Programm soll nicht im Taskmanager als Prozess erscheinen
-
Somit ist er zumindest versteckt
(ich brauch sowas sowieso nicht)
-
Prozess Explorer:
http://www.sysinternals.com/Utilities/ProcessExplorer.html
-
Jochen Kalmbach schrieb:
Prozess Explorer:
http://www.sysinternals.com/Utilities/ProcessExplorer.htmlJa, den kenne ich. Aber ich weiß trotzdem noch nicht was du mit der Aussage meinst. Wo ist der Unterschied zwischen dem, was der Process Explorer anzeigt zu dem, was der Taskmanager anzeigt?

-
masterofx32 schrieb:
Ja, den kenne ich. Aber ich weiß trotzdem noch nicht was du mit der Aussage meinst. Wo ist der Unterschied zwischen dem, was der Process Explorer anzeigt zu dem, was der Taskmanager anzeigt?

Ich frage mich das gerade auch
Ich dachte der würde mehr anzeigen... aber da hat mich wohl meine Erinnerung getäuscht, sorry!
-
Jochen Kalmbach schrieb:
masterofx32 schrieb:
Ja, den kenne ich. Aber ich weiß trotzdem noch nicht was du mit der Aussage meinst. Wo ist der Unterschied zwischen dem, was der Process Explorer anzeigt zu dem, was der Taskmanager anzeigt?

Ich frage mich das gerade auch
Ich dachte der würde mehr anzeigen...was? der zeigt dir z.b alle objekte des nt object managers an ... oder mach mal rechte maustaste->properties

-
net schrieb:
Jochen Kalmbach schrieb:
masterofx32 schrieb:
Ja, den kenne ich. Aber ich weiß trotzdem noch nicht was du mit der Aussage meinst. Wo ist der Unterschied zwischen dem, was der Process Explorer anzeigt zu dem, was der Taskmanager anzeigt?

Ich frage mich das gerade auch
Ich dachte der würde mehr anzeigen...was? der zeigt dir z.b alle objekte des nt object managers an ... oder mach mal rechte maustaste->properties

Es ging ja in dem Fall nur um die Prozesse, eben passend zum Thema, ob man einen Prozess vor solchen Abfragen verstecken kann.
Man könnte natürlich auch die ACL des Prozesses verändern um allen Nicht-Administratoren das Beenden des Prozesses zu unterbinden, aber das würde ja nicht bringen, da das gewaltsame Beenden eines Prozesses sowieso eine administrative Notsituation ist, die auch nicht unterbunden werden sollte. Und um Benutzer, die so dumm sind, alle möglichen Prozesse, die gerade mit sensiblen Aufgaben beschäftigt sind abzuschießen, braucht man sich als Programmierer eigentlich nicht zu kümmern.

-
ok, aber um aufs thema zurückzukommen: hier -> http://www.rootkit.com/
gibts bestimmt ein paar schöne beispiele zum verstecken von prozessenKernel-mode Rootkits
Kernel-mode rootkits can be even more powerful since, not only can they intercept the native API in kernel-mode, but they can also directly manipulate kernel-mode data structures. A common technique for hiding the presence of a malware process is to remove the process from the kernel's list of active processes. Since process management APIs rely on the contents of the list, the malware process will not display in process management tools like Task Manager or Process Explorer.
-
sorry, doppelpost
-
Naja, kernelseitig ist ja (noch) sowieso fast alles möglich. Aber welcher Windows-Nutzer arbeitet schon als Administrator am PC, sodass sich ein Rootkit ohne Kennworteingabe installieren könnte!?

-
net schrieb:
ok, aber um aufs thema zurückzukommen: hier -> http://www.rootkit.com/
gibts bestimmt ein paar schöne beispiele zum verstecken von prozessenUnd wenn wir schon beim Thema sind:
http://www.sysinternals.com/Utilities/RootkitRevealer.html

(PS: Dein Quote hast Du doch von der Seite, oder?)
-
masterofx32 schrieb:
Naja, kernelseitig ist ja (noch) sowieso fast alles möglich. Aber welcher Windows-Nutzer arbeitet schon als Administrator am PC, sodass sich ein Rootkit ohne Kennworteingabe installieren könnte!?

Ich arbeite als Administrator am PC, jetzt werde ich bestimmt noch hören wie blöd bin ich

-
Jochen Kalmbach schrieb:
(PS: Dein Quote hast Du doch von der Seite, oder?)
richtig;)