Требуется отслеживать запуск всех программ и принудительное закрытие запрещенных.
Как это сделать?
Раскрываю задачу:
Есть локалка с кучей компов под 2к и сервер на FreeBSD. Нужно обеспечить возможность запуска запрещенных программ через авторизацию(запрос уходит на сервер).
Я уже все реализовал через WH_SHELL, но мне сам подход не нравится. Некоторые проги не закрываются. Многие просто не имеют окон, и т.д. Нужен 100% способ отловить и убить запуск программ.
Здравствуйте, Drakula, Вы писали:
D>Требуется отслеживать запуск всех программ и принудительное закрытие запрещенных. D>Как это сделать? D>Раскрываю задачу: D>Есть локалка с кучей компов под 2к и сервер на FreeBSD. Нужно обеспечить возможность запуска запрещенных программ через авторизацию(запрос уходит на сервер). D>Я уже все реализовал через WH_SHELL, но мне сам подход не нравится. Некоторые проги не закрываются. Многие просто не имеют окон, и т.д. Нужен 100% способ отловить и убить запуск программ.
--
В kernel mode драйвере есть возможность зарегистрировать callback-функции, которые будут вызываться при запуске программы (PsSetLoadImageNotifyRoutine) или при запуске процесса (PsSetCreateProcessNotifyRoutine). Получив информацию о том, что было запущено, можно попытаться каким-то образом закрыть "запрещенную" программу.
Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.
