Questo articolo vuole spiegare una tecnica di auto-protezione adottata da molti malware o virus o chiamateli come volete.
I processi eseguiti sotto forma di servizi possono essere dipendenti a loro volta da uno o più servizi. Qualora si tentasse di terminare uno di questi servizi da cui dipende il nostro processo, anche quest'ultimo verrebbe terminato.
Come è possibile creare questa dipendenza? La risposta è modificando alcune chiavi di registro relativamente al nostro servizio.
Se noi per esempio prendiamo in esame il servizio dhcp, i suoi parametri di configurazione li troviamo nella chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp
Uno di questi parametri è DependOnService e per il suddetto servizo contiene i valori:
Tcpip
Afd
NetBT
che sono i servizi da cui il dhcp dipende, per cui terminando uno di questi tre esso stesso verrebbe termianto automaticamente.
Possiamo aggiungere un altro servizio alla lista? Si!
A cosa può servire? beh se io voglio essere sicuro che siano attivi dei servizi utili alla mia applicazione devo sicuramente creare la lista delle dipendenze per il mio programma, ma il problema e che un malintenzionato potrebbe modificare la lista di un servizio esistente. Vediamo di fare un esempio pratico.
Chiamo A il nuovo servizio che voglio "proteggere" e B il servizio già presente nel mio pc.
Immaginiamo ora che B sia un servizio di sistema, che magari quando viene terminato faccia spegnere il computer (vedi per esempio il servizio RPC).
Ora inserisco il servizio A nella lista delle dipendenza del processo B.
Se ora provassi a terminare il servizio A, questo implicherebbe la terminazione del processo B che ora dipende da lui e di conseguenza viene spento forzatamente il pc!
Questa tecnica è stata adottata da molti programmi sospetti per auto proteggersi.
Per la cronaca il servizio RPC i cui parametri li trovate nella chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs non dovrebbe avere nessuna dipendenza...quindi...
