExecuteHook steckt und das sollte eigentlich das Schlagwort für dein Problem sein. Damit kann man auch verhindern, dass ein Programm gestartet wird.
Ein Beispiel mit Quellcode solltest du hier http://www.michael-puff.de/Developer...xecutehook.zip finden.

Re: Programmstart verhindern
 

Ah stimmt, das ist möglich. Aber jetzt frage ich mich nur noch, wie ich die MessageBox-Prüfung in den Dienst "verschiebe".

MfG
xZise

Re: Programmstart verhindern
 

Ich weiß jetzt nicht genau, was du mit verschieben meinst, aber ich denke, dass du meinst, dass du mit deinem Dienst darauf reagieren möchtest, wenn ein Programm gestartet wird. Wenn dies der Fall ist, dann Sende das ganze doch von der APIHook.dll per SendMessage an deinen Dienst, wobei das gar nicht notwendig ist, da du das ganze auch in der DLL machen kannst.
Falls du aber meintest, dass du den ganzen Quellcode in den Dienst packen willst, muss ich dir sagen, dass das nicht geht. Da du ja die neuen Funktionen in die explorer.exe laden möchtest und das kannst du nur über eine DLL und einen Hook lösen.
Und anstelle der MessageBox-Prüfung muss ja dann sowieso der Teil kommen, wo du prüfst ob das Programm gestartet werden darf oder nicht.

Re: Programmstart verhindern
 

Moin,
aber soweit ich informiert bin ist SendMessage bei Diensten böse ;) Ich fürchte ich müsste mich da mal in IPC (z.B. Named Pipes) einarbeiten.

MfG
xZise