मैं ईएसटी एंटीवायरस का उपयोग कर रहा हूं, और हाल ही में इसके जीयूआई फ्रंट एंड egui.exe लटका हुआ है और 50% सीपीयू (यानी 100% कोर) ले रहा था। आश्चर्यजनक रूप से, मैंने पाया कि मैं इसे मार नहीं सकता, यहां तक कि डिबग विशेषाधिकार सक्षम भी है।संरक्षित एंटीवायरस प्रक्रिया को समाप्त करना
अब मैं उत्सुक हूं: वे इस तरह के रक्षा को कैसे लागू करते हैं, और क्या कर्नेल ड्राइवर लिखने से इसे कम करने का कोई तरीका है?
egui.exe प्रक्रिया नियमित उपयोगकर्ता (गैर-व्यवस्थापक) के अंतर्गत चलती है, और मैं इसे व्यवस्थापकीय खाते का उपयोग करके विभिन्न तरीकों से मारने का प्रयास करता हूं। मैंने जो कोशिश की है वह यहां है।
- आप
- आप pskill का उपयोग कर
- आप इस प्रक्रिया एक्सप्लोरर का उपयोग कर इसे मार नहीं कर सकते हैं, न ही उसे
को एक डिबगर संलग्न कर सकते हैं तो मैं शुरू कर दिया यह नहीं मार सकता है कार्य प्रबंधक से यह नहीं मार सकता है कुछ प्रोग्रामिंग और पाया कि:
- विशेषाधिकार रहित उपयोगकर्ता के तहत
आप इसे PROSESS_TERMINA साथ खोल सकते हैं TE का उपयोग, लेकिन TerminateProcess करने के लिए वास्तविक कॉल() त्रुटि 5.
- प्राधिकारी खाता आपको अपनी इच्छानुसार किसी भी उपयोग के अधिकार के साथ खोल सकते हैं के तहत
के साथ विफल (बेशक डिबग विशेषाधिकार सक्षम करने के बाद), लेकिन फिर() TerminateProcess करने के लिए कॉल, GetKernelObjectSecurity(), SetKernelObjectSecurity() सभी त्रुटि के साथ विफल 5.
यह निश्चित रूप से सिर्फ प्रक्रिया DACL की स्थापना, के बाद से यदि बर्खास्त DACL में नहीं थे परे नगण्य किसी तरह की ओर इशारा करता है, तो आप करने के लिए सक्षम नहीं होगा प्रक्रिया को पहले स्थान पर PROCESS_TERMINATE के साथ खोलें। क्या वे वास्तव में Win32 एपीआई कॉल को रोक रहे हैं? यदि हां, तो कैसे? यह थोड़ी देर के बाद से मैंने निम्न स्तर की प्रणाली प्रोग्रामिंग की है, इसलिए मेरी अज्ञानता को क्षमा करें।
आप उसे क्यों जानना चाहेंगे? :) –
एवी आमतौर पर कर्नेल-मोड घटक होते हैं। यदि आप अपने आप को सर्वोच्च विशेषाधिकार देकर इसे मार सकते हैं, तो यह बेहद कमजोर सुरक्षा होगी। –
क्या आप इसे सामान्य रूप से चलाते समय मार सकते हैं, या यह तब हुआ जब यह लटका हुआ कि आप इसे मार नहीं सकते? – nos