процессы System
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
процессы System - 2011-07-09 20:27:44.283333
|
|
|
Kiber_Niger
Сообщений: 8
Оценки: 0
Присоединился: 2007-11-06 16:33:37.896666
|
Добрый день.
Можете подсказать, как можно закрыть процессы учетной записи System.
Я запуская командную строку под этой учетной записью, после чего пытаюсь закрыть процесс, но пишет, что недостаточно прав. Реально ли закрыть или нет?
|
|
|
|
|
RE: процессы System - 2011-07-09 20:46:59.350000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Простыми способами нет. Можно только путём написания специальной программы.
|
|
|
|
|
RE: процессы System - 2011-07-09 21:36:17.210000
|
|
|
headsucker
Сообщений: 1304
Оценки: 10
Присоединился: 2011-02-09 15:30:26.450000
|
Есть такая софтина - Process Explorer. ( http://technet.microsoft.com/en-us/sysinternals/bb896653 )
Так она может угрохать любой процесс. На WinXP спокойно вырубает даже всякие lsass'ы и svchost'ы.
|
|
|
|
|
RE: процессы System - 2011-07-09 22:53:27.730000
|
|
|
Kiber_Niger
Сообщений: 8
Оценки: 0
Присоединился: 2007-11-06 16:33:37.896666
|
quote:
ORIGINAL: zzsnn
Простыми способами нет. Можно только путём написания специальной программы.
а подробней можешь написать?
а то у меня не вышло никак..
|
|
|
|
|
RE: процессы System - 2011-07-09 22:58:09.640000
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
Ну сказано, хочешь грохать командной строкой, скачай Руссиновича и убивай батником что угодно.
Ничего кодить не надо.
http://technet.microsoft.com/ru-ru/sysinternals/bb896683
|
|
|
|
|
RE: процессы System - 2011-07-09 23:04:02.346666
|
|
|
Kiber_Niger
Сообщений: 8
Оценки: 0
Присоединился: 2007-11-06 16:33:37.896666
|
Если бы мне надо было так сделать, я бы скачал и тут не спрашивал.
|
|
|
|
|
RE: процессы System - 2011-07-10 19:13:26.046666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Русинович не даст грохнуть процесс запущенный от имени System. Верней он даст грохнуть только процессы работающие на его уровни работы. Как бы попроще.
В Линукс описано хорошо, а по Win уже не помню. Но постараюсь упрощённо.
Все процессы, запущенные в работающей системы имеют некоторый уровень исполнения. В Win их кажется (не помню просто) три. Самый крутой - это нулевой уровень. Это уровень ядра. На этом уровне работают драйвера и некоторые процессы, которые обмениваются данными напрямую с ядром. Грохнуть процесс этого уровня - значит ось грохнется. Почти всегда. Ниже идёт первый уровень. Там работают различные сервисы, антивирусы и т.д. Ну, а далее третий уровень всё остальное.
Пользователь (даже админ) не может вмешиваться в работу процессов, работающих на уровне ядра. Но эти процессы должны запускаться от чьего-то имени. Вот потому они и запускаются от имени System.
Остановить процесс может только процесс работающий на одинаковом с ним уровне, или ниже. System - это почти всегда самый высокий уровень. И при попытке остановить процесс, работающий на уровне ядра, Русиновичем не получиться. Русинович - только первый уровень.
Хочешь научиться останавливать процессы уровня System - учи ось. И ассемблер. Так просто не пробьёшь. Это уровень написания руткита. Они потому и выделяются в отдельную группу вирусов, потому что работают на уровне ядра. И потому так опасны. Они даже антивирь давят. Просто отрубают. И их очень мало. Слишком сложно написать. И кроме того, ядро оси даже одного дистрибутива может очень сильно отличаться от ядра на другом компе.
|
|
|
|
|
RE: процессы System - 2011-07-10 19:23:54.510000
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
Берём ХР, берём вышеуказанного Руссиновича, свободно им прибиваем winlogon, lsass.
После пришибания винлогона выпадает БСОД.
Чего ещё надо, просто непонятно.
Накодить такое, чтобы прибивать это всё своим экзешником?
Да, и это реально можно, и что дальше, в чём вопрос?
Какое этому практическое применение?
|
|
|
|
|
RE: процессы System - 2011-07-10 19:29:59.466666
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
quote:
ORIGINAL: Kiber_Niger
Если бы мне надо было так сделать, я бы скачал и тут не спрашивал.
Ты именно это и спрашивал, "как прибить системный процес из командной строки".
Именно это тебе и продемонстрировано:
[b]использование: pskill [- ] [-t] [\\компьютер [-u имя_пользователя] [-p пароль]] <имя_процесса | идентификатор_процесса>[/b]
Бери и прибивай, на здоровье, именно из командной строки.
|
|
|
|
|
RE: процессы System - 2011-07-10 19:55:13.073333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
winlogon, lsass не работают на уровне ядра.
Давайте сначала выясним что за процесс хочет грохнуть Kiber_Niger, каким образом он это делает, и что получает.
Kiber_Niger давай ответ держи за базар.
|
|
|
|
|
RE: процессы System - 2011-07-10 20:08:09.320000
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
quote:
ORIGINAL: zzsnn
Давайте сначала выясним что за процесс хочет грохнуть Kiber_Niger,
А вот это непосильная задача.
Это хрен когда выяснишь.
Я ему показываю, как прибивать из командной строки, а он говорит, что ему это не надо, потому что, он хотел прибивать из командной строки.
Ты куда, на работу? Нет, я на работу. А я думал, ты на работу.
|
|
|
|
|
RE: процессы System - 2011-07-10 22:56:38.793333
|
|
|
Kiber_Niger
Сообщений: 8
Оценки: 0
Присоединился: 2007-11-06 16:33:37.896666
|
Мне необходимо либо стандартными средствами винды, либо писать свое. Грохнуть необходимо например процесс, на котором висит каперский.
|
|
|
|
|
RE: процессы System - 2011-07-10 22:58:38.186666
|
|
|
Kiber_Niger
Сообщений: 8
Оценки: 0
Присоединился: 2007-11-06 16:33:37.896666
|
На сколько я знаю, процессы, которые висят на первом кольце защиты, нельзя закрыть, обладая правами администратора..
|
|
|
|
|
RE: процессы System - 2011-07-11 00:08:17.920000
|
|
|
Kiber_Niger
Сообщений: 8
Оценки: 0
Присоединился: 2007-11-06 16:33:37.896666
|
попробовал утилиту pskill.
Она не завершает процесс avp.exe
|
|
|
|
|
RE: процессы System - 2011-07-11 07:03:17.300000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Ну так бы и сказал. С антивирусами вообще интересно.
С одной стороны они должны запускаться пользователем и от имени пользователя.
Но с другой стороны, в таком случае возможно прибить их средствами пользователя. Они получается находятся на одном уровне выполнения.
Создатели антивирусов пошли своим путём. Они предоставили антивирусным процессам уровень System. Обеспечивается это чаще всего запуском некоторых процессов антивируса еще до запуска процессов пользователя. Панда вообще запускается до запуска любого пользователя, не знаю как у Касперского, но наверное так же. Запустившись таким образом антивирусы устанавливают себе или уровень выше первого (что порой бывает оправданно, хоть какая та защита от руткита), либо защищают себя другими способами от несанкцинированых действий.
Так, что у тебя не получиться остановить таким образом не только каспера, а практически любой хороший антивирь. Обход антивиря делают другим способом.
|
|
|
|
|
|
