Отказ в завершении процесса.

Наверное многие видели такое, что нельзя завершить какой либо процесс. К примеру Outpost - стандартный такс менеджер и ProcessExplorerNT завершить не могут.
Вот возник вопрос, как это можно реализовать в своей программе?

 

Я никогда не мог прибить напрямую сервис аутпоста.

 

Зероринг тебе в руки.

 

2 Alexsize - нуну. Не катит. НУжно всё легально делать

 

Легально терминировать аутпост нештатными средствами? Вы ничего не путаете??!

 

Ну вообщето у отупоста есть своя служба.

 

Легально
sendmessage(wnd,WM_ENDSESSION,0,0);
но он спросит - хотим остаться без защиты.

Как вариант внедрить свой код , и выполнить там TerminateProcess.

 

Он перехватывает в SDT ZwOpenProcess. Как понять легальный метод? Хочешь через bat файл захватить мир?

 

А можно воспользоваться твоим Unhook API всех модулей

 

В любом случае, нужно опускаться на уровень ниже. На wasm'е есть отличные статейки, в частоности, уважаемого MS-Rem'а

 

2 KEZ - вот именно это и нужно. То, что нужно перехватить эту фукнцию - это и ежу понятно. А вот как бы это сделать без ring0?

 

sorry for Offtop

не пробовали назвать процесс именем сервиса? (winlogon)

у меня вопрос... там что проверяется имя сервиса!???

 

никак, если хочешь защитить процесс нормально, нужно подружиться с ядром.

 

ВОобще вопрос довольно стандартный, стандартный будет и ответ - хук ZwTerminateProcess.
Хукать опен процесс лучше не надо, т.к. если будет открытый хендл до того, как хук установят - можно будет грохнуть.
На васме обсуждений на эту тему было много. Читаем статьи и форум
Закрыто ввиду пустого трепа людьми, не сведущими в теме