Завершение процесса от имени SYSTEM — отказ в доступе [Версия для КПК]

Показать полную графическую версию : Завершение процесса от имени SYSTEM — отказ в доступе

salikoff

07-11-2015, 21:40

Здравствуйте.
PowerShell командлет Stop-Process или taskkill /F, запущенные от имени system с помощью утилиты Руссиновича psexec получают отказ в доступе. Какие могут быть причины?
Сразу скажу, что пытаюсь завершить процесс-вирус. Он сопротивляется, блокирует удаление ключей из реестра и завершение процесса, несмотря на то, что я действую с наивысшими правами.
В linux, например, SIGKILL вызывает немедленное завершение любого процесса, кроме init.
Хочется понять, как система устроена. Почему так происходит? Как вирусописатели добиваются подобного эффекта?
И что посоветуете почитать на тему взаимодействия процессов в ОС Windows?

Костя_Лу@vk

07-11-2015, 22:46

Запускаете ли вы шелл от имени администратора? Пробовали cmd.exe ?

salikoff

08-11-2015, 00:40

Извините, Костя_Лу@vk, но, вы, видимо, невнимательно прочитали вопрос или не поняли его. Если вы ничего не можете сказать по существу, зачем же писать?

NickM

08-11-2015, 00:55

salikoff, о каком вирусе речь? Не исключено, что Ваши стандартные действия блокируются руткитом иди... Пробовали ли закрывать процессы при помощи "терминатора" process hacker или ComodoCleanEssentials?

Казбек

08-11-2015, 02:20

Почему так происходит? Как вирусописатели добиваются подобного эффекта? »
Добиваются путем инсталляции специального драйвера, который перехватывает любые изменения в процессах и службах. Вы же поймите, что вы, как Администратор, есть начальником всех пользовательских процессов. Драйвера же запускаются в режиме ядра, поэтому на этом ваши полномочия "все".

Хочется понять, как система устроена. И что посоветуете почитать на тему взаимодействия процессов в ОС Windows? »
Ну, собственно, лучше, чем сам Марк вам никто не расскажет. Unkillable Processes (http://blogs.technet.com/b/markrussinovich/archive/2005/08/17/unkillable-processes.aspx). Статья старая, 2005 года, но вы не пугайтесь, она в целом до сих пор не утратила актуальности. Если же хотите понять как работает система вообще, то одним сообщением этого не расскажешь. Поэтому рекомендую к прочтению книгу все того же Марка "Устройство Windows". Лучше в английском варианте. Так как перевод на русский, извините уж, выполнен какими то бездарями.

salikoff

08-11-2015, 14:58

Спасибо, Казбек. Вот действительно дельный ответ и полезные ссылки!

Казбек

08-11-2015, 15:08

salikoff,
Еще один хороший материал: просто и наглядно. Understanding User and Kernel Mode (http://blog.codinghorror.com/understanding-user-and-kernel-mode/)