Prozess vor dem Abschiessen schützen / Abschuss mitkriegen
 

Hallo Delphianer,

ich suche nach einer Möglichkeit, einen bestimmten Prozess (der mit den Rechten des angemeldeten Users läuft) vor eben diesem User zu schützen. D.h. der User darf den Prozess nicht beenden/abschiessen können.

Alternativ: Gibt es eine Möglichkeit, den Abschuss mitzukriegen?

Danke schonmal :)


PS: Ich habe einen sehr guten Grund, warum der Prozess nicht beendet werden darf :D Das Programm ist ein Wächter Programm auf Windows XP Prof. Rechnern in einer Domäne.

Re: Prozess vor dem Abschiessen schützen / Abschuss mitkrieg
 

Du könntest ein zweites Programm schreiben, das kontunuirlich überprüft ob der andere Prozess noch läuft, falls nicht so startest du in ihn neu.

Gruß

Re: Prozess vor dem Abschiessen schützen / Abschuss mitkrieg
 

Nutze doch mal bitte die Forensuche ... da gab's schon viele Theman dazu.



Und nochmal kurz zusammengefast:
es ist nicht möglich einen Prozess vorm Beenden zu schötzen ... ein User kann alle Programme die in seinem Kontext laufen beenden.

z.B. acl > http://www.delphipraxis.net/internal...ct.php?t=63783

Ein Service, welcher in einem anderem Account läuft wäre wohl das "Sicherste"

Re: Prozess vor dem Abschiessen schützen / Abschuss mitkrieg
 

Wär's nicht vielleicht besser, nach "guter alter Hacker- Art" den Prozeß überhaupt zu verbergen, auch vor dem Task- Manager ? Was der User nicht sieht, wird er auch nicht killen wollen. aus den Augen- aus dem Sinn.

Siehe http://www.delphipraxis.net/internal...ct.php?t=59230

EDI

[edit=alcaeus]Link korrigiert und SID entfernt. Mfg, alcaeus[/edit]

Re: Prozess vor dem Abschiessen schützen / Abschuss mitkrieg
 

Und dann läßtb der Anwender mal einen RootKitERevealer oder ähnliuches drüberlaufen und sieht disen Prozess, dann wird er wohl erst recht misstrauisch werden.

Ein Wächterprogramm, was auch immer das sein soll, hat nicht im Kontxt des Benutzers zu laufen. Punkt. Und wenn wir uns das einmal klar gemacht haben, sehen wir, dass wir nichts verstecken oder vor Beenden schützen müssen.

Re: Prozess vor dem Abschiessen schützen / Abschuss mitkrieg
 

Ok, ok. Andere Strategie: Der Wächter Prozess (ein Programm auf Rechnern in einer Schule, das dafür sorgt, dass der Lehrer z.B. den Bildschirm sperren kann etc.) muss zwar als Prozess des jeweiligen Benutzers laufen, aber ein Service wird überwachen, ob der Prozess noch läuft und gegenfalls das System herunterfahren.

Jetzt brauch ich nur noch eine Möglichkeit, dem Service mitzuteilen, dass der Wächter planmässig beendet wird (z.B. beim Herunterfahren). Dabei darf natürlich kein anderer Prozess dazwischen funken können. Sieh hier...

Re: Prozess vor dem Abschiessen schützen / Abschuss mitkrieg
 

Warum muss das Wächterprogramm im Kontext des Benutzers laufen?

Re: Prozess vor dem Abschiessen schützen / Abschuss mitkrieg
 

Könnte man das nicht als Service mit automatischem Start registrieren? Dann müsste es doch eigentlich immer gestartet werden, wenn es beendet wurde.

Re: Prozess vor dem Abschiessen schützen / Abschuss mitkrieg
 

Au ja. Wie Luckie schon sagte, AVs implementieren immer mehr Rootkit-Detektoren. So auch wir hier bei FRISK.

Bitte schau dir mal meine AgreementGINA und AgreementGINA2 an. Die koennten einen relativ einfach und nicht trivial zu umgehenden Ansatz liefern. Wie auch immer, aktuell ist diese GINA nicht darauf ausgelegt mit anderen GINAs zusammenzuarbeiten (bspw. in einem Novell-Netz).

Zu Waechterprozessen sage ich nur: einschlaefern -> killen. *Gaehn*

Brauchst du bei der GINA nicht, weil ein moegliches Beenden bspw. mit einem Logoff "geahndet" werden koennte.

Gruss aus Reykjavik,