Discussion :

[Code Rom]

Bonjour,

J'essaye actuellement de re-coder cette application :
http://assiste.com.free.fr/p/logithe...rmination.html

Et j'ai une question portant sur le fait de suspendre tous les threads d'un processus.
Mon programme suspend bien chaque thread du processus (j'ai prit pour test firefox.exe).Sauf que dans le taskmanager le processus firefox reste présent, il ne se termine pas.Est ce que c'est normal ?

Se que fait la fonction :

Suspend #1 - Attempts to suspend each thread in the target process individually using the SuspendThread function in kernel32.dll. Resume capability also available with this method.
Main functions: OpenThread, SuspendThread, ResumeThread (kernel32.dll)

merci, a+++.

[Neitsa]

Bonjour,

Oui c'est normal.

La suspension d'un thread n'entraîne pas sa terminaison. En d'autres termes le thread est "gelé" mais peut reprendre son exécution quand son compteur de suspension atteins 0: le compteur de suspension étant incrémenté quand on utilise SuspendThread() et décrémenté lorsqu'on utilise ResumeThread().

Pour rappel, un processus ne meurt que lorsque son dernier thread est terminé.

[Code Rom]

ok merci pour la réponse,mais du coup j'ai une autre question.

Quel est l'intérêt alors de tester si l'on peut suspendre chaque thread d'un processus, si c'est pour les relancer juste après ?

En quoi cela répond-il a un test de sécurité ?

Edit : Je précise ma question.

Le fait dans une application comme Advanced Process Termination (APT) de tester si l'on peut suspendre les threads du processus cible, semble assez logique.C'est un test de base on va dire, afin de voir si l'on peut rendre le processus inutilisable (j'entends par là sans relancer les threads via ResumeThread() ).

Mais l'intérêt d'une telle application va être de tester des processus "critiques", style process d'antivirus, de firewall, processus system.Or j'ose imaginer que n'importe quel antivirus , firewall ou même OS digne de ce nom, se protège contre ce genre de suspension.Sinon cela devient carrément trop facile!!!

Mon interrogation portait plus a ce niveau.Disons que de mon point de vue, c'est presque un non sens de tester ce genre "d'attaque".Avoir une protection contre la suspention de tous les thread du processus, est, il me semble, quelque chose de vraiment basique.

Voila c'est n'est pas vraiment une question, mais plus une constatation qui me laisse un peu perplexe.

merci, a+++.

[Médinoc]

Généralement, la suspension de threads se fait à des fins de débogage (ou dans .Net, à des fins d'appel du ramasse-miettes).

Ensuite, je ne pense pas qu'on puisse empêcher une analyse à l'accès en "suspendant" un anti-virus: pour moi, ça suspendrait en même temps le programme qui tente d'accéder à un fichier...

Donc franchement, j'ai du mal à voir le lien entre suspension et sécurité. D'un autre côté, si un utilisateur possède le droit THREAD_SUSPEND_RESUME sur un autre thread, il est très probable qu'il en possède d'autres...

[Code Rom]

Salut Médinoc, merci pour ta réponse.

J'ai testé sur 2 des processus de mon antivirus, et je me fait directement jeter (Error : Accès refusé"), ce qui est une bonne chose.Pour le second process de l'antivirus les threads refusent de se suspendre.Un autre bon point.

Pour le droit THREAD_SUSPEND_RESUME, je ne sais pas exactement jusqu'où il va, je veut dire par là qu'en tant qu'administrateur de la machine quel processus system accèpte t-il de se laisser suspendre sans broncher.Je testerais pour voir.
Sinon d'un autre coté cette option peut être pratique dans le cas d'une infection, un processus malveillant peut ne pas avoir était prévu pour se protéger contre cela.

Voila, voila.

A+++

Ps: sérieux merci de m'avoir répondu, je commençais a désespérer

[Médinoc]

Les administrateurs possèdent le privilège Debug, ils ont donc tous les droits sur tous les processus et threads user-mode.

Par contre, un thread entièrement kernel-mode (drivers, etc.) reste inaccessible (sauf pour les autres drivers), et les anti-virus avec analyse à l'accès utilisent probablement tous un driver pour ça.

En fait, le vrai danger viendrait d'un virus qui, une fois exécuté par un administrateur (traduction: tu as déjà perdu), installerait un driver.

[Code Rom]

En fait, le vrai danger viendrait d'un virus qui, une fois exécuté par un administrateur (traduction: tu as déjà perdu), installerait un driver.

Bah justement dans mon programme je liste les processus actif en kernel-mode.Je fait plus ou moins comme cela :
http://www.volynkin.com/procenum.htm

Est ce que avec cette méthode je peut détecter un processus cacher d'un rootkit par exple ?
Et avec les option Kernel kill 1 & 2, je pourrais le tuer ?

- Kernel kill 1 & 2 :

Kernel Kill #1 - Attempts to terminate the process from a driver using the kernel-level ZwTerminateThread function against every thread in the target process.
Main functions: ZwTerminateThread (ntoskrnl.exe)

Kernel Kill #2 - Attempts to terminate the process from a driver using the kernel-level ZwTerminateProcess function against the target process.
Main functions: ZwTerminateProcess (ntoskrnl.ex

[Médinoc]

Je ne sais pas si cette fonction agit sur autre chose que les processus user-mode.

Mais dans tous les cas, si ton virus exécute un driver, l'ordinateur ne t'appartient déjà plus: Anti-virus ou pas, le virus peut déjà faire ce qu'il veut.