AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Programmstart verhindern

Ein Thema von xZise · begonnen am 7. Sep 2009 · letzter Beitrag vom 14. Sep 2009
Antwort Antwort
Seite 1 von 3  1 23      
Benutzerbild von xZise
xZise

Registriert seit: 3. Mär 2006
Ort: Waldbronn
4.303 Beiträge
 
Delphi 2009 Professional
 
#1

Programmstart verhindern

  Alt 7. Sep 2009, 00:08
Hallo,

ich habe für unsere Schule einen Service entwickelt und möchte gerne, dass er bestimmte Programme am starten verhindert.
Und zwar wird leider ziemlich viel CS2D gespielt, und naja ich dachte mir, ich "bekomme" mit, wenn ein Programm gestartet wird und lese den Dateipfad aus, erstelle einen MD5 (o.ä.) Hash und überprüfe, ob dieser Hash in einer "Blacklist" Datenbank vorkommt und wenn dies nicht der Fall ist, lasse ich das Programm starten. Ansonsten könnte ich eine Meldung ausgeben oder ähnliches.
Mir geht es aber erstmal nur darum jeden Start einer *.exe mitzubekommen und dann den Dateinamen auszulesen. Hash erstellen und Datenbankkrams werde ich wahrscheinlich selber hinkriegen

MfG
xZise
Fabian
Eigentlich hat MS Windows ab Vista den Hang zur Selbstzerstörung abgewöhnt – mkinzler
  Mit Zitat antworten Zitat
Satty67

Registriert seit: 24. Feb 2007
Ort: Baden
1.566 Beiträge
 
Delphi 2007 Professional
 
#2

Re: Programmstart verhindern

  Alt 7. Sep 2009, 00:15
Start verhindern weis ich jetzt nicht, geht sicher auch (machen ja Firewalls).

Nach Start gleich wieder abwürgen würde sich aber via Liste mit CreateToolhelp32Snapshot anbieten.
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#3

Re: Programmstart verhindern

  Alt 7. Sep 2009, 00:23
Ich hab mit sowas keine parktische Erfahrung, aber theoretisch würde ich es so machen: Thread in Kernel32.dll injizieren, Adresse von CreateProcess (und ggf. einiger anderer Prozeduren) herausfinden, dort einen Sprungbefehl auf eine eigene Prozedur einfügen, in der geprüft wird, ob die Datei zugelassen ist und falls ja, wieder zur Originalprozedur zurückgesprungen wird.

Ich würde aber mal vermuten, dass Virenscanner bei sowas Alarm schlagen. Außerdem ist die Frage, wie sinnvoll das wirklich ist... Mit dem Hexeditor irgendwo hinten an der Exe ein Byte angehängt, und schon ist die Sperre ausgehebelt...
  Mit Zitat antworten Zitat
Benutzerbild von xZise
xZise

Registriert seit: 3. Mär 2006
Ort: Waldbronn
4.303 Beiträge
 
Delphi 2009 Professional
 
#4

Re: Programmstart verhindern

  Alt 7. Sep 2009, 00:30
Zitat von NamenLozer:
Ich hab mit sowas keine parktische Erfahrung,
Dito

Zitat von NamenLozer:
Ich würde aber mal vermuten, dass Virenscanenr bei sowas Alarm schlagen.
Das tun sie jetzt schon, und naja auch nicht zu unrecht Aber das Verhalten ist numal gewünscht ^^

Zitat von NamenLozer:
Außerdem ist die Frage, wie sinnvoll das wirklich ist... Mit dem Hexeditor irgendwo hinten an der Exe ein Byte angehängt, und schon ist die Sperre ausgehebelt...
Aber andere Alternativen? Ich meine den Dateinamen zu überprüfen ist noch unsicherer. Und dann muss auch derjenige erstmal wissen wo er die Exe ändern darf. Und ansonsten könnte man ja nur bestimmte Bereiche hashen...

MfG
xZise
Fabian
Eigentlich hat MS Windows ab Vista den Hang zur Selbstzerstörung abgewöhnt – mkinzler
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#5

Re: Programmstart verhindern

  Alt 7. Sep 2009, 01:51
Prüfe doch einfach turnusmäßig alle laufenden Prozesse, dafür sollte es doch Quellen zuhauf geben.

Ist der Prozess nicht zugelassen, dann kannst du den ja wieder rauswerfen

Jetzt würde ich dabei die Prozesse aber immer nach einer zufälligen Zeitdauer prüfen.
Damit die Schüler keinen Zusammenhang zwischen einer installierten Sperre mitbekommen.
Die sollen ruhig denken, dass die Rechner für CS2D einfach nix taugen
Meinetwegen auch defekte Hardware, etc.

Es gibt nix frustrierenderes, als nach 2-3 Minuten wieder aus dem Spiel zu fliegen.

Und die Gesichter sind allemal besser

Gleichzeitig noch eine Message auf den Lehrer-PC ...

Möglich wäre es ja auch, alle Prozesse, die nicht in einer Whitelist stehen auf dem Lehrer-PC
anzuzeigen und durch Auswahl von dort auf dem Schüler-Rechner zu killen.

Blacklist - Die Programme werden beim Überprüfen geschlossen/entfernt
Whitelist - Alles ist gut
Alles andere kann von einem zentralen Rechner beendet werden, in die White- oder Blacklist aufgenommen werden.

cu

Oliver
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)
  Mit Zitat antworten Zitat
Benutzerbild von xZise
xZise

Registriert seit: 3. Mär 2006
Ort: Waldbronn
4.303 Beiträge
 
Delphi 2009 Professional
 
#6

Re: Programmstart verhindern

  Alt 7. Sep 2009, 07:43
Moin,

so geht das natürlich auch, aber:
1. Geht es auf der Hardware und das wissen sie ja (sie spielen es ja gerade)
2. Gibt es keinen "Lehrer PC" Zumindest nicht in dem Raum um den es geht. Dort ist sozusagen freiwillige Beschäftigung (*räsuper*)
3. Dachte ich mir, zum Beispiel Kaspersky überprüft ja jede *.exe beim Start, dann könnte ich das ja auch "sauber" erledigen und nicht andere Prozesse kille

Und auch dort fehlt es mir an einer zuverlässigen Erkennung von unerwünschten Prozessen Also bisher fällt mir nur MD5 Hash und Dateinamen check ein.

MfG
xZise
Fabian
Eigentlich hat MS Windows ab Vista den Hang zur Selbstzerstörung abgewöhnt – mkinzler
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#7

Re: Programmstart verhindern

  Alt 7. Sep 2009, 09:54
Zitat von xZise:
1. Geht es auf der Hardware und das wissen sie ja (sie spielen es ja gerade)
Aber es ist doch ein Windows-System, da kann man unerklärliche Phänomene damit erklären "Kommt halt von Billy-Boy"
Zitat von xZise:
2. Gibt es keinen "Lehrer PC" Zumindest nicht in dem Raum um den es geht. Dort ist sozusagen freiwillige Beschäftigung (*räsuper*)
Aber man könnte doch zentral eine White-/Grey-/Blacklist halten und diese entsprechend füllen lassen. Und zentral kann man dann von der Greylist in die White-/Blacklist eintragen lassen. MD5-Hash wäre das richtige Kriterium zum Merken und dazu den PC-Namen und Dateipfad.
Zitat von xZise:
3. Dachte ich mir, zum Beispiel Kaspersky überprüft ja jede *.exe beim Start, dann könnte ich das ja auch "sauber" erledigen und nicht andere Prozesse kille
Ist aber wahrscheinlich schwieriger von der Umsetzung. Meine Variante ist da relativ einfach umzusetzen (getarnt als automatisches Software-Update).
BTW: Du solltest dein Programm auf jeden Fall immer einen "Heartbeat" senden lassen, sonst hat über kurz oder lang ein Schüler diesen Prozess gekillt.
Am Besten 2 Prozesse, die sich gegenseitig überwachen.

Zitat von xZise:
Und auch dort fehlt es mir an einer zuverlässigen Erkennung von unerwünschten Prozessen Also bisher fällt mir nur MD5 Hash und Dateinamen check ein.
Darum ja auch White-/Grey-/Blacklist

cu

Oliver
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)
  Mit Zitat antworten Zitat
Angel4585

Registriert seit: 4. Okt 2005
Ort: i.d.N.v. Freiburg im Breisgau
2.199 Beiträge
 
Delphi 2010 Professional
 
#8

Re: Programmstart verhindern

  Alt 7. Sep 2009, 10:01
Gibt es nicht noch das Projekt mit denen die ein Programm entwerfen was auf der Festplatte nach "Killerspielen" sucht? Die könnte man mal fragen wie die die Spiele erkennen, hab leider keine Adresse grad
Martin Weber
Ich bin ein Rüsselmops
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#9

Re: Programmstart verhindern

  Alt 7. Sep 2009, 11:01
Zitat von Sir Rufo:
Du solltest dein Programm auf jeden Fall immer einen "Heartbeat" senden lassen, sonst hat über kurz oder lang ein Schüler diesen Prozess gekillt.
Am Besten 2 Prozesse, die sich gegenseitig überwachen.
Warum so umständlich? Für solche Fälle nimmt man einen Dienst.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#10

Re: Programmstart verhindern

  Alt 7. Sep 2009, 11:36
Zitat von xZise:
Und auch dort fehlt es mir an einer zuverlässigen Erkennung von unerwünschten Prozessen Also bisher fällt mir nur MD5 Hash und Dateinamen check ein.
Namen von Fenstern/Labels/.... oder im Programm geladenen DLLs

oder wie bei den AntiVirenProgies > Mustererkennung, also etwas was möglichst und in den Programmen (z.B. deren RAM vorkommt) und das würde dann eventuell auch nach einem Programmupdate immernoch funktionieren
$2B or not $2B
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 3  1 23      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:14 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz