Machen Sie den "System" -Prozess im Task-Manager nicht änderbar, wie es in Windows 8 der Fall ist

867
TheGoodUser

Zu Ihrer Information: Ich habe Windows-7 Ultimate Ver 6.1 Service-Pack 1 .

In Windows-7 gibt es Tools, die als Ressourcenmonitor bezeichnet werden . Sie finden es im C:\Windows\System32Verzeichnis oder Sie können es auch einfach über resmon.exe im Run ausführen .

In der Liste der Prozesse ist ein Prozess namens Systemund seine PID ist gleich 4immer.

Machen Sie den

Wenn Sie mit der rechten Suspend ProcessMaustaste darauf klicken und auf klicken, wird Ihr Computer hängen bleiben, Maus und Tastatur werden deaktiviert, und Sie müssen Ihr System neu starten, um zum Normalzustand zurückzukehren.

Machen Sie den

In der Windows - 8- auch wenn Sie mit einem Administrator - Konto angemeldet sind, können Sie diesen Prozess nicht (Suspend - System ) und wenn Sie versuchen, es zu unterbrechen, erhalten SieAccess Denied

F1: Warum stellt Microsoft Corporation diese Funktion für den Administrator bereit, um den Systemprozess auszusetzen? Wann müssen wir es aussetzen und ein System hängen lassen ?!

F2: Gibt es in Windows-7 eine Möglichkeit, das System so zu konfigurieren, dass selbst der Administrator diesen Vorgang nicht unterbrechen kann?


Wenn Sie glauben, dass dies nicht möglich ist, lesen Sie bitte die folgenden Informationen:

Wir können eine Liste von *.dllDateien haben, die sich auf einen Prozess mit dem folgenden Befehl in der Eingabeaufforderung beziehen :

>tasklist /FI "PID eq Number" /M

Das Tool resmon.exe enthält eine Liste von PID-Nummern ( tasklistBefehl kann auch in Befehlszeilenfenstern verwendet werden).

In meinem System PID von resmon.exe ist 1728(Sein Prozess Name ist perfmon ).

Lassen Sie sich eine Liste der .dllDateien anzeigen, die sich auf resmon.exe beziehen :

C:\Windows\system32>tasklist /FI "PID eq 1728" /M  Image Name PID Modules ========================= ======== ============================================ perfmon.exe 1728 ntdll.dll, kernel32.dll, KERNELBASE.dll, ADVAPI32.dll, msvcrt.dll, sechost.dll, RPCRT4.dll, GDI32.dll, USER32.dll, LPK.dll, USP10.dll, ATL.DLL, ole32.dll, SHLWAPI.dll, SHELL32.dll, OLEAUT32.dll, credui.dll, Secur32.dll, SSPICLI.DLL, IMM32.DLL, MSCTF.dll, comctl32.dll, uxtheme.dll, dwmapi.dll, CRYPTBASE.dll, CLBCatQ.DLL, wdc.dll, DUser.dll, pdh.dll, pdhui.dll, COMDLG32.dll, ODBC32.dll, wevtapi.dll, VERSION.dll, PLA.dll, tdh.dll, NSI.dll, IPHLPAPI.DLL, WINNSI.DLL, WINSTA.dll, UTILDLL.dll, SETUPAPI.dll, CFGMGR32.dll, DEVOBJ.dll, NETAPI32.dll, netutils.dll, srvcli.dll, wkscli.dll, LOGONCLI.DLL, BROWCLI.DLL, SAMCLI.DLL, WTSAPI32.dll, VDMDBG.dll, odbcint.dll, DUI70.dll, xmllite.dll, OLEACC.dll, FirewallAPI.dll, profapi.dll, WS2_32.dll, msxml3.dll, ntmarta.dll, WLDAP32.dll, Perfctrs.dll, perfdisk.dll, mswsock.dll, DNSAPI.dll, dhcpcsvc6.DLL, dhcpcsvc.DLL, WINTRUST.dll, CRYPT32.dll, MSASN1.dll, pcwum.dll, rasadhlp.dll  C:\Windows\system32> 

Hinweis: Sie müssen die Eingabeaufforderung als Administrator ausführen

F3: Wenn ich die obigen .dllDateien aus dem Windows-8-Verzeichnis kopiere und Windows-7- .dllDateien durch diese Dateien ersetze, verhält sich Windows-7 wie Windows-8? (Verhindern des Suspendierens des Systemprozesses)

Hinweis: Angenommen, wir verwenden eine Live-Windows-CD und einen Flash-Speicher, um DLL-Dateien zu ersetzen. (Normalerweise können Sie unter Windows-7 keine .dllDateien ersetzen. )

Wirklich schätzen Ihre Zeit und Rücksicht :)

0
Der `System`-Prozess ist im Wesentlichen das Betriebssystem selbst. Warum können Sie es aussetzen, kann nur Microsoft antworten. Normalerweise versucht Windows *, * Benutzer daran zu hindern, schädliche Dinge zu tun, aber das gelingt nicht immer: Benutzer werden schließlich neue Wege finden, das System absichtlich oder aus Versehen zu beschädigen. Einige Leute mögen kein Babysittersystem, andere nicht; Sie können beides nicht wirklich erfreuen. Unabhängig davon, welche Methode Sie verwenden, das Kopieren von Windows 8-Systemdateien über Windows 7 ist wahrscheinlich eine gute Idee, wenn Sie sie unbrauchbar machen möchten. Vermeiden Sie auch, mehrere Fragen in einem einzigen Beitrag zu stellen. and31415 vor 10 Jahren 3
@ and31415 Vielen Dank, lieber Freund. aber diese Fragen hängen eng mit dem Titel zusammen, denke ich :) TheGoodUser vor 10 Jahren 0
Erkläre, warum du das machen willst (Unsinn). Welche Probleme hast du? magicandre1981 vor 10 Jahren 0
NEIN, wahrscheinlich, wenn Sie es kopieren, verhält sich Windows 7 nicht wie Windows 8. Aber es gibt nur eine Möglichkeit, dies sicher herauszufinden ....;) Devid vor 10 Jahren 0
Das klingt jetzt nach einem todsicheren Plan, eine Windows-Installation zu brechen Daniel B vor 10 Jahren 3
Der Systemprozess ist NICHT "im Grunde das Betriebssystem selbst". Es ist ein Wrapper für Kernel-Modus-Threads, die nicht nur vom Betriebssystem verwendet werden, sondern auch von vielen Komponenten in Netzwerken, Dateisystemen und vielen anderen. Der Grund dafür, dass das Suspendieren die Maus- und Tastatureingaben beendet, ist, dass sich die Threads, die diese Geräte lesen, in diesem Prozess befinden. Viele Dinge in Windows können jedoch weiterlaufen, auch wenn dieser Prozess angehalten ist. Jamie Hanrahan vor 10 Jahren 1
@ magicandre1981 Ich möchte die Sicherheitsrichtlinien und -einstellungen von Windows 7 so ändern, dass der Administrator den `System`-Prozess nicht unterbrechen kann! Ich denke die Fragen sind wirklich klar! TheGoodUser vor 10 Jahren 0
Niemand kann den Kernel anhalten, ohne Windows zu töten. Ohne den Kernel geht nichts. magicandre1981 vor 10 Jahren 0
@ magicandre1981 würdest du bitte die Frage sorgfältig lesen !? Du missverstehst die Frage! Wie gesagt, ich kann den `System`-Prozess unterbrechen und meinen Computer zum Absturz bringen! Ich möchte diese Fähigkeit einschränken! Warum muss der Administrator diese Fähigkeit haben? TheGoodUser vor 10 Jahren 0

2 Antworten auf die Frage

1
Jamie Hanrahan

F1: Kein guter Grund, an den ich denken kann. es scheint ein Versehen zu sein.

F2: Nein, weil ich es auch in meinem Win8.1-System machen kann. Ich habe es gerade getan. Die Administratorengruppe hat bereits nicht das Zugriffsrecht "Suspend / Resume-Prozess" für diesen Prozess. Ich bin mir also nicht sicher, wie dies überhaupt funktioniert.

F3: Siehe oben. Ich verhalte dasselbe Verhalten unter Win8.1, daher hilft es offensichtlich nicht, Dateien aus Win8.1 zu verwenden. Außerdem sind diese DLLs in der Win8-Umgebung wahrscheinlich überhaupt nicht glücklich und werden von vielen anderen Programmen gemeinsam genutzt. Wenn du das versuchst, wirst du eine Menge Sachen kaputtmachen.

Es tut uns leid..

Wenn _Remote Desktop_ in meinem System aktiviert wurde, halte ich den ** System ** -Prozess LOCALLY aus. Gibt es eine Möglichkeit, ** System ** über den Remote-Desktop fortzusetzen? Vielen Dank TheGoodUser vor 10 Jahren 0
Zu Ihrer Information Ich habe ein Ping des Systems, wenn das System ausgesetzt wurde. TheGoodUser vor 10 Jahren 0
Ping - ja. Durch das Anhalten des Systemprozesses wird nicht alles im Betriebssystem angehalten, sondern nur die Funktionen, die in den Threads des Systemprozesses implementiert sind. In diesem Fall müssten Sie ein Programm zur Ausführung bereithalten, das NtResumeProcess aufruft und ohne das Erfordernis des Systemprozesses ausgelöst werden kann. Ich kenne nichts ohne weiteres. Jamie Hanrahan vor 10 Jahren 0
Ich bin sehr neugierig, warum ich auf meinem Windows 8.1-Testsystem hier den Systemprozess von TM (und vom Process Explorer) aussetzen kann, aber das ist nicht möglich. Können Sie bestätigen, dass dies für Sie der Fall ist? Jamie Hanrahan vor 10 Jahren 0
Hoppla! Das ist komisch! Ja, ich bin mir sicher, in meiner Windows-7 Ultimate Version 6.1 kann ich den `System`-Prozess aussetzen, aber mein Freund in Windows-8 kann ihn nicht anhalten (mit Administratorbenutzer) - (Ich bin mir nicht sicher, ob Version seines Windows-8, aber ich denke, es ist nicht wichtig, die Frage ist, warum ?! und wie wir es ändern können?) Danke TheGoodUser vor 10 Jahren 0
0
Kirill2485
  1. Laden Sie die Berechtigungen mit Process Explorer herunter und ändern Sie sie .
  2. Wählen Sie in der Prozesseigenschaftenansicht die Registerkarte "Sicherheit" aus.
  3. Drücken Sie die Berechtigungsschaltfläche.
  4. Drücken Sie die erweiterte Taste.
  5. Wenn nötig, fügen Sie sich selbst oder eine Gruppe hinzu, der Sie angehören.
  6. Bearbeiten Sie Ihre Berechtigungen, um "Terminate" aufzunehmen. (Sie müssen bereits die Berechtigung "Berechtigungen ändern" haben, oder Sie haben kein Glück.)

ODER

Dies liegt daran, dass die Berechtigungen von System (ntoskrnl.exe) auf "Lesen und Schreiben" gesetzt sind und nur vom "Vertrauenswürdigen Installer" bearbeitet werden können, um zu verhindern, dass Noobs ihren eigenen Computer beschädigen. Dies schließt das Beenden des Prozesses selbst ein. Sie benötigen "Vollzugriff". Um dies zu beheben, gehen Sie einfach zu "C: \ Windows \ System32", klicken Sie mit der rechten Maustaste auf "ntoskrnl.exe" und den Eigenschaften. Klicken Sie dann auf die Registerkarte "Sicherheit", gehen Sie auf "Erweitert" und klicken Sie auf "Vollzugriff" "für den Administrator. Jetzt können Sie es vom Ressourcenmonitor aus beenden

Tut mir leid, aber er will es nicht "beenden", er will es NICHT unterbrechen. Außerdem ändert das Ändern der Berechtigungen für ntoskrnl.exe nichts. Der Systemprozess wird nicht erstellt, um eine Instanz von ntoskrnl.exe auszuführen (und es gibt kein Exe namens "System"), und die ACL eines Exes wird auch nicht an seinen Prozess weitergegeben. Der wichtige Zugriff hier ist "Suspend / Create Process" und kann nicht einmal für Dateien festgelegt werden. Jamie Hanrahan vor 10 Jahren 0
Ok, warum gehe ich in den Task-Manager und klicke mit der rechten Maustaste auf "System" und dann auf "Dateispeicherort öffnen". Es führt mich zu ntoskrnl.exe in system32. Kirill2485 vor 10 Jahren 0
Warum, wenn ich alle ntoskrnl.exe (mit den DLLs natürlich eingespritzt) ausführt, stellt es in VMWare den Systemprozess wieder her, wenn er angehalten wird. Kirill2485 vor 10 Jahren 0
@ kirill2485 Danke, aber wie Herr Jamie gesagt hat, möchte ich es nicht aussetzen können. Und wenn ich `> Tasklist / FI" PID eq 4 "/ M" in der ** Command-Line ** verwende, wird keine Antwort angezeigt Modul dafür! mehr, wenn ich mit der rechten Maustaste auf `System` klicke und auf _Open file location_ klicke, öffnet sich Desktop! TheGoodUser vor 10 Jahren 0
Möglicherweise machen Sie nichts, was ich tue: https://drive.google.com/file/d/0B8cuDjumkkmQdmtteV93OHljY3c/edit?usp=sharing Kirill2485 vor 10 Jahren 0
Process Explorer arbeitet auch umgekehrt, Sie können den Zugriff verhindern Kirill2485 vor 10 Jahren 0
kirill: Sie fragen sich vielleicht warum, wenn der Systemprozess als Instanz von ntoskrnl.exe gestartet wird, wird dies nicht als "Abbild" angezeigt. Es ist ein ganz besonderer Fall. ("Idle" ist eine andere, es gibt keine idle.exe, die Leerlauf-Thread-Routine ist Teil von ntoskrnl.) Es stimmt, dass sehr viele Threads in diesem Prozess Routinen in ntoskrnl ausführen ... aber viele kommen von anderen Module. ntoskrnl wird nicht wie jedes andere Bild "ausgeführt", sondern wird einfach in den Kernel-Adressraum ALLER Prozesse abgebildet. Dies ist in _Windows Internals_ gut dokumentiert. Jamie Hanrahan vor 10 Jahren 0
TheGoodUser: Tasklist gibt Ihnen einen "realistischeren" Blick auf Dinge als der Task-Manager. Das eigentliche ImageFileName-Feld in der EPROCESS-Struktur von "System" enthält "System". Da jedoch keine system.exe vorhanden ist, wird nichts angezeigt. Dass TM Sie zu ntoskrnl.exe führt, ist auf Sonderfallcode in TM zurückzuführen. Jamie Hanrahan vor 10 Jahren 0