Programm soll nicht im Taskmanager als Prozess erscheinen
-
Hallo,
ist es möglich, ein C++-Programm zu starten, ohne dass dieses Programm im Taskmanager unter Anwendungen oder Prozesse erscheint?
Zweck: Das Programm soll nicht über den Taskmanager geschlossen werden können.
Oder gibt es dazu eine einfachere Lösung? (z.B. rechtemäßig, sodass z.B. nur ein Administrator den Prozess beenden kann).Danke im voraus!!!
-
Das geht unter Win9x mit RegisterService
unter win2k und xp musst du es mit hooks machen
-
sowas ähnliches gab es glaube ich vor kurzem schonmal...
da hieß es, man solle das programm mit administartions-rechten installieren und dann für die unteren benutzer das programm "unberührbar" machen (handelte sich um winXP).wenn du dich in der richtung umsiehst, findste bestimmt was
-
haste mal nen link?
-
hm also erstmal http://www.c-plusplus.net/forum/viewtopic-var-t-is-118466-and-postdays-is-0-and-postorder-is-asc-and-highlight-is-%2Aadmin%2A+%2Axp%2A-and-start-is-0.html (falls du die suche nicht nutzen willst
)dann gabs da nochwas, ich suche mal
-
teacherwilli schrieb:
Hallo,
ist es möglich, ein C++-Programm zu starten, ohne dass dieses Programm im Taskmanager unter Anwendungen oder Prozesse erscheint?
Zweck: Das Programm soll nicht über den Taskmanager geschlossen werden können.Und warum?
Oder gibt es dazu eine einfachere Lösung? (z.B. rechtemäßig, sodass z.B. nur ein Administrator den Prozess beenden kann).
Schreib einen Dienst.
-
Schau Dir einfach mal den Prozess-Explorer an, dann siehst Du welche Prozesse der anzeigt und welcher der Task-Manager anzeigt. Somit sieht Du auch gleich: EIn Prozess lässt sich nicht 100% ig verstecken (es sei Du Du injiziert einen Remote-Thread in einen anderen und lädst dort nur die DLL).
-
Jochen Kalmbach schrieb:
Schau Dir einfach mal den Prozess-Explorer an, dann siehst Du welche Prozesse der anzeigt und welcher der Task-Manager anzeigt.
Was meinst du?
-
Jochen Kalmbach schrieb:
EIn Prozess lässt sich nicht 100% ig verstecken (es sei Du Du injiziert einen Remote-Thread in einen anderen und lädst dort nur die DLL).
dann haste aber keinen eigenen prozess sondern musst dir alles mit dem host-prozess teilen

aber, naja, vielleicht reicht dir das ja.
-
Somit ist er zumindest versteckt
(ich brauch sowas sowieso nicht)
-
Prozess Explorer:
http://www.sysinternals.com/Utilities/ProcessExplorer.html
-
Jochen Kalmbach schrieb:
Prozess Explorer:
http://www.sysinternals.com/Utilities/ProcessExplorer.htmlJa, den kenne ich. Aber ich weiß trotzdem noch nicht was du mit der Aussage meinst. Wo ist der Unterschied zwischen dem, was der Process Explorer anzeigt zu dem, was der Taskmanager anzeigt?

-
masterofx32 schrieb:
Ja, den kenne ich. Aber ich weiß trotzdem noch nicht was du mit der Aussage meinst. Wo ist der Unterschied zwischen dem, was der Process Explorer anzeigt zu dem, was der Taskmanager anzeigt?

Ich frage mich das gerade auch
Ich dachte der würde mehr anzeigen... aber da hat mich wohl meine Erinnerung getäuscht, sorry!
-
Jochen Kalmbach schrieb:
masterofx32 schrieb:
Ja, den kenne ich. Aber ich weiß trotzdem noch nicht was du mit der Aussage meinst. Wo ist der Unterschied zwischen dem, was der Process Explorer anzeigt zu dem, was der Taskmanager anzeigt?

Ich frage mich das gerade auch
Ich dachte der würde mehr anzeigen...was? der zeigt dir z.b alle objekte des nt object managers an ... oder mach mal rechte maustaste->properties

-
net schrieb:
Jochen Kalmbach schrieb:
masterofx32 schrieb:
Ja, den kenne ich. Aber ich weiß trotzdem noch nicht was du mit der Aussage meinst. Wo ist der Unterschied zwischen dem, was der Process Explorer anzeigt zu dem, was der Taskmanager anzeigt?

Ich frage mich das gerade auch
Ich dachte der würde mehr anzeigen...was? der zeigt dir z.b alle objekte des nt object managers an ... oder mach mal rechte maustaste->properties

Es ging ja in dem Fall nur um die Prozesse, eben passend zum Thema, ob man einen Prozess vor solchen Abfragen verstecken kann.
Man könnte natürlich auch die ACL des Prozesses verändern um allen Nicht-Administratoren das Beenden des Prozesses zu unterbinden, aber das würde ja nicht bringen, da das gewaltsame Beenden eines Prozesses sowieso eine administrative Notsituation ist, die auch nicht unterbunden werden sollte. Und um Benutzer, die so dumm sind, alle möglichen Prozesse, die gerade mit sensiblen Aufgaben beschäftigt sind abzuschießen, braucht man sich als Programmierer eigentlich nicht zu kümmern.

-
ok, aber um aufs thema zurückzukommen: hier -> http://www.rootkit.com/
gibts bestimmt ein paar schöne beispiele zum verstecken von prozessenKernel-mode Rootkits
Kernel-mode rootkits can be even more powerful since, not only can they intercept the native API in kernel-mode, but they can also directly manipulate kernel-mode data structures. A common technique for hiding the presence of a malware process is to remove the process from the kernel's list of active processes. Since process management APIs rely on the contents of the list, the malware process will not display in process management tools like Task Manager or Process Explorer.
-
sorry, doppelpost
-
Naja, kernelseitig ist ja (noch) sowieso fast alles möglich. Aber welcher Windows-Nutzer arbeitet schon als Administrator am PC, sodass sich ein Rootkit ohne Kennworteingabe installieren könnte!?

-
net schrieb:
ok, aber um aufs thema zurückzukommen: hier -> http://www.rootkit.com/
gibts bestimmt ein paar schöne beispiele zum verstecken von prozessenUnd wenn wir schon beim Thema sind:
http://www.sysinternals.com/Utilities/RootkitRevealer.html

(PS: Dein Quote hast Du doch von der Seite, oder?)
-
masterofx32 schrieb:
Naja, kernelseitig ist ja (noch) sowieso fast alles möglich. Aber welcher Windows-Nutzer arbeitet schon als Administrator am PC, sodass sich ein Rootkit ohne Kennworteingabe installieren könnte!?

Ich arbeite als Administrator am PC, jetzt werde ich bestimmt noch hören wie blöd bin ich
