|
 |
|
Inject Protector |
Client Server Runtime Process Inject Protector
Защита от внедрения методом создания удаленных потоков |
|
Client Server Runtime Process Inject Protector
Защита от внедрения методом создания удаленных потоков
Последнее время очень многие вредоносные программы режима пользователя,
стараясь получить контроль над всеми процессами в системе,
динамически внедряют свой код в сервер подсистемы Windows
(csrss.exe Client Server Runtime Process), запуская его затем
удаленно при помощи функции NtCreateThread. Этот код получает
при этом практически ничем не ограниченные привилегии этого процесса.
Данный проект позволяет на 100% защитить сервер подсистемы от
запуска чужеродного кода из другого процесса, работающего
по описанной выше технологии.Это фактически сразу позволяет
защитить всю Вашу систему от подобного вредоносного ПО.
В нормальной системе удаленных потоков в сервере не создается,
напротив он сам ах активно использует.
Установка/снятие данной защиты осуществляется с правами Администратора.
Защита начинает работать только после перезагрузки.
Это тестовая версия.
Совместимость: Windows XP (все SP)
Windows Server2003, проверялась на PIV с HT и NX.
Никаких потерь производительности и расходов памяти в систему не вносится.
В Ваши и вновь создаваемые процессы никакой код не внедряется,
никаких драйверов не устанавливается, системные файлы не изменяются.
Разработано в 2008г по своей оригинальной технологии, до сих пор
не встречавшейся в сети. Решил опубликовать т.к. была возможность
протестировать на вышеуказанных "чистых" лицензионных ОС.
К сожалению "по-бедности своей" на ОС Vista и Windows7b,
протестировать данное ПО так и не удалось.
При разработке применены минимальные stealth- технологии, но так что
работа незаметна как для пользователя так и для самого вредоносного ПО
(Попытка инжекта удаленным потоком в csrss, просто "тихо обламывается").
Представленное программное обеспечение не предусматривает никаких
гарантий. Автор не несет ни прямой ни косвенной ответственности за
правильное или не правильное использование данного ПО. Если хотите-
используйте данное ПО на свой страх и риск.
Совместно с антивирусами не проверялась, т.к. я их не использую.
Проверить невозможность инжекта, например можно скачав мой плагин к
Sysintermnals Process Explorer по ссылке:
http://depositfiles.com/folders/UPAN4PGMA
E-mail: sysenter@mail.ru
Комплект: файл xinstall.exe (инсталлятор он же деинсталлятор).
Размер: ~18,5 кб.
MD5:DC295D99FC73DEB389C5F0F012F239FA |
|
Скачать Inject Protector |
SYSENTER |
|
|