Programmstart verhindern
 

Hallo,

ich habe für unsere Schule einen Service entwickelt und möchte gerne, dass er bestimmte Programme am starten verhindert.
Und zwar wird leider ziemlich viel CS2D gespielt, und naja ich dachte mir, ich "bekomme" mit, wenn ein Programm gestartet wird und lese den Dateipfad aus, erstelle einen MD5 (o.ä.) Hash und überprüfe, ob dieser Hash in einer "Blacklist" Datenbank vorkommt und wenn dies nicht der Fall ist, lasse ich das Programm starten. Ansonsten könnte ich eine Meldung ausgeben oder ähnliches.
Mir geht es aber erstmal nur darum jeden Start einer *.exe mitzubekommen und dann den Dateinamen auszulesen. Hash erstellen und Datenbankkrams werde ich wahrscheinlich selber hinkriegen :D

MfG
xZise

Re: Programmstart verhindern
 

Start verhindern weis ich jetzt nicht, geht sicher auch (machen ja Firewalls).

Nach Start gleich wieder abwürgen würde sich aber via Liste mit CreateToolhelp32Snapshot anbieten.

Re: Programmstart verhindern
 

Ich hab mit sowas keine parktische Erfahrung, aber theoretisch würde ich es so machen: Thread in Kernel32.dll injizieren, Adresse von CreateProcess (und ggf. einiger anderer Prozeduren) herausfinden, dort einen Sprungbefehl auf eine eigene Prozedur einfügen, in der geprüft wird, ob die Datei zugelassen ist und falls ja, wieder zur Originalprozedur zurückgesprungen wird.

Ich würde aber mal vermuten, dass Virenscanner bei sowas Alarm schlagen. Außerdem ist die Frage, wie sinnvoll das wirklich ist... Mit dem Hexeditor irgendwo hinten an der Exe ein Byte angehängt, und schon ist die Sperre ausgehebelt...

Re: Programmstart verhindern
 

Dito :P

Das tun sie jetzt schon, und naja auch nicht zu unrecht :P Aber das Verhalten ist numal gewünscht ^^

Aber andere Alternativen? Ich meine den Dateinamen zu überprüfen ist noch unsicherer. Und dann muss auch derjenige erstmal wissen wo er die Exe ändern darf. Und ansonsten könnte man ja nur bestimmte Bereiche hashen...

MfG
xZise

Re: Programmstart verhindern
 

Prüfe doch einfach turnusmäßig alle laufenden Prozesse, dafür sollte es doch Quellen zuhauf geben.

Ist der Prozess nicht zugelassen, dann kannst du den ja wieder rauswerfen :mrgreen:

Jetzt würde ich dabei die Prozesse aber immer nach einer zufälligen Zeitdauer prüfen.
Damit die Schüler keinen Zusammenhang zwischen einer installierten Sperre mitbekommen.
Die sollen ruhig denken, dass die Rechner für CS2D einfach nix taugen :zwinker:
Meinetwegen auch defekte Hardware, etc.

Es gibt nix frustrierenderes, als nach 2-3 Minuten wieder aus dem Spiel zu fliegen.

Und die Gesichter sind allemal besser :shock:

Gleichzeitig noch eine Message auf den Lehrer-PC ...

Möglich wäre es ja auch, alle Prozesse, die nicht in einer Whitelist stehen auf dem Lehrer-PC
anzuzeigen und durch Auswahl von dort auf dem Schüler-Rechner zu killen.

Blacklist - Die Programme werden beim Überprüfen geschlossen/entfernt
Whitelist - Alles ist gut
Alles andere kann von einem zentralen Rechner beendet werden, in die White- oder Blacklist aufgenommen werden.

cu

Oliver

Re: Programmstart verhindern
 

Moin,

so geht das natürlich auch, aber:
1. Geht es auf der Hardware und das wissen sie ja (sie spielen es ja gerade)
2. Gibt es keinen "Lehrer PC" ;) Zumindest nicht in dem Raum um den es geht. Dort ist sozusagen freiwillige Beschäftigung (*räsuper*)
3. Dachte ich mir, zum Beispiel Kaspersky überprüft ja jede *.exe beim Start, dann könnte ich das ja auch "sauber" erledigen und nicht andere Prozesse kille :P

Und auch dort fehlt es mir an einer zuverlässigen Erkennung von unerwünschten Prozessen :P Also bisher fällt mir nur MD5 Hash und Dateinamen check ein.

MfG
xZise

Re: Programmstart verhindern
 

Aber es ist doch ein Windows-System, da kann man unerklärliche Phänomene damit erklären "Kommt halt von Billy-Boy" :mrgreen:
Aber man könnte doch zentral eine White-/Grey-/Blacklist halten und diese entsprechend füllen lassen. Und zentral kann man dann von der Greylist in die White-/Blacklist eintragen lassen. MD5-Hash wäre das richtige Kriterium zum Merken und dazu den PC-Namen und Dateipfad.
Ist aber wahrscheinlich schwieriger von der Umsetzung. Meine Variante ist da relativ einfach umzusetzen (getarnt als automatisches Software-Update).
BTW: Du solltest dein Programm auf jeden Fall immer einen "Heartbeat" senden lassen, sonst hat über kurz oder lang ein Schüler diesen Prozess gekillt.
Am Besten 2 Prozesse, die sich gegenseitig überwachen.

Darum ja auch White-/Grey-/Blacklist

cu

Oliver

Re: Programmstart verhindern
 

Gibt es nicht noch das Projekt mit denen die ein Programm entwerfen was auf der Festplatte nach "Killerspielen" sucht? Die könnte man mal fragen wie die die Spiele erkennen, hab leider keine Adresse grad :(

Re: Programmstart verhindern
 

Warum so umständlich? Für solche Fälle nimmt man einen Dienst.

Re: Programmstart verhindern
 

Namen von Fenstern/Labels/.... oder im Programm geladenen DLLs

oder wie bei den AntiVirenProgies > Mustererkennung, also etwas was möglichst und in den Programmen (z.B. deren RAM vorkommt) und das würde dann eventuell auch nach einem Programmupdate immernoch funktionieren