Приветствую. Недавно изучал системные процессы, техники внедрения и персистентности, и пришла гениальная идея. Создавать критические процессы с целью невозможности закрытия процесса, иначе вылезал BSoD. Поискал нужные WinApi вызовы и составил некую технику. Давайте разберемся с ней.
Введение
Вообще, системные процессы это svchost, csrss, taskhostw и так далее. Они имеют повышенные привелегии оприори и никуда не денутся. Если попробовать их закрыть, то либо вылезет ошибка, либо крашнется система и пойдет на перезапуск.
Данная техника подойдет для софта, который выполняет важные действия в ходе работы, или для малваря, который собирается заинжектится в систему.
Приступим к коду
Для начала, импортируем либу, с которой нужно импортировать парочку функций.
Далее создадим BOOL строку, в которую запишем значение - есть ли права администратора у процесса.
Затем обновим информацию о процессе, вместе со значением 1, которое задействует функции системного процесса. Иными словами, при попытке закрыть процесс вылезет BSoD.
Чтобы отключить "режим системного процесса", надо выполнить ту же функцию NtSetInformationProcess, только уже со значением 0.
В принципе, если туда-сюда вставить код, то получится хороший 30-ти строчный системный процесс с анти-закрытием
Полный код
Итоги
Использовать такую технику очень даже подойдет, особенно для тех, кто хочет слиться среди Windows-процессов. И процесс в диспетчере задач не просто находится в фоновых, а в "Процессах Windows". Что по детектам?
Статью написал: Boris
Введение
Вообще, системные процессы это svchost, csrss, taskhostw и так далее. Они имеют повышенные привелегии оприори и никуда не денутся. Если попробовать их закрыть, то либо вылезет ошибка, либо крашнется система и пойдет на перезапуск.
Данная техника подойдет для софта, который выполняет важные действия в ходе работы, или для малваря, который собирается заинжектится в систему.
Приступим к коду
Для начала, импортируем либу, с которой нужно импортировать парочку функций.
Далее создадим BOOL строку, в которую запишем значение - есть ли права администратора у процесса.
Затем обновим информацию о процессе, вместе со значением 1, которое задействует функции системного процесса. Иными словами, при попытке закрыть процесс вылезет BSoD.
Чтобы отключить "режим системного процесса", надо выполнить ту же функцию NtSetInformationProcess, только уже со значением 0.
В принципе, если туда-сюда вставить код, то получится хороший 30-ти строчный системный процесс с анти-закрытием
Полный код
Итоги
Использовать такую технику очень даже подойдет, особенно для тех, кто хочет слиться среди Windows-процессов. И процесс в диспетчере задач не просто находится в фоновых, а в "Процессах Windows". Что по детектам?
Статью написал: Boris
