Ultima modifica:
Ho deciso di pubblicare questo piccolo strumento dopo averlo reso un minimo presentabile poiché mi è tornato utile svariate volte e ho pensato che potrebbe servire anche ad altri. Come suggerisce il nome: Harakiri, permette di far "suicidare" qualunque eseguibile presente nella lista prima ancora che possa partire, in qualunque momento si verifichi, anche se Harakiri è chiuso e il processo ha privilegi SYSTEM. Infatti il programma sfrutta un meccanismo di Windows (Image File Execution Options) per caricare Harakiri32.dll o Harakiri64.dll all'interno di un processo per nome, questa dll è super-minimal (4KB) e l'unica cosa che fa è suicidarsi, e insieme a lei il processo che l'ha caricata. La grossa differenza con il killare processi a manetta è che questo sistema è reso passivo ed efficiente dall'OS, non ha bisogno di niente in esecuzione, e l'injection della dll avviene prima che l'entrypoint sia chiamato, non permettendo nemmeno ad un istruzione di quel programma di essere eseguita.
Perché Harakiri? L'ho sviluppato appena saputo di Follina (vulnerabilità in Word), per bloccare msdt.exe dall'esecuzione (al momento non c'era patch) e per togliere bloatware dal mio HP (HpTouchpointAnalytics spyware insomma). Infatti alcune componenti di windows o driver del vendor che si autoinstallano da windows update non possono essere bloccati in altro modo. Con questo sistema i file verranno aggiornati comunque ma non potranno mai essere eseguiti.
Se ve lo stesse chiedendo non funziona contro gli antivirus, almeno con quelli buoni non dovrebbe. Il motivo è complicato ma in passato ci hanno già pensato e quindi ora hanno delle contromisure. Non rilascio il sorgente ma l'exe è in C# 20KB senza protezioni per cui potete consultarlo con qualunque decompilatore, le due dll da 4KB fanno la stessa cosa in Assembly x86 e AMD64, se lo aprite dentro un disassembler vedrete che sono a malapena una dozzina di istruzioni.
Attenzione: non ho messo nessun meccanismo di limitazione! Se usate harakiri su explorer.exe o altri exe di sistema importanti saranno problemi vostri! Non mi assumo nessuna responsabilità e non fornisco supporto in caso di danni.
Scansione AV: VirusTotal - machine learning di malwarebytes è proprio pessimo
Richiede Windows 7 o superiore (ad oggi fino a 11). L'applicazione è portatile, non richiede un setup e non sta all'avvio del pc, per fare una disinstallazione pulita è sufficiente eliminare tutti i processi dalla lista (ciò eliminerà le due copie delle dll residue in una cartella di sistema) e poi cancellare il pacchetto normalmente.
