4. Prozess Sperren.

Prozess Sperren.

  • N

    Services sind auch prozesse, die man natürlich beenden kann 🙂
    Ich habe auch ein service geschrieben: nein die kann man beenden. Bei zlclient.exe (zone alarm) handelt es sich auch um ein Prozess, den kann man aber selbst MIT administratorrechten nicht beenden kann.

    EDIT: Ich werde mal eben Zone Alarm installieren und versuchen den prozess zu beenden, danach poste ich hier die meldung die der taskmanager zeigt.

    0
  • N

    "zugriff verweigert" steht da, obwohl ich administratorrechte habe

    0
  • ?

    neoexpert schrieb:

    Services sind auch prozesse, die man natürlich beenden kann 🙂
    Ich habe auch ein service geschrieben: nein die kann man beenden. Bei zlclient.exe (zone alarm) handelt es sich auch um ein Prozess, den kann man aber selbst MIT administratorrechten nicht beenden kann.

    EDIT: Ich werde mal eben Zone Alarm installieren und versuchen den prozess zu beenden, danach poste ich hier die meldung die der taskmanager zeigt.

    Ichg bin mir nicht sicher, aber Dienste kann man nicht über den ProzessExplorer oder ähnlichen Programmen abschiessen. Man muss sie eben beenden. Von was für einen Betriebssystem reden wir überhaupt? Unter Vista musst du auch als Administrator erst Administratorenrechte anfordern, um als Administrator agieren zu können.

    0
  • J

    Du kannst die ACL Deines Prozesses verändern. Das macht es zumindest schwerer den Prozess zu beenden. Aber jemand anders kann die ACL wieder korrigieren und den Prozess trotzdem beenden...

    0
  • N

    Klar kann man dienste beenden, man braucht nur administarorrechte
    nun wie zlclient.exe funktioniert würde mich interessieren.

    Wir reden von nt-ähnlichen systemen

    0
  • G

    ZoneAlarm wird aber als "Systemprozess" gestartet, und den kann man mit den "Adminrechten" die du hast nicht beenden. Wenn du dir aber Systemrechte gibst, dann kannste auch ZoneAlarm beenden.

    0
  • N

    wow, das klingt schon vielversprechender. Wie kann man denn den Programmen systemrechte geben?

    0
  • ?

    Du kannst den Prozess nicht beenden, weil bestimmte Funktionen in der SSDT gehookt sind. Egal welche Rechte du hast, du wirst ihn niemals beenden koennen, zu mind nicht im Usermode, mit nem Treiber ist das kein Problem.

    0

  • neoexpert schrieb:

    wow, das klingt schon vielversprechender. Wie kann man denn den Programmen systemrechte geben?

    Du kannst mal versuchen es über den Scheduler (Control Panel -> Schedules Tasks) zu starten, und dort als Userkonto "SYSTEM" einzutragen (kein Passwort).
    Ist der einfachste mir bekannte Weg ein Programm unter "NT AUTHORITY\SYSTEM" zu starten.

    @alle falsch: ich will nicht widersprechen (denn ich weiss schlicht und ergreifend nicht ob das stimmt was du behauptest), ich wollte nur die Frage von neoexpert beantworten.

    0
  • ?

    Vielleicht hilft das hier weiter:
    http://www.hackerboard.de/thread.php?threadid=18268&sid=
    Damit kann man die Prozesse aus dem Taskmanager verstecken.

    0
  • N

    ja schon interessant, ich würde aber gerne ohne die dll sowas realisieren, sondern im programm selber

    0
  • J

    Replay: Entferne die ACL...

    0
  • N

    Wie entfernt man die ACL? (Access Control List)

    0
  • ?

    Jetzt mal ehrlich es werden im Task Manager neben jedem Prozess die Prozessbesitzer angezeigt.
    Willst du mir ernsthaft erzählen, dass dir nicht auffiel, dass neben dem Zone-Alarm-Virus "SYSTEM" stand? Spätestens bei der gleichen Zugriff verweigert Meldung wie bei den anderen SYSTEM-Prozessen hätte jeder normale Mensch dort mal nachgesehen.

    Und natürlich kann man als Treiber jeden Prozess killen, ein Treiber arbeitet ja schließlich im Kernel-Mode. Da gibts keine Zugriffskontrollen, deswegen darf ja auch nicht jeder einen Treiber installieren 💡

    Starte die Anwendung doch einfach wie vorgeschlagen über SYSTEM bzw. als SYSTEM, so macht der Zone-Virus das auch.

    0
  • ?

    Du kannst töten ANY userland process wenn nur CreateRemoteThread ist nicht gehookt.
    1. Find PID of csrss.exe (CreateToolhelp32Snapshot, EnumProcesses, oder am besten CsrGetProcessId). Csrss.exe has open handles with full access rights to all processes, see in process explorer.
    2. Enumerate handles from csrss: (simplest) for (HANDLE h=4; h<65536; h+=4)
    3. Use DuplicateHandle to copy every handle to your process
    4. Use NtQueryObject(ObjectTypeInformation) to skip non-process handles
    5. Use NtQueryObject(ObjectNameInformation) to comapare handle name with zonealarm module (exe name).
    6. Call CreateRemoteThread with entry point in ExitProcess.
    7. CloseHandles and break if zonealarm was found.

    To start a process under system account, use the sheduler service. Call NetScheduleJobAdd api to create a task. Call CoCreateInstance(CLSID_CTaskScheduler, IID_ITaskScheduler) then use Activate and Run methods to start the task.
    Or call system("at stunde:minte /interactive program.exe");
    Taskplanner service soll gestarted sein.

    0
  • N

    Ich verstehe nicht warum viele statt Zone Alarm "Zone Alarm Virus" schreiben. Kann mir das einer erklären? Die Software müsste doch eigentlich nichts böses tun. Das wird sogar bei Chip zum download angeboten (obwohl ich die Software nicht mag).

    0
  • ?

    wenn du die dinger Versteckst kannst du sie immer noch beenden...

    0
  • ?

    neoexpert schrieb:

    Ich verstehe nicht warum viele statt Zone Alarm "Zone Alarm Virus" schreiben. Kann mir das einer erklären? Die Software müsste doch eigentlich nichts böses tun. Das wird sogar bei Chip zum download angeboten (obwohl ich die Software nicht mag).

    da hast du schon den ersten Grund Chip bietet ihn an...
    2. ZAV vergräbt sich auf immer und ewig im System
    3. ZAV ist schön für Werbung
    4. man kann ZAV vergessen!

    0
Anmelden zum Antworten