Blog. Just Blog

Принудительное завершение процесса

Версия для печати Добавить в Избранное Отправить на E-Mail 20.08.2011 | Категория: Образ мышления: Assembler | Автор: ManHunter
Рано или поздно в программистской практике возникает задача по управлению процессами, в частности их принудительного завершения. Для дочерних процессов, порожденных собственным приложением, обычно хватает вызова TerminateProcess, но в некоторых случаях требуется принудительно завершить чужой процесс. Зная идентификатор процесса сделать это не составит большого труда. Открываем процесс функцией OpenProcess с правами PROCESS_TERMINATE, а затем, в случае успеха, отдаем полученный хэндл функции TerminateProcess. Вроде бы все просто, но не тут-то было. При попытке открыть некоторые процессы, как правило системные, возвращается ошибка ERROR_ACCESS_DENIED. Это связано с тем, что дескрипторы безопасности системных процессов блокируют такой доступ для всех пользователей, включая Администраторов. Чтобы обойти запрет, требуется поднять привилегии нашего процесса, а именно получить привилегию отладчика SE_DEBUG_NAME. Как повышать привилегии процесса в системе я уже писал. Напомню только, что необходимые структуры и константы в FASM отсутствуют и их придется определить самостоятельно.
Code (Assembler) : Убрать нумерацию
  1. ; Константы для работы привилегиями
  2. TOKEN_ADJUST_PRIVILEGES = 20h
  3. TOKEN_QUERY             = 8h
  4. SE_PRIVILEGE_ENABLED    = 2h
  5.  
  6. ; Структуры для работы привилегиями
  7. struct LUID
  8.     lowPart             dd ?
  9.     HighPart            dd ?
  10. ends
  11.  
  12. struct LUID_AND_ATTRIBUTES
  13.     pLuid               LUID
  14.     Attributes          dd ?
  15. ends
  16.  
  17. struct _TOKEN_PRIVILEGES
  18.     PrivilegeCount      dd ?
  19.     Privileges          LUID_AND_ATTRIBUTES
  20. ends
Когда данные подготовлены, можно поднять привилегии нашего процесса. Этот код вам уже должен быть знаком и трудностей не вызовет.
Code (Assembler) : Убрать нумерацию
  1.         invoke  GetCurrentProcess
  2.         invoke  OpenProcessToken,eax,TOKEN_ADJUST_PRIVILEGES+TOKEN_QUERY,TTokenHd
  3.  
  4.         ; Получить привилегии процесса
  5.         invoke  LookupPrivilegeValue,NULL,SE_DEBUG_NAME,udtLUID
  6.  
  7.         ; Повысить привилегии процесса
  8.         mov     [tkp.PrivilegeCount],1
  9.         mov     [tkp.Privileges.Attributes],SE_PRIVILEGE_ENABLED
  10.         mov     eax,[udtLUID.lowPart]
  11.         mov     [tkp.Privileges.pLuid.lowPart],eax
  12.         mov     eax,[udtLUID.HighPart]
  13.         mov     [tkp.Privileges.pLuid.HighPart],eax
  14.         invoke  AdjustTokenPrivileges,[TTokenHd],0,tkp,0,0,0
Все, теперь у нас есть доступ ко всем процессам, включая сервисы и системные приложения. Конечно, есть особые программы типа антивирусов и фаерволов, которые на уровне ядра системы защищаются от манипуляций с их процессами, с ними такой трюк не сработает.

Усложним задачу. Предположим, что нам надо завершать не только произвольный процесс, но также и все процессы, порожденные им и его дочерними процессами. То есть нам надо обработать дерево процессов. Воспользуемся функцией CreateToolhelp32Snapshot для получения списка процессов, а затем переберем их по очереди и завершим все процессы, идентификатор родительского процесса которых равняется идентификатору убиваемого процесса. Но это только первый уровень, значит придется вызывать функцию завершения рекурсивно, указывая в качестве параметра идентификаторы дочерних процессов. Вот что у меня получилось:
Code (Assembler) : Убрать нумерацию
  1. ;------------------------------------------------------
  2. ; Рекурсивная функция завершения дерева процессов
  3. ; by ManHunter / PCL
  4. ; http://www.manhunter.ru
  5. ;------------------------------------------------------
  6. ; Параметры:
  7. ; pID - идентификатор процесса
  8. ; recursive - завершать дочерние процессы (TRUE/FALSE)
  9. ;------------------------------------------------------
  10. proc    KillProcess pID:DWORD, recursive:DWORD
  11.         ; Сохранить регистры
  12.         pusha
  13.  
  14.         ; Требуется рекурсивный поиск?
  15.         cmp     [recursive],TRUE
  16.         jne     .kill_process
  17.  
  18.         ; Снимок процессов системы
  19.         invoke  CreateToolhelp32Snapshot,TH32CS_SNAPPROCESS,0
  20.         mov     ebx,eax
  21.  
  22.         ; Перебрать в цикле все процессы
  23.         mov     [ProcEntry.dwSize],sizeof.PROCESSENTRY32
  24.         invoke  Process32First,ebx,ProcEntry
  25. .check_process:
  26.         ; Ничего не найдено?
  27.         cmp     eax,FALSE
  28.         je      .stop_scan
  29.  
  30.         ; Это дочерний процесс от убиваемого?
  31.         mov     eax,[ProcEntry.th32ParentProcessID]
  32.         cmp     eax,[pID]
  33.         jne     .next_process
  34.  
  35.         ; Рекурсивно убить дочерний процесс
  36.         stdcall KillProcess,[ProcEntry.th32ProcessID],[recursive]
  37. .next_process:
  38.         ; Следующий процесс
  39.         invoke  Process32Next,ebx,ProcEntry
  40.         jmp     .check_process
  41. .stop_scan:
  42.         ; Закрыть хэндл
  43.         invoke  CloseHandle,ebx
  44. .kill_process:
  45.         ; Самоубийством не занимаемся
  46.         invoke  GetCurrentProcessId
  47.         cmp     eax,[pID]
  48.         je      @f
  49.  
  50.         ; Убить заказанный процесс
  51.         invoke  OpenProcess,PROCESS_TERMINATE,FALSE,[pID]
  52.         or      eax,eax
  53.         jz      @f
  54.         invoke  TerminateProcess,eax,0
  55. @@:
  56.         ; Востановить регистры
  57.         popa
  58.         ret
  59. endp
Функция универсальная, она позволяет завершать как отдельный процесс, так и дерево процессов. Все "неубиваемые" процессы пропускаются, свой собственный процесс также не завершается, независимо от того, на каком уровне иерархии дерева он находится.

В приложении несколько программ, запускающих друг друга для создания дерева процессов, а также программа, принудительно завершающая выбранный процесс вместе с его дочерними процессами.

Пример программы с исходным текстом (FASM)Пример программы с исходным текстом (FASM)

Terminate.Process.Demo.zip (7,472 bytes)


Поделиться ссылкой ВКонтакте
Просмотров: 8231 | Комментариев: 18

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
Андрей (24.03.2014 в 18:05):
Просто на мой взгляд складывается довольно странная ситуация
"Все, теперь у нас есть доступ ко всем процессам, включая сервисы и системные приложения." с последующей возможностью их убиения. А скорректировать время я не могу.
ManHunter (24.03.2014 в 17:57):
А взять и подумать? Программа НЕ МОЖЕТ ПОЛУЧАТЬ ПРАВА АДМИНА по своему желанию. И никто никогда этого не разрешит сделать.
Андрей (24.03.2014 в 17:55):
Уважаемый ManHunter, хочу спросить вашего совета по поводу прав на изменение (коррекцию) времени на системе Windows 7. Пытаясь самостоятельно освоить ассемблер, в качестве цели выбрал задачу по контролю времени работы компьютера моего сына. В качестве усложнения поставленной задачи разрешил ему всячески её "обходить". На сегодняшний день ситуация следующая - моя программа умеет выключать компьютер по таймеру. Он практически сразу догадался сдвигать часы. Я это могу фиксировать запросом времени из интернета, однако для коррекции системных часов у меня не хватает прав. Вернее если своей программе в свойствах файла я задаю права администратора, то коррекция происходит. Программно это сделать не получается. За основу брал Ваш код повышения прав доступа с привилегиями
;SE_SHUTDOWN_NAME db 'SeShutdownPrivilege',0
;SE_SYSTEMTIME_NAME db 'SeSystemtimePrivilege',0
;SE_DEBUG_NAME   db 'SeDebugPrivilege',0
подставляя их поочерёдно. Но ничего путного из этого не получилось. Если у вас найдётся минута свободного времени не сочтите за труд подскажите в каком направлении мне думать. Спасибо.
Андрей (24.03.2014 в 17:22):
Огромное спасибо за Ваш энтузиазм. Без сайтов подобных Вашему вряд ли смог бы продвинуться в изучении ассемблера намного дальше нежели "Привет мир"
Semiono (26.10.2011 в 19:40):
Здравствуйте. А можно ли выгружать зависшие DLL ?
Я видел Unlocker, но от графических утилит практической пользы мало.
Евлампий (26.09.2011 в 19:22):
приветствую
запустил прогу под обычным юзером
процессы админа ей не по зубам - ну это правильно
если бы привелегии(свои) с обычного юзера до админа поднимала вот
было бы круто
удачи
bigcatwar (29.08.2011 в 22:58):
ManHunter и если можно допиши о таких процессах которые не могут быть удалены даже из сафе мода serija cvhost
morgot (23.08.2011 в 00:39):
Спасибо, вещь актуальная.
Nutscracker (22.08.2011 в 19:25):
ManHunter, спасибо!
ManHunter (22.08.2011 в 10:44):
Про антируткиты я лучше что-нибудь отдельное напишу, тут тема совсем не про это.
Vito (22.08.2011 в 10:41):
А что вы можете сказать про XueTr?
ManHunter (22.08.2011 в 08:40):
Nutscracker, вот тут самый свежий: http://rghost.ru/18826521
Nutscracker (22.08.2011 в 01:40):
> RkUnhooker
Что-то я только http://forum.sysinternals.com/...37300509.rar нашел. Под семеркой, увы, не стартует: "Error loading driver, NTSTATUS code: C0000001".
И закрытую тему: http://www.kernelmode.info/for...rt=150#p6016
В теме значится более новая версия, но ссылок не видать.
ManHunter (21.08.2011 в 22:11):
RkUnhooker хорошо справляется с такими задачами. Но там вроде это делается через дров.
Isaev (21.08.2011 в 18:19):
Nutscracker, Unlocker то помогает, потому и понятно, что это возможно
Только программно как того же эффекта достичь, вот в чём вопрос!
Nutscracker (21.08.2011 в 01:08):
Isaev, а Unlocker http://www.emptyloop.com/unlocker/ или копирование в карантин в AVZ http://www.z-oleg.com/secur/avz/ не помогают?
Isaev (20.08.2011 в 16:02):
А как на счёт копирования файла занятого неубиваемым процессом? На васме читал статью про 3 способа, но как-то ничего не прокатило... Нет наработок в этом направлении?
Юзер (20.08.2011 в 04:08):
Спасибо. Добавить бы одну фичу: принудительное завершение всех зависших процессов по нажатию одной кнопки и утиль стала бы на редкость полезной. А если бы такую команду можно было подавать через ком.строку, или/и по нажатию настраиваемых горячих клавиш... дайте мне губозакаталку :)

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (348), COM (39), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (27), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (70), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,320 раз
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
Национальный день донора крови
Всемирный день цирка
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.09 сек. / MySQL: 2 (0.0084 сек.) / Память: 4.5 Mb
Наверх