Как убить любой процесс (системный, другого пользователя) и/или поток без помощи Win Api.
Не смешно! - Когда-то год назад читал, что есть в винде такая возможность, и даже был преведено код одной функции на ассемблере. Жаль тогда у меня не было этой потребности и столь полезная вещь прошла мимо. А теперь надо, а никак не могу найти этот документ в сети..

Похоже, это был эксплоит (а скорее всего - просто утка), а дыру, вероятно, уже заделали. С usermode - никак

Это сообщение отредактировал(а) Dian - 24.3.2006, 09:12

если код был на асме -- чего ты сюда постиш?

Логичный вопрос. Но ведь мне нужно это именно в делфи! К тому же как я помню там были лишь вставки ассемблера, а не все полностью.

Возможно я тебя огорчу, но врятли в Delphi это получится. Возможности встроегоно ассемблера там не велики, а без WinAPI так и вообще нереально.

Просто интересно, а зачем вам убивать процесс не используя винапи? В зависимости от конкретной задачи можно что-нибудь придумать.

Тут есть всё что нужно

А главное, что без использования WinAPI...

Ну вот несколько из многих причин - нужно завалить процесс Антивируса Касперского (kav.exe); нужно убивать невидимые процессы; нужно убивать системные процессы (в том числе и ядро).+Еще и коммерческий проект....


OpenThread там действительно почти без этого.. Но вот киляние процесса - апишное.

Так, давайте разберёмся. Что вы, Sunvas, считаете не WinAPI функциями!?

Понятно... значит коммерческий троян Вот тебе advapihook Ms-Rem'а. Чтобы завалить процесс Каспера, нам необходим его хендл, но дело в том что каспер не даст нам его просто так получить, поэтому используем функцию OpenProcessEx. Эта функция использует тот факт, что системный процесс csrss.exe имеет хендлы всех процессов запущенных после него и просто копирует нам хендл нужного процесса. Однако, чтобы нам провернуть такую операцию нужна привелегия отладчика, поэтому перед вызовом OpenProcessEx используем EnableDebugPrivilege. Далее прикончим каспера "отладочным методом" - DebugKillProcess. Наверно вы замечали, что отлаживаемый процесс завершается по завершению его отладки (т.е. при закрытии соответствующему ему DebugObject'а). Эта фича и лежит в основе данного метода. Насчёт скрытых процессов, обратимся опять же к Ms-Rem'у:

Видимо вызовы интерфейсов ядра можно использовать и для завершения процесса, если кто-нибудь так умеет, я был бы рад примеру.


Ага, неплохо бы. Возможно вам поможет эта картинка. Так вот если вы не хотите использовать Win API, вам бы возможно подошла функция ZwTerminateProcess из ntdll.dll, однако Native API щас мало кого удивишь.
ЗЫ: Ахтунг! Писать вирусы, трояны и прочие руткиты вредно для здоровья!

Те функции, которых нет в модулях - например windows, shellapi и т.д ..

Я не говорил, что пишу вирус! Поэтому твои обвинения безпочвенны!

А я думал в модуле windows нет ничего кроме АПИ

Nickel, вся проблема в том, что

а мне нужно что работало в первую очередь здесь. Да и функции, преведенные в архиве, который ты мне дал используют Апи. Это не желательно, ведь мне нужно без Апи завалить любой процесс (для примера я взял Каспера - он самый стойкий), если я знаю его хэндл. Вообщем немного не то.. Или я не с того начал..
Что еще ты можешь хорошего предложить?



Это сообщение отредактировал(а) Sunvas - 28.3.2006, 00:43

GetModuleHandleEx (как и многих других) нет в модуле Windows.pas. Что скажешь?

Это не обвинение, а предупреждение. Я не понимаю зачем убивать каспера, если
эта программа не является вредоносной и тем более системные процессы.
Sunvas, сформулируйте пожалуйста точнее проблему: почему вам не подходят винапи и что выхотите использовать вместо? Может быть Native API? Если вы хотите имея хендл завалить процесс не используя винапи, тогда:

А вот тут я немножко соврал:

После открытия при помощи OpenProcessEx, каспера можно прикончить даже простым TerminateProcess, а при использовании DebugKillProcess и привелегия отладчика будет разрешена, и процесс откроется при помощи OpenProcessEx внутри внутри функции.

Хорошо, уточню немного:

• это те функции у которых есть исходник на делфи/ассемблере (т.е. тот, который компилируется в Делфи);
• те функции, которые универсально подходят к любой винде (от 95 до ХР);
• те функции, которые не нужно извлекать из системных библиотек (типа ntdll.dll, advapi32.dll, kernel32.dll и др);
• не используют "Win32 API Interface Units";
• те, названия которых можно менять.

Вот вроде-бы и все требования... Но возоможно че-то не учел..
Ну так-то уж понятно??

Без этого не одна программа не обходиться

Интересно, какие же системные библиотеки будет загружать функция примерно такого содержания:

Процесс - это обьект ядра, поэтому я не представляю как завершить его без каких либо вызовов API.

Ну вопервых тип стринг использует динамическое выделение памяти, а значит прога уже должна использовать соответствующие функции из ntdll.dll или kernel32.dll
А во вторых функция сама по себе не выполняется, только в пределах процесса. А чтобы он хотябы начал выполняться, используется неэкспортируемая функция BaseProcessStart (или что-тог такое) из одной из системных библиотек. И выполняется она уже в контексте вновь созданного процесса.

А что касается твоей темы, то код который тебе дал Nickel оперирует с системой в обход апи, потому и так сильно зависит от версии. В двух разных версиях винды одна и таже апи (если она есть в обеих версиях) может иметь разную реализацию но использоваться одинаково (поэтому и говорят, что апи это интерфейс).
Следовательно такие фокусы - это еще более жесткое ограничение по версии системы, чем вызовы апи.

Это сообщение отредактировал(а) bems - 1.4.2006, 15:12

Ну это делает сам процесс/поток, а не процедура или функция. Ведь вспомним старый добрый дос, где эта функция (скомипилированная паскалем) тоже будет работать без всяких ntdll.dll или kernel32.dll.



Мне тоже это кажется невозможным. Если бы не одно но - та статья с примером, которую я видел, позволяла делать такое безобразие.




Но там все же есть вставки Апи. А мне нужно чтобы их вообще не было.



Но может быть у кого-то найдется примерчик именно для 2000?

Объясни пожалуйса откуда такие ограничения.
От этого и будем плясать

taskkill.exe

Принудительное завершение процесса - Kill Process

Завершает одно или несколько заданий или процессов. Процессы могут быть уничтожены кодом процесса или именем образа.

Синтаксис

taskkill [/s компьютер] [/u домен\пользователь [/p пароль]]] [/fi имя_фильтра] [/pid код_процесса]|[/im имя_образа] [/f][/t]

Описание параметров есть в справке Windows

Это сообщение отредактировал(а) Spectral - 2.4.2006, 18:16

• Программа будет чаще всего использоваться на вин 2000 и лишь изредка (а то и вообще не будет) на ХР.
• Некоторые Апи функции на компах, где будет стоять программа, попросту отключены, так что нельзя допустить, чтобы программка лючила.
• Не должно идти никакого обращения к системным библиотекам во время работы программы, ибо эти обращения можно как-то выпалить и запретить доступ.

Это что за? В какой винде? Или эту утилу еще и качать надо?

TerminateProcess есть везде

Это как?
Выпалить все можно. Если просто боишся каких-то заранее написаных перехватов АПИ, то используй NativeAPI, шансі получше, хотя тоже никакой гарантии. А если кто-то будет че-то перехватівать специально для борьбі конкретно с твоей программой, то шансов у тебя нет вообще.
Оболочка для винапи

Путем перекомпиляции библиотек. Вообщем хакерство.



Ну не только для борьбы именно с моей программой. Вот я и хочу, чтобы шанс появился - отказаться от Апи.



Эт в какой винде? Что-то я у себя в поиске найти не могу.