Hook la fonction TerminateProcess

Signaler
Messages postés
32
Date d'inscription
mercredi 8 novembre 2006
Statut
Membre
Dernière intervention
12 avril 2015
-
Messages postés
32
Date d'inscription
mercredi 8 novembre 2006
Statut
Membre
Dernière intervention
12 avril 2015
-
Bonjour

J'explique mon problème, j'ai découvert plus ou moins par hasard que l'on pouvait killer des processus a l'aide d'une injection et de TerminateProcess() tel que les AV et autre processus sensible alors je voudrai essayer de combler cette faille en faisant un hook de TerminateProcess mais je ne vois pas trop comment m'y prendre.
J'ai déjà utilisé le hook clavier mais pour le hook de fonction je vois pas trop

Merci de votre aide
A voir également:

8 réponses

Messages postés
21042
Date d'inscription
jeudi 23 janvier 2003
Statut
Modérateur
Dernière intervention
21 août 2019
24
"hook messagebox" dans google pour exemples.

TerminateProcess() une faille ?
En ce cas, plus de gestionnaire des taches ni autre code d'urgence.
En résumé, ne pas y toucher.

ciao...
BruNews, MVP VC++
Messages postés
32
Date d'inscription
mercredi 8 novembre 2006
Statut
Membre
Dernière intervention
12 avril 2015

en fait la faille n'est pas dans la fonction TerminateProcess elle meme et je comprend pas pourquoi tu dis
"
En ce cas, plus de gestionnaire des taches ni autre code d'urgence.
En résumé, ne pas y toucher. "

merci je vais regarde
Messages postés
305
Date d'inscription
jeudi 29 avril 2004
Statut
Membre
Dernière intervention
18 janvier 2012

Moi non plus je n'appel pas ça une faille. C'est une fonction du kernel indispensable pour un tas de choses .. après, pour kill un AV avec... je doute un peu . D'autant plus que cette fonction ne fonctionnera qu'avec un compte admin...
Je doute aussi que ce soit hookable sans modifier Kernel32.dll.
Messages postés
32
Date d'inscription
mercredi 8 novembre 2006
Statut
Membre
Dernière intervention
12 avril 2015

En fait la faille se trouve plus du cote OS que de TerminateProcess.
Je vais expliquer très rapidement comment je m'y prends
Donc je sais pas si vous avez déjà essayer mais même en utilisant le privilège SE_DEBUG_NAME il est impossible de killer le processus d'un AV(on peut même pas faire un OpenProcess dessus mais par contre sa donne accès a des processus systeme comme winlogon ou csrss la vous injecté dans un de ces processus une dll qui a pour code un TerminateProcess contre le processus voulu (AV y compris)
et voila oh miracle boom. Moi je trouve qu'il y a une faille du coté OS car on ne devrais pas avoir acces a des processus système aussi sensible qui donne un pouvoir sans limite sur la machine
Et oui il est vrai que l'injection doit être lancer en admin
Et je pense aussi que la fonction TerminateProcess ne doit pas être ou alors très difficilement hookable car les compagnies d'AV l'aurai fait depuis longtemps enfin j'ose l’espérer mais bon je vais quand même essayer
on sait jamais
Et je vous jure que ma technique de kill marche réellement
merci
Messages postés
3819
Date d'inscription
dimanche 12 décembre 2004
Statut
Modérateur
Dernière intervention
28 septembre 2020
113
Et oui il est vrai que l'injection doit être lancer en admin

Dès le moment où tu es admin, tu as tous les pouvoirs. Donc ce n'est pas une faille. Si tu pouvais lancer un kill sans être admin, oui ça en serait une.
Je te rappelle que par sécurité, on ne travail jamais sur une session administrateur. Donc si faille il y a, elle est du côté humain puisqu'un admin ne devrait pas donner à un utilisateur un compte avec des droits admin, ni travailler en permanence avec une session admin.
Cette remarque vaut pour tous les OS.

________________________________________________________________________
Historique de mes créations, et quelques articles:
[ http://0217021.free.fr/portfolio http://0217021.free.fr/portfolio]
Merci d'utiliser Réponse acceptée si un post répond à votre question
Messages postés
21042
Date d'inscription
jeudi 23 janvier 2003
Statut
Modérateur
Dernière intervention
21 août 2019
24
Allait sans dire mais aussi bien en le disant.

ciao...
BruNews, MVP VC++
Messages postés
305
Date d'inscription
jeudi 29 avril 2004
Statut
Membre
Dernière intervention
18 janvier 2012

Donc si faille il y a, elle est du côté humain puisqu'un admin ne devrait pas donner à un utilisateur un compte avec des droits admin, ni travailler en permanence avec une session admin.


+1
Et surtout les services externes
Messages postés
32
Date d'inscription
mercredi 8 novembre 2006
Statut
Membre
Dernière intervention
12 avril 2015

voui enfin bref si vous voulez, mais bon il suffit de le binder dans un installateur de n'importe quel programme et de l'envoyer un utilisateur avec des connaissance moyenne et comme un installateur doit etre lancer en admin....
Enfin bon ma question c'est pas suis je un veritable hacker ou pas, je m'en fous un peu a vrai dire c'est pas la question je j'avais posé lol
a++