Системный процесс

[Andr]

Как завершить системный процесс не программным путем (вручную)?
Друг написал прогу. которая создает процесс одноименный с системным, хочу его как-то закрыть. Помогите плз.

[Alex21]

В чем проблема???

3 волшебные кнопки тебе помогут: Ctrl+Alt+Del->закладка ПРОЦЕССЫ-> выбираешь процесс и закрыть.

Если не можешь отличить, тогда Выполни (Win+R): "msconfig" (без кавычек), закладка автозагрузка сними флажок с этой проги.

А если все совсем плохо: есть прога procexp, показывает много всего о процессе (разработчик, подгружаемые либры, и проч.), ей точно выследишь левый процесс.

[rpy3uH]

Цитата:

Сообщение от Andr

Друг написал прогу. которая создает процесс одноименный с системным

а какой процесс то?

[Andr]

Грузину lsass.exe

[Alex21]

Посмотри в диспетчере задач закладка процессы какое имя пользователя? Если SYSTEM, то нетрогай а если твоя учетная запись - тогда завершай его.

[Andr]

В том то и все дело, что учетная запись. А когда жму завершить, пишется, что это критический системный процесс.

[rpy3uH]

Цитата:

Сообщение от Andr

Грузину lsass.exe

его завершать не надо! от его существования зависит существование системы. попробуй его завершить через ProcessExplorer и посмотри что будет. та же самая история c Winlogon, smss, services, csrss

[Rouse_]

Оригинальный lsass.exe запускается из под winlogon-а. Твоему другу придется приложить определенное кол-во улисий чтобы произвети запуск оттуда-же. Построй дерево процессов, посмотри какой процесс откуда запущен. Если увидишь что Winlogon, smss, services, csrss запущены из под explorer.exe - можешь смело их тушить.
обычно дерево выглядит так.
System стартует smss. smss инициирует csrss и winlogon.
winlogon запускает lsass и services, все остальное системное прерогатива services. Строить дерево можно примерно вот таким кодом:

[Rouse_]

Код:

 
////////////////////////////////////////////////////////////////////////////////
//
//  ****************************************************************************
//  * Project   : ProcessTree
//  * Unit Name : uMain
//  * Purpose   : Демо построения дерева процессов
//  * Author    : Александр (Rouse_) Багель
//  * Version   : 1.00
//  * Home Page : http://rouse.drkb.ru
//  ****************************************************************************
//
 
unit uMain;
 
interface
 
uses
  Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms,
  Dialogs, ComCtrls;
 
type
 
  TfrmProcess = class(TForm)
    tvProcess: TTreeView;
    procedure FormCreate(Sender: TObject);
  private
    procedure AddProcess(const ID, ParentID: DWORD;
      const Description: String);
    procedure GetProcTree;
  end;
 
  PSYSTEM_THREADS = ^SYSTEM_THREADS;
  SYSTEM_THREADS  = packed record
    KernelTime: LARGE_INTEGER;
    UserTime: LARGE_INTEGER;
    CreateTime: LARGE_INTEGER;
    WaitTime: ULONG;
    StartAddress: Pointer;
    UniqueProcess: DWORD;
    UniqueThread: DWORD;
    Priority: Integer;
    BasePriority: Integer;
    ContextSwitchCount: ULONG;
    State: Longint;
    WaitReason: Longint;
  end;
 
  PSYSTEM_PROCESS_INFORMATION = ^SYSTEM_PROCESS_INFORMATION;
  SYSTEM_PROCESS_INFORMATION = packed record
    NextOffset: ULONG;
    ThreadCount: ULONG;
    Reserved1: array [0..5] of ULONG; // Что такое, пока не понятно...
    CreateTime: FILETIME;
    UserTime: FILETIME;
    KernelTime: FILETIME;
    ModuleNameLength: WORD;
    ModuleNameMaxLength: WORD;
    ModuleName: PWideChar;
    BasePriority: ULONG;
    ProcessID: ULONG;
    InheritedFromUniqueProcessID: ULONG;
    HandleCount: ULONG;
    Reserved2 : array[0..1] of ULONG; // Что такое, пока не понятно...
    PeakVirtualSize : ULONG;
    VirtualSize : ULONG;
    PageFaultCount : ULONG;
    PeakWorkingSetSize : ULONG;
    WorkingSetSize : ULONG;
    QuotaPeakPagedPoolUsage : ULONG;
    QuotaPagedPoolUsage : ULONG;
    QuotaPeakNonPagedPoolUsage : ULONG;
    QuotaNonPagedPoolUsage : ULONG;
    PageFileUsage : ULONG;
    PeakPageFileUsage : ULONG;
    PrivatePageCount : ULONG;
    ReadOperationCount : LARGE_INTEGER;
    WriteOperationCount : LARGE_INTEGER;
    OtherOperationCount : LARGE_INTEGER;
    ReadTransferCount : LARGE_INTEGER;
    WriteTransferCount : LARGE_INTEGER;
    OtherTransferCount : LARGE_INTEGER;
    ThreadInfo: array [0..0] of SYSTEM_THREADS;
  end;
 
  function NtQuerySystemInformation(
    SystemInformationClass: DWORD;   // тип требуемой информации
    SystemInformation : Pointer;     // указатель на буфер, в который вернется информация
    SystemInformationLength : DWORD; // размер буфера в байтах
    var ReturnLength: DWORD          // сколько байт было возвращено или требуется
    ): DWORD; stdcall; external 'ntdll.dll';
 
const
  SystemProcessesAndThreadsInformation = 5;
  STATUS_INFO_LENGTH_MISMATCH = $C0000004;
 
var
  frmProcess: TfrmProcess;
 
implementation
 
{$R *.dfm}
 
{ TForm2 }
 
procedure TfrmProcess.AddProcess(const ID, ParentID: DWORD;
  const Description: String);
var
  I: Integer;
  Node: TTreeNode;
begin
  Node := nil;
  for I := 0 to tvProcess.Items.Count - 1 do
    if DWORD(tvProcess.Items.Item[i].Data) = ParentID then
    begin
      Node := tvProcess.Items.Item[i];
      Break;
    end;
  Node := tvProcess.Items.AddChildFirst(Node, Description);
  Node.Data := Pointer(ID);
end;
 
procedure TfrmProcess.FormCreate(Sender: TObject);
begin
  GetProcTree;
end;
procedure TfrmProcess.GetProcTree;
var
  SystemInformation, SystemInformationIterator: PSYSTEM_PROCESS_INFORMATION;
  ReturnLength: DWORD;
  ModuleName: String;
begin
  ReturnLength := 0;
  if NtQuerySystemInformation(
    SystemProcessesAndThreadsInformation,
    nil, 0, ReturnLength) <> STATUS_INFO_LENGTH_MISMATCH then Exit;
  if ReturnLength > 0 then
  begin
    GetMem(SystemInformation, ReturnLength);
    try
      if NtQuerySystemInformation(SystemProcessesAndThreadsInformation,
        SystemInformation, ReturnLength, ReturnLength) = 0 then
      begin
        SystemInformationIterator := SystemInformation;
        repeat
          if SystemInformationIterator^.ModuleName = nil then
            ModuleName := 'System Idle Process'
          else
            ModuleName := SystemInformationIterator^.ModuleName;
          AddProcess(SystemInformationIterator^.ProcessID,
            SystemInformationIterator^.InheritedFromUniqueProcessID,
            ModuleName);
          SystemInformationIterator :=
            Pointer(DWORD(SystemInformationIterator) +
            SystemInformationIterator^.NextOffset);
        until SystemInformationIterator^.NextOffset = 0;
      end;
    finally
      FreeMem(SystemInformation);
    end;
  end;
end;
end.