بستن پروسس انتي ويروس ها

[amir-taji]

با سلام
در صورت امكان راهنمايي كامل بكنيد چطور ميشه بعضي از پروسس هاي ويندوز علي الخصوص اونهايي كه مربوط به انتي ويروس ها ميشن رو موقتا stop كرد
منظور دقيق من همون پروسس هايي هستن كه به صورت دستي نميشه stop كرد و دكمه stop اونها در servises خاموش هست
به عنوان مثال سورسي ekrn.exe كه مربوط به انتي ويرو س نود32 هست
قابل توضيح هست كه هدف ما ايجاد نرم افزار هاي كاربردي براي انتي ويروس ها هست و قصر ساخت تروجان و ... رو نداريم
منتها اين سرويس ها اجازه تغييرات رو روي فايلها نميدن
مثلا ما براي نود32 يك بكاپر ساختيم كه به سادگي كار ميكنه و بكا رو با يك كليك بر ميگردونه
اما مشكلي كه هست اينه كه بايد سيستم ريستارت بشه تا سرويس نود32 ريستارت بشه و اپديت اعمال بشه
اگر ميتونستيم اين سرويس رو موقتا غير فعال كنيم اين مشكل حل ميشد
مخصوصا براي سرورهاي كارخانجاتن و شركتها كه امكان ريستارت اونها خيلي كم هست
ممنون ميشم اساتيد گرام راهنمايي بكنن و يك نمونه كد براي من بزارن

 

[silvercover]

در مجموع بنده عرض می کنم نشدنی و غیر منطقی هست. ساده ترین دلیلش هم اینه که ابزارهای کافی برای اینکار در مجموعه توان بیلدر وجود نداره و ...

 

[mbsa]

سلام تا جائیکه من اطلاع دارم با خود بیلدر نمیشه پروسه مربوط به آنتی ویروس ها را بست چرا که اگر قرار بود برنامه های ضعیفی مثل mmb بتونند پروسه انتی ویروس را ببندند که عملاً کار آنتی ویروس ها بی فایده می شد . ولی ...
حدود سه ماه پیش تو یکی از انجمن های برنامه نویسی به همین مشکل برخورده بودند و کاربرااین راه حل را پیشنهاد داده بودند:
برنامه هایی هستند که برای همین کار نوشته شده اند . اسم این برنامه ها ادغامی از اسم انتی ویروس بعلاوه پسوند killer هست : مثلا برای نود 32 : nod32killer یا برای مکافی : mcafee killer
دنبال این برنامه ها بگرد البته اگه هنوز کار کنند !!!؟

 

[loo30fer]

اگه توجه کرده باشین این آنتی ویروس ها دسترسی سیستمی رو برای خودشون دارن و من و شما که وارد ویندوز میشیم تنها دسترسی Admin رو داریم پس ویندوز چنین اجازه ای رو به ما نمیده که بتونیم ببندیمشون و همینطور که جناب Silvercover اشاره کردن اینکار نشدنی و غیر منطقی است.

 

[m javad]

اگه توجه کرده باشین این آنتی ویروس ها دسترسی سیستمی رو برای خودشون دارن و من و شما که وارد ویندوز میشیم تنها دسترسی Admin رو داریم پس ویندوز چنین اجازه ای رو به ما نمیده که بتونیم ببندیمشون

ربطی به این قصه نداره
شما برو برنامت رو سیستمی کن، ولی بازم نمیتونی اون پروسس اصلی رو ببندی یا متوقف کنی
من برنامت رو جوری سیستمی میکنم که حتی زمانی که log off هم بکنی برنامت باز بمونه و فعال باشه ، یعنی دقیقا همون طوری که آنتی ویروس هست (زمان logoff باز هستند)
ولی باز هم نمیتونی ببندیشون
اگر تمایل داشته باشید کامل دلیل اینکه چرا نمیتونید اون پروسس اصلی رو متوقف کنید رو میگم

 

[loo30fer]

ربطی به این قصه نداره
شما برو برنامت رو سیستمی کن، ولی بازم نمیتونی اون پروسس اصلی رو ببندی یا متوقف کنی
من برنامت رو جوری سیستمی میکنم که حتی زمانی که log off هم بکنی برنامت باز بمونه و فعال باشه ، یعنی دقیقا همون طوری که آنتی ویروس هست (زمان logoff باز هستند)
ولی باز هم نمیتونی ببندیشون
اگر تمایل داشته باشید کامل دلیل اینکه چرا نمیتونید اون پروسس اصلی رو متوقف کنید رو میگم

اتفاقا یکی از عواملی که جلوگیری از این عمل میشه اینه ولی نمیشه گفت همیشه اینطوره چون روشهای مختلفی وجود داره که میشه باهاش از بسته شده برنامه ما جلوگیری کرد یکی اینکه دو برنامه اجرا باشن مانند ekrn.exe و egui.exe و هردو PID یکدیگر رو چک کنن و در صورتی که هرکدوم از این دو بسته شد اون برنامه رو مجددا اجرا کنه که میشه گفت آنتی ویروس ها از این روش استفاده نمیکنن و روش دیگری اگه برنامه ای توابع API مربوطه به End Process رو Hook کنه میتونه از بسته شدن برنامش جلوگیری کنه و اگرم ما از طریق Kernel Mode اقدام کنیم یا در سطح کرنل اقدام کنیم که دسترسی کامل به سیستم رو داشته باشیم میتونیم این برنامه رو ببندیم.
ضمنا وقتی برای برنامه سرویس نوشته بشه این برنامه از Boot تا Shutdown پشت زمینه داره کار میکنه و مسما هم بعد از log Off برنامه بسته نمیشه.
اگه نظر شما چیز دیگست یا گفته های بنده اشتباهه بگین تا هم من و دیگر دوستانم استفاده کنن.

 

[m javad]

اتفاقا یکی از عواملی که جلوگیری از این عمل میشه اینه ولی نمیشه گفت همیشه اینطوره چون روشهای مختلفی وجود داره که میشه باهاش از بسته شده برنامه ما جلوگیری کرد یکی اینکه دو برنامه اجرا باشن مانند ekrn.exe و egui.exe و هردو PID یکدیگر رو چک کنن و در صورتی که هرکدوم از این دو بسته شد اون برنامه رو مجددا اجرا کنه که میشه گفت آنتی ویروس ها از این روش استفاده نمیکنن و روش دیگری اگه برنامه ای توابع API مربوطه به End Process رو Hook کنه میتونه از بسته شدن برنامش جلوگیری کنه و اگرم ما از طریق Kernel Mode اقدام کنیم یا در سطح کرنل اقدام کنیم که دسترسی کامل به سیستم رو داشته باشیم میتونیم این برنامه رو ببندیم.
اگه نظر شما چیز دیگست یا گفته های بنده اشتباهه بگین تا هم من و دیگر دوستانم استفاده کنن.

اصلا این چیزی که شما میفرمایید نیست
شما فکر میکنید سطح یه ویروس کش اینقدر پایینه که بخواد برای بسته نشدنش از روشی استفاده بکنه مثل این که دوتا exe بزاره
اصلا شما egui.exe رو ببند (بستنش سخت نیست)
ekrn.exe داره به فعالیت اصلی خودش ادامه میده، egui.exe رو هم باز نمیکنه

و روش دیگری اگه برنامه ای توابع API مربوطه به End Process رو Hook کنه میتونه از بسته شدن برنامش جلوگیری کنه

در مورد روش دوم هم بهتره این رو بدونید که ویروس کشها اصلا از API های ویندوز استفاده نمیکنن-پایین توضیح دادم
یعنی از همون دستورات استفاده میکنن ولی با یه تفاوت کوچیک که اصل ماجرا توی همین هست

اگرم ما از طریق Kernel Mode اقدام کنیم یا در سطح کرنل اقدام کنیم که دسترسی کامل به سیستم رو داشته باشیم میتونیم این برنامه رو ببندیم.

شما در هر سطحی هم که اقدام بکنی ، تمام فعالیتهات زیر نظر سیستم مانیتورینگ ویروس کش هست
به اصطلاح خودمون آب هم بخوری خبردار میشه و اگر براش تعریف شده باشه که آب خوردن ممنوع، مطمئن باش اصلا اجازه آب خوردن رو بهت نمیده
هر ویروس کش به محض نصب شدن میاد و یه تغییرات اساسی توی سیستم عامل به وجود میاره
تمام فعالیتهایی که شما توی هر برنامه ای توی سیستم عامل انجام میدی توسط خود سیستم عامل اجرا میشه
برای مثال شما دستور کپی کردن رو از توی برنامت میدی ، حالا برنامه ی شما درخواست شما رو با کد مربوطش برای اجرای API مورد نظر به سیستم عامل میفرسته و سیستم عامل کار کپی کردن رو برای شما انجام میده
تمامیه فعالیتها به همین صورت هست
ویروس کش به محض نصب شدن میاد و فایلهای اصلی و کدهای مربوط به Api ویندوز رو قرنطینه میکنه و فایلهای خودش رو میزاره به جای اونا
حالا از این به بعد وقتی شما دستور کپی میدید ، همون اتفاق قبل تکرار میشه با این تفاوت که این فایلهای جدید از پروسس اصلی ویروس کش هم تابعیت دارن. پس ویروس کش درخواست شما رو میبینه، حالا قدرت متوقف کردن کپی رو داره
اونو متوقف میکنه و اول فایلی که قراره کپی بشه رو بررسی میکنه
اگر مشکلی نبود که هیچ و اگرم مشکلی توی فایل دید از کپی کردن اون جلوگیری میکنه
همین عملیات برای تمام فعالتها وجود داره
حالا شما میخواهید دستور kill کردن پروسس اصلی ویروس کش رو بدید
در حقیقت دارید دستور رو به سیستم عامل میفرستید که ekrn.exe رو ببند (حالا به هر روشی - دیگه فرقی نداره)
ویورس کش اونو بررسی میکنه و قطعا این اجازه رو به سیستم عامل نمیده ، چون فایلهایی که قراره این کارو بکنن و قبلا میکردن دیگه خبری ازشون نیستو فایلهای جدیدی وجود داره که تنها با مجوز ویروس کش عملیات رو انجام میدهند
بعد از uninistall کردن هم دوباره ویروس کش اون فایلها رو سر جای خودش باز میگردونه و همه چیز مثل روز اول میشه
اما اینکه چطور میشه اون فایلها رو جابجا کرد و دستوراتی که برای Api ویندوز ارسال میشه رو کنترل کرد تنها و تنها با خرید کدهای امنیتی از خود مایکروسافت اونهم با داشتن چندین فکتور مهم صورت میگیره
اویش اینکه شما بتونی هزینه زیاد اون رو بپردازی
دومیش اینه که ثابت بمنی که شرکتی داری که قراره ویروس کش بنویسه و مخرب نباشه
سوم اینکه بتونی ضمانت کامل بدی برای فعالتهای آینده برنامت
چهارم اینکه ....

امیدوارم خوب توضیح داده باشم

 

[loo30fer]

اصلا این چیزی که شما میفرمایید نیست
شما فکر میکنید سطح یه ویروس کش اینقدر پایینه که بخواد برای بسته نشدنش از روشی استفاده بکنه مثل این که دوتا exe بزاره
اصلا شما egui.exe رو ببند (بستنش سخت نیست)
ekrn.exe داره به فعالیت اصلی خودش ادامه میده، egui.exe رو هم باز نمیکنه

منم گفتم که آنتی ویروس ها از این روش استفاده نمیکنن.

در مورد روش دوم هم بهتره این رو بدونید که ویروس کشها اصلا از API های ویندوز استفاده نمیکنن-پایین توضیح دادم
یعنی از همون دستورات استفاده میکنن ولی با یه تفاوت کوچیک که اصل ماجرا توی همین هست

خوب منم که اشاره کردم

اگه برنامه ای توابع API مربوطه به End Process رو Hook کنه میتونه از بسته شدن برنامش جلوگیری کنه

که توابع اصلی رو Hook میکنن و در صورت لزوم از اجرای عملیات جلوگیری میکنن که همین قضیه میشه مانیتور کردن سیستم و کلا با تمامی گفته هاتون موافقم و درسته.

 

[amir-taji]

تشكر و سپاس فراوان از دوستان عزيز كه با دقت زياد جواب بسيار خوبي به من دادند
حالا يك سوال ديگه يا شايدم راه حل ديگه
ايا با شبيه سازي موس و كيبورد ميشه از طريق منوهاي انتي ويروس ها اونها رو موقتا غير فعال كرد؟
اصلا اين شبيه سازي رو چطور بايد انجام داد
اين زماني كاربرد زيادتري پيدا ميكنه كه با يك برناه شبيه سازي ميشه راحت به انتي ويروس ها يوزر و پسورد داد تا نيازي نباشه كاربر خودش رو درگير كنه
ممنون ميشم در اين زمينه توضيح بديد؟

 

[m javad]

به نظر من قیدشو بزنید

 

[amir-taji]

خوب من چند سال هست دارم تو اين زمينه كار ميكنم نميشه به اين راحتي ها از چيزي كه كاربرات ميخوان گذشت
اما ميدونم كه بسيار پيچيده و سخت هست
فايلهاي killer رو چندتاشو ديدم اونها ايرادي كه دارن ميزنن هر چي فايل دم دستشون هست رو پاك ميكنن
اكر كيلر خوبي سراغ داريد به من معرفي كنيد

 

[m javad]

من منظورم این نبود که نمیشه
یعنی کلا نمیشه
منظورم اینه که با بیلدر از فکرش بیاد بیرون
با زبونهای دیگه، کلی راه داه
همونطور که یه سری برنامه هادارن میکنن
تازه، سورس کامل یه سری از نسخه های ویروس کش ها هست
میتونید دانلود کنید و ببینید که چه راهکاری براتون بهتر هست
موفق باشید