Имена процессов в windows, как вариант защиты твоей программы
Итак, здесь я расскажу об одной фишке которая может здорово помочь тебе, если
ты хочешь чтобы твою программу было трудно или почти невозможно завершить.
Сначала дави ctr+alt+delete, и перелазь на вкладку процессы, там ищи например такой: lsass.exe
(если ты не знаешь : lsass - Службы IPSEC - управляет политикой IP-безопасности и запускает ISAKMP/Oakley (IKE) и драйвер IP-безопасности),
и дави кнопку "завершить процесс", однако не тут то было, система ругнётся на нереальность выполнения
данной задачи и пошлёт нас куда подальше, примерно вот такой фразой:
Умелые перцы конечно зайдут в консоль и сделают так:
taskkill /im lsass.exe /f
Чем не оставят программе никаких шансов на выживания... почти.
(внимание! юным экстрималам - после проведения данной нехитрой операции, система
обидится и
попробует уйти в ребут, озадачив нас примерно такой табличкой:
Однако наш продвинутый перец и тут не растеряется, и среди прочих команд промелькнёт такая строка :
shutdown -a
Означающая, что надо бы прервать процесс ребута, и система обломится. Однако, не всё так просто, lsass - наиважнейший процесс в системе.
Без него она ловит такие глюки, которых ты и не видел доселе (например у меня перестали
передаваться параметры программам,
а кнопка выключить комп (там где пуск) вообще пропала), вообщем отправить комп в ребут придётся всёравно =)
Но ничего, как говорится - нас ребут, а мы крепчаем! =) , так что если ты готов продолжим. Теперь хорошенько поройся у себя ни винте,
и откопай абсолютно любую прогу, т.е. что угодно имеющее расширение .exe, желательно чтоб оно работало как один модуль (без библиотек и прочего гемороя).
Нашёл? ок, тогда создай себе копию с именем lsass.exe... Слышу млеющие возгласы на заднем ряду =) Уже запустил да? Так вот, что сразу бросается в глаза -
если прога имеет интерфейс хы-пи то он уничтожается, и получается голый прямоугольник, как в 95 винде, ну да не суть. Давим коронную комбинацию клавиш ctrl+alt+del,
и видим знакомое до боли окошко =) Сначала идём на вкладку приложения, и ищем в списке нашу прогу. Кликаем правой кнопкой, и выбираем пунктик "перейти к процессам".
Это делаем для того чтобы отличить наш lsass.exe от настоящего сервиса. Диспетчер автоматически открывает вкладку со списком процессов, где выделена
строка с именем нашего lsass.exe, а ну ка, дави завершить. А? Облом? Система тупо защищает всё что имеет название lsass.exe! Да и не только, поисследовав,
можно найти несколько других процессов, которые так же защищаются таким способом. Тем лучше =) А теперь представь, ты замутил трояна,
который не блещет особенностью конструкции, и прочими премудростями, позволяющими скрываться от диспетчера, или инжектироваться в другой
процесс, ХЕ! Не проблема! Переименовываемся в lsass и продолжаем работать без риска для жизни. Кроме того юзвери редко
бывают такими продвинутыми перцами как наш, поэтому у большинства из них знание о консоли в лучшем случае ограничивается чёрным экраном и непонятным
набором слов и букв. Так что, консоль в очередной раз доказала, что она - must have forever!
Конечно, это никак не устоит, против спецсофта, однако можно использовать в
комбинации, как наиболее простую
защиту.
