Visualizza messaggio singolo
Vecchio 09-09-2015, 11.42.44   #32
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 573
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

avviato in modalità provvisoria ed eliminata finalmente la chiave di registro "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\pippo" ho scoperto leggendo in giro che similmente ad un antivirus, avevano abilitato sul servizio quello che in gergo viene definito "registry filtering driver" cioè un "kernel-mode driver" che inebisce la modifica della chiave, ora non ho ben capito le dinamiche di questo kernel-mode driver, cioé:

-il servizio pippo eseguendosi lanciava il kernel-mode driver che a sua volta lanciava pippo.exe (io nel task manager vedevo pippo.exe e anche terminandolo non avevo cmq accesso a quella chiave di registro)
-il servizio lanciava pippo.exe che a sua volta lanciava il kernel-mode driver

in ogni caso nel registro proprio sotto la chiave pippo ho trovato pippt con però la sottochiave start impostata a 4 che lanciava

Codice:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pippt]
"Type"=dword:00000002
"Start"=dword:00000004
"ImagePath"=system32\DRIVERS\pippt.sys
"DisplayName"="pippt"
chiave che ho poi eliminato

del resto la chiave pippo era

Codice:
; 0x10           A Win32 program that can be started by the Service Controller and that obeys the service control protocol. This type of Win32 service runs in a process by itself.
"Type"=dword:00000010
; 2           Auto load
"Start"=dword:00000002
pippt

Codice:
; 0x2            File system driver, which is also a Kernel device driver.
"Type"=dword:00000002
; 2           Disabled
"Start"=dword:00000004
___________________________________

the eye, l'occhio
gutguy non è collegato   Rispondi citando