На wasmе MS-Rem писал. Далеко не везде работает, роняя систему в BSOD. В исходники не лазил - не соображаю в них :(

как вариант могу посоветовать внедрить код в какой нибудь системный процесс, который (код) будет перезапускать вашу программу.

однако какия писссссча для антивирусных лаборатория...

единственное онрмальное решение (разумеется имхо) это перехват TerminateProcess на уровне драйвера
именно это и делают антивири и прочие притворяющиеся хорошими
и делают это только с целью того, чтоб хитрый вирь не грохнул втихаря монитор касперыча пока тот пребывает в нирване.

все остальное это попытка карточные фокусы выдать за черную магию... 
а вобже если все легально, то юзверь который убил процесс должен пожертвовать часть зп в пользу фирмы и развития ИТ отдела. и гарантировано ни один из них туда не полезет.
а вот если это не легально.... то это выходит за рамки данного форума...



для таких умных есть "завершить дерево прооцессов"


ага, и все антивири будут просто в восторге поймав этот злобный вирус    даже если он не такой   

drkot, я не думаю, что тут вопрос о реакции антивирусов. Тут скорее вопрос  реализации. Просто нужно решение. Поиск по форуму легко эту задачу решает.

Если запускать через смежный процесс, а потом смежный процесс убивать то Parent PID будет невалидный, и "завершить дерево процессов" не поможет.


Когда то проверял на virustotal.com не палился.

Это сообщение отредактировал(а) RinOSpro - 25.8.2010, 15:43

У меня, к примеру есть самописный менеджер процессов - в нем можно сразу несколько процессов завершать, не думаю что я один додумался добавить такую функцию...
Кроме того у меня есть маленькая утилитка которая вообще из текстового файла берет имена процесов для "убивания".


Я тоже так думаю...

Даже простая реализация перехвата на User Mode уровне  от большинства неспециализированных прог поможет  Когда-то делал такое, до сих пор исходники где-то лежат 

Тебе не нужна маленькая самописная прога, достаточно таких которые уже написаны. К примеру плагин в тотал командере.
Но зато диспетчер задач так не может, ведь автор просил простое решение!

запускать две проги в каждой смотреть запущена ли другая если нет то опять ее запускать xD
знаю что бред но может поможет...

Я вижу несколько путей решения. 
1. Вспомнить, что права юзера - штука настраиваемая, можно сделать юзера, которому можно почти все, что и админу. 
2. Заинтересовать юзера в этом процессе. То есть:
2.1 Сделать работу в системе неудобной или невозможной без этого процесса. Один из вариантов реализации - патч важного пользовательского инструмента. Или замена какого-нибудь драйвера или сервиса самодельным, имеющим дополнительную функциональность. В простейшем варианте (от дураков) подойдет банальная подмена доверенного исполняемого файла своим, который будет запускать переименованный старый.
2.2 Сделать убиение процесса платным (как уже предлагалось) или анально чувствительным 
3. Городить систему сторожей, сторожащих друг друга, в том числе - с нестандартной активацией (вроде запуска вместо winword).

Если честно, за пункты 2.1 или 3 - убил бы, буде кто такое на моей машине нагородит. Единственный легальный вариант (который я вижу), при котором эти пункты имеют смысл относительно  2.2 и 3 - комп используется студентами. Но даже в этом случае лучше настроить анальный каратель, т.к. отследить того, кто прибил процесс, в большинстве случаев, труда не составит. 
Предлагаю автору треда озвучить свои цели - что за процесс и почему его надо так сохранять и почему нельзя просто сказать юзеру "это не трожь", вполне вероятно, что они уже имеют готовое решение (либо нелегальны).

Если бы это было возможно, то можно было бы создать вирус, который нельзя будет убить, поэтому любая ОС всегда будет иметь возможность прикончить любого, кто не захочет закрыться по-хорошему. Если сделать невидимое в диспетчере задач, то опять же есть утилиты, которые видят и таких партизан. В общем задача лишена смысла и должна решаться в административном порядке.

Недавно написал реально не убиваемую программу   Даже перезагрузки не происходило пока она висела)

В чем был прикол, прога работала с драйвером и когда она его освобождала происходило следующее: IRP_MJ_CLEANUP, IRP_MJ_CLOSE.
Так вот был глюк что на запрос IRP_MJ_CLOSE драйвер ни чего не отвечал и прога наглухо висла. Завершить ее не могла ни одна из известных мне утилит)) Одно плохо... она тоже висит