Haga que el proceso "Sistema" no sea modificable desde el Administrador de tareas como es el caso en Windows 8

0

FYI: Tengo Windows-7 Ultimate Ver 6.1 Service-Pack 1 .

Hay herramientas en Windows-7 que se llama Monitor de recursos . Puede encontrarlo en el C:\Windows\System32directorio o simplemente puede ejecutarlo a través de resmon.exe en Ejecutar .

En la lista de procesos hay un proceso llamado Systemy su PID es igual a 4siempre.

ingrese la descripción de la imagen aquí

Si hace clic derecho sobre él y hace clic Suspend Process, su computadora se bloqueará, su mouse y teclado se deshabilitarán, y deberá reiniciar su sistema para volver al estado normal.

ingrese la descripción de la imagen aquí

En Windows-8, incluso si inició sesión con una cuenta de administrador, no puede suspender este proceso ( Sistema ) y cuando intenta suspenderlo, recibeAccess Denied

P1: ¿Por qué Microsoft Corporation proporciona esta capacidad para que el administrador suspenda el proceso del sistema? ¿Cuándo necesitamos suspenderlo y hacer que el sistema se cuelgue?

P2: ¿Hay alguna forma en Windows-7 de configurar el sistema para que ni siquiera el administrador pueda suspender este proceso?

Si cree que no hay forma de hacerlo, lea lo siguiente:

Podemos tener una lista de *.dllarchivos relacionados con un proceso con el siguiente comando en Símbolo del sistema :

>tasklist /FI "PID eq Number" /M

Y puede tener una lista de números PID en la herramienta resmon.exe . (También puede usar el tasklistcomando en las ventanas de la línea de comandos ).

En mi sistema, el PID de resmon.exe es 1728(Su nombre de proceso es perfmon ).

Veamos una lista de .dllarchivos relacionados con resmon.exe :

C:\Windows\system32>tasklist /FI "PID eq 1728" /M

Image Name                     PID Modules
========================= ======== ============================================
perfmon.exe                   1728 ntdll.dll, kernel32.dll, KERNELBASE.dll,
                                   ADVAPI32.dll, msvcrt.dll, sechost.dll,
                                   RPCRT4.dll, GDI32.dll, USER32.dll, LPK.dll,
                                   USP10.dll, ATL.DLL, ole32.dll, SHLWAPI.dll,
                                   SHELL32.dll, OLEAUT32.dll, credui.dll,
                                   Secur32.dll, SSPICLI.DLL, IMM32.DLL,
                                   MSCTF.dll, comctl32.dll, uxtheme.dll,
                                   dwmapi.dll, CRYPTBASE.dll, CLBCatQ.DLL,
                                   wdc.dll, DUser.dll, pdh.dll, pdhui.dll,
                                   COMDLG32.dll, ODBC32.dll, wevtapi.dll,
                                   VERSION.dll, PLA.dll, tdh.dll, NSI.dll,
                                   IPHLPAPI.DLL, WINNSI.DLL, WINSTA.dll,
                                   UTILDLL.dll, SETUPAPI.dll, CFGMGR32.dll,
                                   DEVOBJ.dll, NETAPI32.dll, netutils.dll,
                                   srvcli.dll, wkscli.dll, LOGONCLI.DLL,
                                   BROWCLI.DLL, SAMCLI.DLL, WTSAPI32.dll,
                                   VDMDBG.dll, odbcint.dll, DUI70.dll,
                                   xmllite.dll, OLEACC.dll, FirewallAPI.dll,
                                   profapi.dll, WS2_32.dll, msxml3.dll,
                                   ntmarta.dll, WLDAP32.dll, Perfctrs.dll,
                                   perfdisk.dll, mswsock.dll, DNSAPI.dll,
                                   dhcpcsvc6.DLL, dhcpcsvc.DLL, WINTRUST.dll,
                                   CRYPT32.dll, MSASN1.dll, pcwum.dll,
                                   rasadhlp.dll

C:\Windows\system32>

Nota: debe ejecutar el símbolo del sistema como administrador

P3: Si copio los .dllarchivos anteriores del directorio de Windows-8 y reemplazo los .dllarchivos de Windows-7 con ellos, ¿Windows-7 se comportará como Windows-8? (Evitar suspender el proceso del sistema)

Nota: Supongamos que usamos un CD de Windows en vivo y una memoria flash para reemplazar los archivos dll. (Normalmente, Windows-7 no le permite reemplazar .dllarchivos)

Realmente aprecio tu tiempo y consideración :)

windows-7 windows-8 command-line perfmon TheGoodUser
fuente
3
El Systemproceso es básicamente el sistema operativo en sí. En cuanto a por qué puede suspenderlo, solo Microsoft puede responder. Por lo general, Windows intenta evitar que los usuarios hagan cosas dañinas, pero no siempre tiene éxito: los usuarios eventualmente encontrarán nuevas formas de romper el sistema, ya sea intencionalmente o por error. A algunas personas no les gusta un sistema de cuidado de niños, otras no; Realmente no puedes complacer a ambos. Independientemente del método que utilice, copiar los archivos del sistema de Windows 8 sobre los de Windows 7 es probablemente una buena idea si desea dejarlo inutilizable. Además, evite hacer varias preguntas en una sola publicación.
y31415
@ and31415 Gracias querido amigo. pero estas preguntas están profundamente relacionadas y relacionadas con el título, supongo :)
TheGoodUser
explica por qué quieres hacer esto (sin sentido). ¿Qué problemas tienes?
magicandre1981
3
Ahora eso suena como un plan infalible para romper una instalación de Windows
Daniel B
1
El proceso del sistema NO es "básicamente el sistema operativo en sí". Es un contenedor para los hilos en modo kernel utilizados no solo por el sistema operativo, sino también por muchos componentes en redes, sistemas de archivos, ... muchos otros. La razón por la que suspenderlo mata la entrada del mouse y el teclado es que los hilos que leen estos dispositivos están en este proceso. Pero muchas cosas en Windows pueden continuar ejecutándose incluso mientras este proceso está suspendido.
Jamie Hanrahan

Respuestas:

1

P1: No hay una buena razón para pensar; Parece ser un descuido.

P2: No, porque también puedo hacerlo en mi sistema Win8.1. Lo acabo de hacer. El grupo de administradores ya no tiene el derecho de acceso "Suspender / reanudar proceso" a este proceso, por lo que no estoy seguro de cómo está funcionando.

P3: Ver arriba. Obtengo el mismo comportamiento en Win8.1, así que obviamente usar archivos de Win8.1 no ayudará. Además, es probable que esas DLL no sean del todo felices en el entorno Win8, y son compartidas por muchos otros programas. Romperás un montón de cosas si lo intentas.

Lo siento..

Jamie Hanrahan
fuente
Si el escritorio remoto estaba habilitado en mi sistema, entonces suspendo el proceso del sistema LOCALMENTE, ¿hay alguna forma de reanudar el sistema por escritorio remoto? gracias
TheGoodUser
FYI Tengo ping del sistema cuando el sistema se suspendió.
TheGoodUser
Ping: sí. Suspender el proceso del sistema no suspende todo en el sistema operativo, solo las funciones implementadas en los hilos del proceso del sistema. Re rd, tendría que tener un programa listo para ejecutarse que llamaría a NtResumeProcess y podría activarse sin necesitar nada del proceso del Sistema. No sé de nada de improviso.
Jamie Hanrahan
Tengo mucha curiosidad de por qué, en mi sistema de prueba de Windows 8.1 aquí, puedo suspender el proceso del sistema desde TM (y desde Process Explorer), pero usted no puede. ¿Puedes verificar que este sea el caso para ti?
Jamie Hanrahan
¡Uy! ¡Eso es raro! Sí, estoy seguro, en mi Windows-7 Ultimate ver6.1 puedo suspender el Systemproceso, pero mi amigo en Windows-8 no puede suspenderlo (con el usuario Administrador) - (No estoy seguro acerca de la versión de su Windows-8, pero creo que no es importante, la pregunta es ¿por qué? Y ¿cómo podemos cambiarlo?) Gracias
TheGoodUser
0
  1. Descargue y cambie los permisos con Process Explorer .
  2. En la vista de propiedades del proceso, seleccione la pestaña de seguridad.
  3. Presione el botón de permisos.
  4. Presione el botón avanzado.
  5. Si es necesario, agregue usted mismo o un grupo al que pertenece.
  6. Edite sus permisos para incluir "Terminar". (necesitará tener ya la autorización de "Cambiar permisos", o no tendrá suerte).

O

Esto se debe a que los permisos del Sistema (ntoskrnl.exe) están configurados para "leer y escribir" y solo son editables por "Trusted Installer" para evitar que los novatos dañen su propia computadora. Esto incluye finalizar el proceso en sí. Necesitas "Control total". Para solucionar esto, simplemente vaya a "C: \ Windows \ System32", haga clic con el botón derecho en "ntoskrnl.exe" y las propiedades, luego haga clic en la pestaña "seguridad", luego vaya a "Avanzado" y luego haga clic en "Control total "para el administrador. Ahora podrá finalizarlo desde el Monitor de recursos

Kirill2485
fuente
Lo siento pero ... no quiere "ponerle fin", no quiere poder suspenderlo. Y además, cambiar los permisos en ntoskrnl.exe no hará nada. El proceso del sistema no se crea para ejecutar una instancia de ntoskrnl.exe (y no hay un exe llamado "Sistema"), ni la ACL de un exe se propaga a su proceso de todos modos. El acceso importante aquí es "suspender / crear proceso" y ni siquiera se puede configurar para archivos.
Jamie Hanrahan
Entonces, ¿por qué cuando entro al administrador de tareas y hago clic derecho en "Sistema" y hago clic en "Abrir ubicación de archivo" me lleva a ntoskrnl.exe en system32?
Kirill2485
Además, ¿por qué cuando ejecuto todo el ntoskrnl.exe (con la DLL inyectada, por supuesto), en VMWare restaura el proceso del sistema cuando se suspende.
Kirill2485
@ kirill2485 Gracias, pero como dijo el Sr. Jamie, no quiero poder suspenderlo. Y cuando lo uso > tasklist /FI "PID eq 4" /M en la línea de comandos , ¡no devuelve ningún módulo! más cuando hago clic derecho y hago Systemclic en Abrir ubicación del archivo, se abre Escritorio.
TheGoodUser
Tal vez no estás haciendo algo que estoy haciendo: drive.google.com/file/d/0B8cuDjumkkmQdmtteV93OHljY3c/…
Kirill2485