|
阅读:2464回复:10
关于防止服务被停、进程被杀的技术实现的可能性
不知在WinNT下有没有可能通过驱动来防止某个系统服务被停掉、某个进程被杀掉(即使是管理员或者system帐户也不行,需要经过另外的独立于系统身份认证的认证之后才行)。主要是考虑到系统被入侵之后的防范。
|
|
|
沙发#
发布于:2001-10-12 10:33
几乎不可能所有系统进程都有被系统操作的权力..
除非你的驱动实时监控...在被杀掉后又重起....就象3721病毒一样不过它也会被杀掉的... |
|
|
|
板凳#
发布于:2001-10-12 10:46
有无可能截获kill process的调用并根据事先定义的规则(比如某个进程不能被杀、某个进程只能由谁杀等)作出处理?
|
|
|
地板#
发布于:2001-10-12 11:07
好像记得Jeffrey Richter 有篇文章,关于杀掉Service的。
只要得不到这个进程的足够权限的句柄,就杀不掉这个进程, 管理员也不例外。如:csrss和winlogon,microsoft根本不 给你这个权限。 至于自己做一个类似于csrss和winlogon的进程,呵呵,大家 都来想想办法吧。 |
|
|
地下室#
发布于:2001-10-13 17:58
CSRSS和WINLOGON本身没有特殊的地方. 不能OPEN它是因为ACL没有普通用户的入口. 自己的程序也可以这样. 但是SE_DEBUG_PRIVILEGE能解除ACL限制.
|
|
|
|
5楼#
发布于:2001-10-15 10:20
好象有一个WINDOWS内部保留函数可以的。
|
|
|
|
6楼#
发布于:2001-10-15 11:34
Dear lxf sir,
plz type the internal function name,thx |
|
|
|
7楼#
发布于:2002-03-14 14:50
旧事重提
|
|
|
8楼#
发布于:2002-03-14 23:44
你可以启动两个进程来相互监视啊!系统不可能在同一时刻把两个进程同时杀掉的吧!
|
|
|
9楼#
发布于:2002-03-15 10:17
很不幸,好像可以同时杀死两个进程。
先暂停程序运行,然后杀死。 麻烦在于,在Ring3,没有绝对可靠的方法暂停进程执行。 但是我认为,在驱动中当IRQL为DISPATCH_LEAVE,并且只有一个CPU,可以可靠的暂停进程执行。对于多CPU,我还没有想好,但是我估计应该也可以。 |
|
|
10楼#
发布于:2002-03-18 13:27
如何才能关掉或杀死一个进程(在你有足够的权限下)?
CloseHandle或其它? 能否在这动下? 截获API以及核心函数? |
|
|