Hallo! Z.B. Virenprogramme können die Ausführung eines Programms verhindern. Kann ich ebenso von einem Delphi-Programm aus den Start eines x-beliebigen Programms verhindern?

Beispiel: Obwohl der Anwender im Explorer auf Programm XY doppelklickt, wird es nicht gestartet, sondern mein Programm wird stattdessen benachrichtigt. Mein Programm kann dann z.B. etwas tun (z.B. ein anderes inkompatibles Programm beenden) und dann Programm XY starten.

Die Frage stellte sich mir auch mal. Ich hatte vor über 10 Jahren einen 0190-Dialer-Killer programmiert der nach einer sehr einfachen aber auch sehr wirkungsvollen Art Dialer erkannte. Dabei bin ich nicht tief in das System eingedrungen, sondern reagierte auf gestartete Programme und beendete sie sofort, d .h. ich hab die aktuelle Prozesse überwacht und etwa 1/10 Sekunde nach dem Start das Programm analysiert und bei Bedarf beendet.

Nun bin ich auch ehrlich, bei 0190 Dialern reichte die Zeit, denn die Zeit war zu kurz um Schaden anzurichten. Ich hab das Programm paar Jahre selbst genutzt und in der Zeit keinen erfolgreichen Dialerstart erlebt aber sehr viele Kills. Bei Windows 98 und IE war es für Dialer sehr einfach auf das System zu kommen. Rechne ich noch die Starts der Dialer die mir zum Testen zugeschickt wurden, so habe ich durch Selbstversuch über 100 Dialer ausgeführt.

Allerdings arbeiten Virenscanner doch anders.

Es müsste doch so etwas wie einen "System-Hook" geben, der die Ausführung eines bestimmten beliebigen Programms gar nicht erst zulässt?

Hi,

das hier könnte ein Startpunkt sein. Scheint aber auf einem Treiber zu basieren.

Die Antivirenhersteller haben es in so fern einfacher, da sie eh schon bis über über beide Ohren in der System stecken.

Meine Beobachtungen zeigen, dass sich der Virenscanner u. a. irgendwie vor den Prozessstart setzt.

Mein erster Ansatz wäre mit SetWindowsHookEx und WH_SHELL.

Also ich hatte es mal mit eine dll gemacht, die in jeden Prozess injected wurde und dann den Programmaufruf abgefangen hat um in diesen Prozess die dll wieder zu injecten. Hatte das Problem das das System etwas langsam wurde dadurch. Ich kann die mal raussuchen.

habs gefunden http://www.delphipraxis.net/156364-d...-moeglich.html

Mmh, ich hab das Gefühl, dass das zuverlässig und effizient nur auf Kernel-Ebene geht. Gibt es denn keine Kernel-Hooks?

SSDT Hooks sind seit Win7 64 bit und generell seitdem es das PatchGuard System im Kernel gibt, nicht mehr wirklich anwendbar, soweit ich weiß.