Advanced Process Termination (APT)



Résumé


Advanced Process Termination (APT) est utilisé pour tuer un processus à tout prix - Gratuit (un autre usage est le test de résistance d'un programme (de sécurité, par exemple) à sa terminaison par des parasites.

Classe
Famille
Autres
Gestionnaire de tâches et de processus
Logiciels de la même famille
Logiciels du même éditeur
Site officiel
diamondcs.com
Auteur
diamondcs.com
Editeur
diamondcs.com
Lancement
?
Plateformes
Advanced Process Termination (APT) fonctionne sous Windows NT/2K/XP
Technologie
Advanced Process Termination (APT) utilise des technologies propriétaires de DiamondCS afin que ces technologies ne soient pas la cible de Hooker et de RootKits.
Version
4.0
Langue
Anglais
Tutoriel
Intuitif
Forum
 http://assiste.forum.free.fr


Cibles


Advanced Process Termination (APT) est à utiliser contre les processus tournant sous Windows et ne pouvant être arrêtés par le gestionnaire de tâche standard.



Télécharger


diamondcs.com

Taille : 52,8 Ko (54 150 octets)
MD5 : be59383d0ad1c2c3cd569cdc40acb6c5
SHA1 : 546fab7a9851334220ca09354c9edef3020cbf32
Virus : Analyse antivirale et anti-spyware de votre téléchargement
   
Ne jamais télécharger un logiciel depuis un site autre que celui de son éditeur lui-même - Suivre les liens donnés par Assiste.com.
  • Si taille supérieure à celle annoncée, il y a risque de dropper ou binder et/ou packer accolé + backdoor ou RAT ou BHO etc. ... produit transformé en cheval de Troie (trojan).
  • Si taille inférieure à celle annoncée, il y a risque d'installation d'un downloader.
  • Toujours vérifier la stricte exactitude du contenu téléchargé avec SummerProperties.


Acheter


Produit Prix* Acheter
 Advanced Process Termination (APT) Gratuit  Advanced Process Termination (APT)

Les prix et le cours des monnaies (euros contre dollars) peuvent avoir changé depuis la dernière mise à jour de cette fiche. Certains annoncent des prix hors taxes auxquels il faut ajouter la TVA. L'achat en ligne consiste, la plupart du temps, en la simple communication d'une clé d'enregistrement de licence à appliquer sur la version de démonstration qui est déjà une version complète du produit. Vous disposez donc de votre licence légale immédiatement. Les prix donnés en dollars américains sont plus stables que leur conversion en € qui change tout le temps. Vous pouvez partir sur une idée de parité soit 1 us$ = 1 € donc, un produit valant 20 US$ vaut environ 20 €.


Résumé

Advanced Process Termination (APT)
Advanced Process Termination (APT)Cet utilitaire permet de tuer un processus qui se montrerait rebelle au "Kill task" standard de Windows.

Il permet aussi de tester la résistance d'un utilitaire de sécurité - un utilitaire de sécurité qui se laisserait tuer sans opposer de résistance est douteux.

APT: Advanced Process Termination n'a qu'un but : tenter de tuer (terminer) un processus, coûte que coûte. Il utilise pour cela 16 méthodes différentes pour y arriver. Il suffit de rafraîchir la liste (touche de fonction habituelle F5, sélectionner le processus dans la liste des processus et cliquer sur 1 bouton.

Le produit est très simple d'emploi et ne nécessite pas de phase d'installation.

La touche de fonction F8 va tenter toutes les méthodes s'il y a urgence.

Cet utilitaire est gratuit et est bien utile. Si on souhaite aller encore plus loin dans la gestion des tâches, et pas seulement les tuer, on regardera un autre utilitaire de la même société, "Process Guard" qui lui, s'il fait la même chose et bien d'autres choses (dont l'inverse : empêcher une tâche d'être tuée), est capable de détecter et d'inhiber plus de "hooking" de processus malveillants, c'est-à-dire de montrer et de permettre de tuer des processus furtifs qui ne sont pas vus dans la liste normale des processus que proposera Advanced Process Termination (APT). "Process Guard" est un produit commercial.

Nota : le Hooking est une technique d'interception (détournement) d'interruptions système pour, en l'occurence, voir, lors d'une demande de terminaison d'un processus, quelle est la tâche dont on demande la terminaison. Les parasites se protègent ainsi pour voir si quelque chose demande leur terminaison et l'éviter.

Si APT: Advanced Process Termination peut être utilisé dans La Manip, par exemple, gratuitement, il est certain que "Process Guard" serait bien plus adapté, mais n'est pas gratuit.

APT peut aussi être utilisé pour tester la résistance d'un processus critique comme un antivirus ou un firewall. Ces 2 types d'utilitaires doivent être insensibles à toutes les méthodes de terminaison de processus d'APT sinon ils sont succeptibles d'être terminés par une malveillance. Vous pouvez donc tester la résistance de votre firewall et de votre antivirus.

Notons que DiamondCS fut l'auteur de TDS-3, un (très) bon anti-trojan mais d'une complexité telle qu'il en devint incompréhensible et impossible à mettre entre toutes les mains, même expertes. TDS-3 a été arrêté.

Advanced Process Termination (APT)


La description (en anglais, des diverses techniques utilisées)

Advanced Process Termination - Techniques
APT offre actuellement 18 attaques différentes écrites pour s'attaquer à, virtuellement, tout processus:
   - 2 kernel-mode (driver-based) process termination techniques
   - 12 user-mode process termination techniques
   - 2 fatal crash techniques
   - 2 suspend/resume techniques


Kernel Kill #1 - Attempts to terminate the process from a driver using the kernel-level ZwTerminateThread function against every thread in the target process.
Main functions: ZwTerminateThread (ntoskrnl.exe)

Kernel Kill #2 - Attempts to terminate the process from a driver using the kernel-level ZwTerminateProcess function against the target process.
Main functions: ZwTerminateProcess (ntoskrnl.exe)


Kill #1 - Attempts to terminate the process using the TerminateProcess function. This is the same as the End Process function in Windows Task Manager, but as APT aquires SeDebugPrivilege before calling TerminateProcess it is typically able to terminate more processes than Task Manager can. This is the most common method of forceful process termination.
Main functions: OpenProcess, TerminateProcess (kernel32.dll)

Kill #2 - Attempts to terminate the process by sending Close messages (called WM_CLOSE) to all windows in the target process. This method only works if 1) the target process has at least one window, and 2) the target process doesn't handle the WM_CLOSE message (many programs don't).
Main functions: SendMessage WM_CLOSE (user32.dll)

Kill #3 - Attempts to terminate the process by sending Close messages (called WM_QUIT) to all windows in the target process. This method only works if 1) the target process has at least one window, and 2) the target process doesn't handle the WM_QUIT message (many programs don't).
Main functions: SendMessage WM_QUIT (user32.dll)

Kill #4 - Attempts to terminate the process in the same manner as Kill #7, but sends SC_CLOSE system messages rather than WM_CLOSE window messages. Again, this method only works if 1) the target process has at least one window, and 2) the target process doesn't handle the SC_CLOSE message (most programs usually don't).
Main functions: SendMessage SC_CLOSE (user32.dll)

Kill #5 - Attempts to terminate the process by terminating every individual thread in the target process by using the TerminateThread function. When the last active thread is terminated the process is also terminated.
Main functions: OpenThread, TerminateThread (kernel32.dll)

Kill #6 - Attempts to terminate the process by creating a new thread in the context of the target process, which has a starting address (stored in the EIP register) which is the address of the ExitProcess function in kernel32.dll.
Main functions: CreateRemoteThread, ExitProcess (kernel32.dll)

Kill #7 - Attempts to terminate the process by using the EndTask function in user32.dll. This is the same as the End Task function in Windows Task Manager.
Main functions: EndTask (user32.dll)

Kill #8 - Attempts to terminate the process by attaching to it as a debugger, using the DebugActiveProcess function in kernel32.dll. To terminate the target process, the debugger process simply needs to terminate itself, at which point the process being debugged (the target process) is also terminated.
Main functions: DebugActiveProcess (kernel32.dll)

Kill #9 - Attempts to terminate the process by modifying the EIP register of all existing threads so that they all point to the ExitProcess function in kernel32.dll. This is similar to Kill #3, but doesn't involve the creation of any new thread. Instead, existing threads are used.
Main functions: SetThreadContext (kernel32.dll)

Kill #10 - Attempts to terminate the process using the completely undocumented WinStationTerminateProcess function. This method only works if the Terminal Services service is enabled.
Main functions: WinStationTerminateProcess (winsta.dll)

Kill #11 - Attempts to terminate the process using the CreateRemoteThread DLL injection method. This method is very similar to Kill #6, but the call to ExitProcess is made by an injected DLL.
Main functions: CreateRemoteThread, LoadLibrary, ExitProcess (kernel32.dll)

Kill #12 - Attempts to terminate the process by using an accomplice process to do the termination. APT injects 'kill code' into a newly allocated temporary area of memory within an accomplice process, which then executes a call to TerminateProcess on the target process within the context of the accomplice process.
Main functions: CreateRemoteThread, WriteProcessMemory, TerminateProcess (kernel32.dll)


Crash #1 - Attempts to fatally crash the target process by setting the access level for the targets memory region to PAGE_NOACCESS, effectively preventing all read/write/execute operations. This quickly forces the process to crash due to inability to execute code.
Main functions: VirtualProtectEx (kernel32.dll)

Crash #2 - Attempts to fatally crash the target process by overwriting the targets memory region, effectively eliminating all program code which crashes the target process due to it attempting to execute invalid code.
Main functions: WriteProcessMemory (kernel32.dll)


Suspend #1 - Attempts to suspend each thread in the target process individually using the SuspendThread function in kernel32.dll. Resume capability also available with this method.
Main functions: OpenThread, SuspendThread, ResumeThread (kernel32.dll)

Suspend #2 - Attempts to suspend the process using the NtSuspendProcess function in ntdll.dll. Resume capability also available with this method.
Main functions: NtSuspendProcess, NtResumeProcess (ntdll.dll).



Anti-Hook HOOK RESISTANT
A hook is a mechanism that allows for the interception (and even behaviour modification) of a function or section of code. For example, a trojan might hook the TerminateProcess function so that whenever that function is called the trojan can examine which process is being terminated and thus prevent itself from being terminated.

DiamondCS APT has several anti-hook capabilities that enable it to easily bypass most hooks, allowing it to terminate processes even if termination-related functions have been hooked or modified by other processes.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

29.10.2007 Mise à jour
 
   
Rédigé en écoutant :
Music