SemaphoreW & CreateMutexW | Prevenir la ejecución "TaskMgr.exe" y "MSconfig.exe"

Iniciado por STARZ, 26 Julio 2012, 22:23 PM

0 Miembros y 1 Visitante están viendo este tema.

STARZ

Hola, jugando un poco con el HexWorksop, "taskmgr.exe" y "msconfig.exe" se me ocurrió una forma para prevenir la ejecución de estos dos programitas.

El "Taskmgr.exe" crea un mutex  para prevenir la ejecución múltiple de sí mismo
El "msconfig.exe" crea un Semaphore, que vendría a tener la misma utilidad que el mutex

La idea es la siguiente:
Que nuestra aplicación cree ese mutex/semaphore para que task y msconf se crean que ya están abiertos y no se ejecuten.

Ahí va la pregunta: ¿Alguno de ustedes tiene idea de cómo puedo hacer para averiguar el mutex/semaphore que usan estas dos apps.?

raul338

MM... puedes usar ProcessMonitor para ver que API's y recursos usas, y tal vez como :P

MCKSys Argentina

Process Explorer te da los nombres de los Mutex, Semaphores y demas yerbas...
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Karcrack

 >:D >:D >:D Me adelanté :P (Hace ya 3 años :o :o) Yo para ver las cadenas que utiliza usé el OllyDbg y así vi las llamadas a las APIs...
Citarhttp://foro.elhacker.net/programacion_vb/src_deshabilitar_taskmgr_nuevo_metodo-t266708.0.html
http://foro.elhacker.net/programacion_visual_basic/mvb6snippet_disablemsconfig_desactiva_msconfigexe-t302087.0.html

http://foro.elhacker.net/programacion_vb/src_deshabilitar_regedit_nuevo_metodo-t266716.0.html

Como puedes ver el Taskmgr requiere crear una ventana con el título adecuado para responder a un mensaje especial que envía el proceso... :) Cualquier duda será un placer ayudarte :-*

STARZ

Gracias raul338 y MCKSys Argentinapor responder, me fue de mucha ayuda.
Karcrack: pero que desilución que alguien ya lo había hecho antes, yo quería hacer algo original.
Después de varios dolores de cabeza, con el Olly había logrado sacar el semaphore del MSconfig, ya que con el process explorer no me lo dejaba abrir -> Este me salió   :silbar:

Respecto al taskmgr había logrado sacar el mutant (así se llama en el process explorer  :huh:) de windows XP , vista  y windows 7 (para esto me los tuve que bajar los SO e instalarlos en una virtual), peró no entendía qué otra comprobación hacía, ahora veo en tu code que es lo del nombre  :-[

Para el regedit ni se me había pasado por la cabeza intentar "bloquearlo", pero voy a demenuzar un poquito tu code y ver que pasa.

Conclusión: Hay que usar el buscador...

Karcrack

No te preocupes por si ya estaba hecho o no, lo importante es que en el proceso hayas aprendido cosas nuevas ;D

Lo del Taskmgr a mí me dio unos cuantos dolores de cabeza, porqué no sólo saca el nombre de la ventana, sino que además la busca usando FindWindow() y le envía un MSG personalizado para que ésta obtenga el foco. Si pruebas a abrir otro taskmgr mientras hay uno abierto verás que el que está abierto obtiene foco. El problema está en que el taskmgr que se está intentado iniciar espera que el abierto le responda algo a ese MSG.. por eso hay que crear la ventana y subclasificarla.

Espero haberte ayudado con la explicación :) Sigue investigando, hay cosas muy interesantes escondidas en los ficheros del sistema :laugh: