Matar procesos (todos los métodos que conozcais)

nhaalclkiemr · 10 Febrero 2008, 23:46 PM

Pues a ver necesito que me digais todos los métodos que sabais para matar a un proceso, yo se estes:

-La API TerminateProcess

-Con algunos objetos y el método .Terminate:

Código (vb) [Seleccionar]

Set objWMIService = GetObject("winmgmts:\\")
Set colItems = objWMIService.ExecQuery("Select * from Win32_Process", , 48)

-El comando taskkill

-Inyectando en la memoria del proceso...

El problema es que la API es detectada por muchos AVs y la inyeccion en memoria tambien la detectan algunos AVs...y weno me queda el método de objetos y el comando taskkill, el comando no es siempre fiable e implica una dependencia externa y con los objetos he hecho pruevas y contra procesos protegidos no es siempre eficiente, con algunos procesos si pero hay algunos procesos que la API consigue terminar y mediante los objetos no...

Sabeis mas métodos? si alguien sabe más métodos que los ponga...

Saludos

Chefito · 11 Febrero 2008, 00:32 AM

Te vale la api ExitProccess?

CamaleonB · 11 Febrero 2008, 05:11 AM

Esta es una funcion que lo hace, pero creo que usa objetos

Código (vb) [Seleccionar]

[code]Public Sub KillProcess(ByVal processName As String)
On Error GoTo ErrHandler
Dim oWMI
Dim ret
Dim sService
Dim oWMIServices
Dim oWMIService
Dim oServices
Dim oService
Dim servicename
Set oWMI = GetObject("winmgmts:")
Set oServices = oWMI.InstancesOf("win32_process")
For Each oService In oServices

servicename = LCase(Trim(CStr(oService.Name) & ""))

If InStr(1, servicename, LCase(processName), vbTextCompare) >; 0 Then
ret = oService.Terminate
End If

Next

Set oServices = Nothing
Set oWMI = Nothing

ErrHandler:
Err.Clear
End Sub

[/code]

nhaalclkiemr · 11 Febrero 2008, 14:56 PM

Cita de: Chefito en 11 Febrero 2008, 00:32 AM
Te vale la api ExitProccess?

Weno si sería otro metodo tambien...Pero pienso que ExitProcess no es tan eficiente como TerminateProcess

Sonre tu code TbChK el tema no es si es un objeto o no...y weno es el mismo objeto que el mio...

Nadie sabe mas? O alguna manera de llamar a TerminateProcess sin que lo detecten los AVs? A lo mejor si no la llamo en el Load no lo detecta pero creo que oyera que tan solo por tenerla declarada ya es detectado...weno tengo que probar...

Saludos

Tughack · 11 Febrero 2008, 15:31 PM

Cita de: nhaalclkiemr en 11 Febrero 2008, 14:56 PM
Cita de: Chefito en 11 Febrero 2008, 00:32 AM
Te vale la api ExitProccess?

Weno si sería otro metodo tambien...Pero pienso que ExitProcess no es tan eficiente como TerminateProcess

Sonre tu code TbChK el tema no es si es un objeto o no...y weno es el mismo objeto que el mio...

Nadie sabe mas? O alguna manera de llamar a TerminateProcess sin que lo detecten los AVs? A lo mejor si no la llamo en el Load no lo detecta pero creo que oyera que tan solo por tenerla declarada ya es detectado...weno tengo que probar...

Saludos

Aver, el terminateprocess solo por si no es detectable, es una api muy usada, no solo para malware.

Saludos

nhaalclkiemr · 11 Febrero 2008, 18:20 PM

Amm vale pensé que era detectada siempre...

Gracias y saludos

Freeze. · 11 Febrero 2008, 18:52 PM

Puedes intentar escribiendo en un punto determinado de la memoria y asi hacerlo petar.

nhaalclkiemr · 11 Febrero 2008, 20:24 PM

Eso ya lo puse arriba...es igual ya solucioné algunos temillas...mi problema es que tenia que ajustar los privilegios con AdjustTokenPrivileges

Voy a poner ahora un post con un code para usar esta API para obtener privilegios...

EDIT: Post aki: http://foro.elhacker.net/index.php/topic,199668.0.html

Saludos