PHP Forum - Coding Board
Juli 19, 2018, 10:23:29 *
Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername, Passwort und Sitzungslänge
News:
 
   Übersicht   Hilfe Suche Einloggen Registrieren  
Seiten: [1]
  Drucken  
Autor Thema: [SRC] Protect Process  (Gelesen 407 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
Slayer616
Entwickler Team
Spender
Moderator
Hat das Battle gewonnen
Sr. Member
****
Beiträge: 426


Profil anzeigen E-Mail
« am: März 09, 2009, 03:29:20 »

Mit diesem SC kann man seinen Prozess auf Critical setzen wodurch es "unkillbar" wird! Immer wenn es gekillt wird gibts ein BSOD! Zwinkernd
Immer schön Credits geben!


http://rapidshare.com/files/207165281/Protect_Process.rar
Gespeichert




Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
Und er will dich niederhalten mit Geschrei durch Bein und Mark
Mit Verboten und Zensur kann er zwar den Kampf erschweren
Doch niemals wird ein Richterspruch den freien Geist bekehren.

Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
Derer, die der Lüge dienen, denn schon bald werden sie fallen.
Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #1 am: März 09, 2009, 04:00:09 »

Ah cool, die native API dazu habe ich vor zwei Tagen zufällig auch entdeckt. Lustig, dass du das jetzt auch grade hier postest.

Kam bisher nicht zum testen. Kannst du mal eine kompilierte Version hochladen, dann würde ich das mal auf XP und Vista starten.
Gespeichert

Slayer616
Entwickler Team
Spender
Moderator
Hat das Battle gewonnen
Sr. Member
****
Beiträge: 426


Profil anzeigen E-Mail
« Antworten #2 am: März 09, 2009, 04:27:07 »

Geht auf beiden Versionen Lächelnd
Das Problem ist halt dass man Admin-Rechte braucht (Debug-Privilgien)
Gespeichert




Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
Und er will dich niederhalten mit Geschrei durch Bein und Mark
Mit Verboten und Zensur kann er zwar den Kampf erschweren
Doch niemals wird ein Richterspruch den freien Geist bekehren.

Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
Derer, die der Lüge dienen, denn schon bald werden sie fallen.
ShockerZz
Jr. Member
**
Beiträge: 89


491984937
Profil anzeigen E-Mail
« Antworten #3 am: März 10, 2009, 04:15:18 »

Nice, werd ich ganz sicher ausprobieren! Wusste gar nicht, dass das geht...
Gespeichert

[SIGPIC][/SIGPIC]
Serverspy
Full Member
***
Beiträge: 115

435267721
Profil anzeigen E-Mail
« Antworten #4 am: März 10, 2009, 08:31:30 »

Zitat von: Slayer616;13226
Geht auf beiden Versionen Lächelnd
Das Problem ist halt dass man Admin-Rechte braucht (Debug-Privilgien)
 das heist, das Programmchen müsste man unter Vista mit der Startoption "Als Administrator öffnen" starten oder?
Gespeichert

Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #5 am: März 10, 2009, 08:47:18 »

Korrekt, alternativ kannst du das Vista Manifest entsprechend anpassen, so dass der Prozess beim starten immer Adminrechte anfordert. (Ist bei den meisten Setups z.b. so)
Gespeichert

f0Gx
Jr. Member
**
Beiträge: 60



Profil anzeigen WWW E-Mail
« Antworten #6 am: März 10, 2009, 08:56:23 »

Für Debug-Privilegien sind nicht zwingend Administrator-Rechte erforderlich, bei einem lokalen Test (Vista x64 SP1) konnte ich meinem Programm diese Privilegien auch ohne entsprechende Rechte geben.
Gespeichert

» xor byte ptr [edi+78], al
Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #7 am: März 11, 2009, 02:32:17 »

Würde mich interessieren wie? Habs nur unter XP ohne Adminrechte hinbekommen.
Gespeichert

f0Gx
Jr. Member
**
Beiträge: 60



Profil anzeigen WWW E-Mail
« Antworten #8 am: März 11, 2009, 04:06:01 »

Wie man sieht, ist nicht das Debug-Privileg das Problem, sondern viel eher RtlSetProcessIsCritical:

(Vista x64 SP1, wie schon erwähnt).

Habe dem Programm Administratorrechte gegeben, nichtsdestotrotz gibt die API NT_STATUS_UNSUCCESSFUL zurück. Die Frage wäre, ob ein manuelles Editieren des NtGlobalFlag im PEB funktionieren würde - in Anbetracht der Existenz der Scriptkids: hoffentlich nicht.
Gespeichert

» xor byte ptr [edi+78], al
Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #9 am: März 11, 2009, 06:32:18 »

Hab mal mit ZwSetInformationProcess versucht zu setzen, aber auch hier sind Debugrechte notwendig. Dachte erst, ich hätte eine Möglichkeit ohne Adminrechte gefunden, aber hatte nur vergessen mein Limited Konto auf meiner XP VM auch wirklich einzuschränken Zunge
Theoretisch könnte man die Privilegabfrage doch direkt im Speicher patchen oder?
Gespeichert

f0Gx
Jr. Member
**
Beiträge: 60



Profil anzeigen WWW E-Mail
« Antworten #10 am: März 11, 2009, 06:37:30 »

Gespeichert

» xor byte ptr [edi+78], al
Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #11 am: März 11, 2009, 06:59:35 »

Auf den PEB kann man ziemlich sicher nur mit Adminrechten zugreifen. Die ntdll.dll, die mein Prozess läd, müsste allerdings ohne Adminrechte zu modifizieren sein, da ja eh nur die lokale Kopie in meinem Programm betroffen ist.
Gespeichert

f0Gx
Jr. Member
**
Beiträge: 60



Profil anzeigen WWW E-Mail
« Antworten #12 am: März 11, 2009, 07:20:12 »

Gespeichert

» xor byte ptr [edi+78], al
Seiten: [1]
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines | New Look by Nolt Prüfe XHTML 1.0 Prüfe CSS