Как убить любой процесс (системный, другого пользователя) и/или поток без помощи Win Api.
Не смешно! - Когда-то год назад читал, что есть в винде такая возможность, и даже был преведено код одной функции на ассемблере. Жаль тогда у меня не было этой потребности и столь полезная вещь прошла мимо. А теперь надо, а никак не могу найти этот документ в сети..

Похоже, это был эксплоит (а скорее всего - просто утка), а дыру, вероятно, уже заделали. С usermode - никак

Это сообщение отредактировал(а) Dian - 24.3.2006, 09:12

если код был на асме -- чего ты сюда постиш?

Логичный вопрос. Но ведь мне нужно это именно в делфи! К тому же как я помню там были лишь вставки ассемблера, а не все полностью.

Возможно я тебя огорчу, но врятли в Delphi это получится. Возможности встроегоно ассемблера там не велики, а без WinAPI так и вообще нереально.

Просто интересно, а зачем вам убивать процесс не используя винапи? В зависимости от конкретной задачи можно что-нибудь придумать.

Тут есть всё что нужно

А главное, что без использования WinAPI...

Ну вот несколько из многих причин - нужно завалить процесс Антивируса Касперского (kav.exe); нужно убивать невидимые процессы; нужно убивать системные процессы (в том числе и ядро).+Еще и коммерческий проект....


OpenThread там действительно почти без этого.. Но вот киляние процесса - апишное.

Так, давайте разберёмся. Что вы, Sunvas, считаете не WinAPI функциями!?

Понятно... значит коммерческий троян Вот тебе advapihook Ms-Rem'а. Чтобы завалить процесс Каспера, нам необходим его хендл, но дело в том что каспер не даст нам его просто так получить, поэтому используем функцию OpenProcessEx. Эта функция использует тот факт, что системный процесс csrss.exe имеет хендлы всех процессов запущенных после него и просто копирует нам хендл нужного процесса. Однако, чтобы нам провернуть такую операцию нужна привелегия отладчика, поэтому перед вызовом OpenProcessEx используем EnableDebugPrivilege. Далее прикончим каспера "отладочным методом" - DebugKillProcess. Наверно вы замечали, что отлаживаемый процесс завершается по завершению его отладки (т.е. при закрытии соответствующему ему DebugObject'а). Эта фича и лежит в основе данного метода. Насчёт скрытых процессов, обратимся опять же к Ms-Rem'у:

Видимо вызовы интерфейсов ядра можно использовать и для завершения процесса, если кто-нибудь так умеет, я был бы рад примеру.


Ага, неплохо бы. Возможно вам поможет эта картинка. Так вот если вы не хотите использовать Win API, вам бы возможно подошла функция ZwTerminateProcess из ntdll.dll, однако Native API щас мало кого удивишь.
ЗЫ: Ахтунг! Писать вирусы, трояны и прочие руткиты вредно для здоровья!

Те функции, которых нет в модулях - например windows, shellapi и т.д ..

Я не говорил, что пишу вирус! Поэтому твои обвинения безпочвенны!

А я думал в модуле windows нет ничего кроме АПИ

Nickel, вся проблема в том, что

а мне нужно что работало в первую очередь здесь. Да и функции, преведенные в архиве, который ты мне дал используют Апи. Это не желательно, ведь мне нужно без Апи завалить любой процесс (для примера я взял Каспера - он самый стойкий), если я знаю его хэндл. Вообщем немного не то.. Или я не с того начал..
Что еще ты можешь хорошего предложить?



Это сообщение отредактировал(а) Sunvas - 28.3.2006, 00:43

GetModuleHandleEx (как и многих других) нет в модуле Windows.pas. Что скажешь?