hook la fonction TerminateProcess

Question

Bonjour

J'explique mon problème, j'ai découvert plus ou moins par hasard que l'on pouvait killer des processus a l'aide d'une injection et de TerminateProcess() tel que les AV et autre processus sensible  alors je voudrai essayer de combler cette faille en faisant un hook de TerminateProcess mais je ne vois pas trop comment m'y prendre.
J'ai déjà utilisé le hook clavier mais pour le hook de fonction je vois pas trop

Merci de votre aide

BruNews · Answer

"hook messagebox" dans google pour exemples.

TerminateProcess() une faille ?
En ce cas, plus de gestionnaire des taches ni autre code d'urgence.
En résumé, ne pas y toucher.

ciao...
BruNews, MVP VC++

wisar · Answer

en fait la faille n'est pas dans la fonction TerminateProcess elle meme et je comprend pas pourquoi tu dis
"
En ce cas, plus de gestionnaire des taches ni autre code d'urgence.
En résumé, ne pas y toucher. "

merci je vais regarde

cs_LA_Tupac · Answer

Moi non plus je n'appel pas ça une faille. C'est une fonction du kernel indispensable pour un tas de choses .. après, pour kill un AV avec... je doute un peu . D'autant plus que cette fonction ne fonctionnera qu'avec un compte admin...
Je doute aussi que ce soit hookable sans modifier Kernel32.dll.

wisar · Answer

En fait la faille se trouve plus du cote OS que de TerminateProcess.
Je vais expliquer très rapidement comment je m'y prends
Donc je sais pas si vous avez déjà essayer mais même en utilisant le privilège SE_DEBUG_NAME il est impossible de killer le processus d'un AV(on peut même pas faire un OpenProcess dessus mais par contre sa donne accès a des processus systeme comme winlogon ou csrss la vous injecté dans un de ces processus une dll qui a pour code  un TerminateProcess contre le processus voulu (AV y compris)
et voila oh miracle boom. Moi je trouve qu'il y a une faille du coté OS car on ne devrais pas avoir acces a des processus système aussi sensible qui donne un pouvoir sans limite sur la machine
Et oui il est vrai que l'injection doit être lancer en admin
Et je pense aussi que la fonction TerminateProcess ne doit pas être ou alors très difficilement hookable car les compagnies d'AV l'aurai fait depuis longtemps enfin j'ose l&#8217;espérer mais bon je vais quand même essayer
on sait jamais
Et je vous jure que ma technique de kill marche réellement
merci

cptpingu · Answer

Et oui il est vrai que l'injection doit être lancer en admin 
Dès le moment où tu es admin, tu as tous les pouvoirs. Donc ce n'est pas une faille. Si tu pouvais lancer un kill sans être admin, oui ça en serait une.
Je te rappelle que par sécurité, on ne travail jamais sur une session administrateur. Donc si faille il y a, elle est du côté humain puisqu'un admin ne devrait pas donner à un utilisateur un compte avec des droits admin, ni travailler en permanence avec une session admin.
Cette remarque vaut pour tous les OS.

________________________________________________________________________
Historique de mes créations, et quelques articles:
[ http://0217021.free.fr/portfolio http://0217021.free.fr/portfolio]
Merci d'utiliser Réponse acceptée si un post répond à votre question

BruNews · Answer

Allait sans dire mais aussi bien en le disant.

ciao...
BruNews, MVP VC++

cs_LA_Tupac · Answer

Donc si faille il y a, elle est du côté humain puisqu'un admin ne devrait pas donner à un utilisateur un compte avec des droits admin, ni travailler en permanence avec une session admin. 

+1 
Et surtout les services externes

wisar · Answer

voui enfin bref si vous voulez, mais bon il suffit de le binder dans un installateur de n'importe quel programme et de l'envoyer un utilisateur avec des connaissance moyenne et comme un installateur doit etre lancer en admin....
Enfin bon ma question c'est pas suis je un veritable hacker ou pas, je m'en fous un peu a vrai dire c'est pas la question je j'avais posé lol
a++

Hook la fonction TerminateProcess

8 réponses

Votre réponse

Discussions similaires