[C++] Bluescreen bei dieser Funktion !

[cooler7878]

Also Leute ich habe ein wenig MSDN durchstöbert und kam während dessen auf die Idee ein Programm zu schreiben , dass nicht gekillt werden kann
also schrieb ich diese Funktion :

Code:

#include <windows.h>
#include <iostream>
using namespace std;


typedef VOID ( _stdcall *RtlSetProcessIsCritical ) (
		IN BOOLEAN        NewValue,
	    OUT PBOOLEAN	  OldValue, // (optional)
        IN BOOLEAN      IsWinlogon );



BOOL EnablePriv(LPSTR Privs)
{
	//Modifying our privs'
	HANDLE hToken;
	LUID luid;
	TOKEN_PRIVILEGES tkprivs;

	ZeroMemory(&tkprivs,sizeof(tkprivs));

	//Could not open token to modify Privilegs
	if(!OpenProcessToken(GetCurrentProcess(),(TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY),&hToken))
			return FALSE;
	//Could not lookup Values
	if(!LookupPrivilegeValue(NULL,Privs,&luid))
			return FALSE;

	//Configuring the Privs'
	tkprivs.PrivilegeCount=1;
	tkprivs.Privileges[0].Luid=luid;
	tkprivs.Privileges[0].Attributes =SE_PRIVILEGE_ENABLED;



	BOOL bRet=AdjustTokenPrivileges(hToken,FALSE,&tkprivs,sizeof(tkprivs),NULL,NULL);
	CloseHandle(hToken);
	return bRet;
}


//by F1l73R
bool ProtectProcess(){

    HANDLE hDLL;

	RtlSetProcessIsCritical fSetCritical;
	hDLL=LoadLibraryA("ntdll.dll");
	//Could not load DLL
	if(hDLL==NULL)
		return false;
	//SUCCESSFULLY loadet DLL
	else{

		if(EnablePriv(SE_DEBUG_NAME)==TRUE)
		{
		(fSetCritical)=(RtlSetProcessIsCritical)
			GetProcAddress((HINSTANCE)hDLL,"RtlSetProcessIsCritical");
			if(!fSetCritical)
				return false;

			fSetCritical(1,0,0);

        return true;
        }
        else
            return FALSE;
	}
}

int main()
{
if(ProtectProcess()==FALSE)
    cerr<<"Something went wrong!\n";
else
    cout<<"Everything worked!\n";


   for(;;){

   }

return 0;
}

Wenn ich jetzt aber zu meinem Task Manager gehe und diesen Prozess beenden will bekomme ich einen Bluescreen(habe mir leider die Fehlermeldung nicht gemerkt).
Warum ?

[MrSm!th]

ist doch klar, weil der prozess kritisch ist und windows nicht damit klar kommt, wenn du so etwas beenden willst.

ist btw. auch eine total bescheuerte idee, wenn man einen prozess schützen will, hookt man einfach OpenProcess und blockt den zugriff.

[cooler7878]

schön und gut aber wenn ich andere kritische Prozesse beende kommt , dass man diese nicht beenden kann und kein BSOD aber okay dann versuchs ich mit einem hook von OpenProcess .

[MrSm!th]

entweder in jedem prozess oder im kernelmode, versteht sich ;O
im eigenen prozess bringt das nicht viel.

naja, das ist bei systemprozessen der fall, ich weiß nicht, ob das bei jedem kritischen prozess so gehandhabt wird. vielleicht läuft auch beim setzen des flags irgendwas falsch, sodass bei der überprüfung dann ein bsod wegen irgendwelchen fehlern mit den flags entsteht.
jedenfalls könnte jeder andere prozess deinem diesen status auch wieder wegnehmen oder sich selbst systemrechte geben und ihn beenden, also bringt es wirklich nur durch einen kernelweiten hook wirklich etwas (und selbst den kann man umgehen )

[cooler7878]

Okay ich danke dir werde mich mal genauer mit Hooks befassen !
Edit: Könntest du mir irgendwelche Seiten empfehlen ?

[MrSm!th]

meinst du kernelmode hooks?

[cooler7878]

Ja das wäre echt nett

[MrSm!th]

sind eben verschiedene techniken.

und auch im kernel gehen natürlich normale detours:

[cooler7878]

Gut ich versuchs mit den Detours sollte ich Version 1.5 oder 2.1 benutzen. Ich frage , da ich bei Version 2.1 Probleme mit dem Build der Library habe ..

[MrSm!th]

geht beides, aber eigentlich sollte es bei 2.1 keine probleme geben.

[cooler7878]

Gut hab's hinbekommen (es gab komplikationen mit der VC++ 2010 Command Prompt und nmake) und danke für dein Tutorial zu den Detours sehr informativ ;-)

[MoepMeep]

Quote:

Originally Posted by cooler7878

Gut ich versuchs mit den Detours sollte ich Version 1.5 oder 2.1 benutzen. Ich frage , da ich bei Version 2.1 Probleme mit dem Build der Library habe ..

Eindeutig 1.5, bei 2.1 kriegt man doch das kotzen ;>