 |
 |
 |
 |
 |
|
Antwort
|
|
|
|
Registriert seit: 19. Sep 2003 55 Beiträge Delphi XE5 Professional |
#1
AW: Process_Terminate funktioniert nicht
15. Nov 2010, 23:25
Ja, wie vermutet.
Dann ist das Ganze wohl ziemlich aussichtlos. Darf ich fragen wie lange du für das Programm gebraucht hast? Glaub ich wär da locker nen halben Tag dran gesessen 
|
Zitat
|
Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional |
#2
AW: Process_Terminate funktioniert nicht
15. Nov 2010, 23:28
Das zeitaufwändigste war bei ihm wohl das Tippen. Probiere aus, wie lange du brauchst, um das abzutippen und du weißt, wie lange er ungefähr gebraucht hat. Den Copy- und Paste-Code kannst du vernachlässigen.
Michael
Ein Teil meines Codes würde euch verunsichern. |
|
Zitat
|
|
Registriert seit: 19. Sep 2003 55 Beiträge Delphi XE5 Professional |
#3
AW: Process_Terminate funktioniert nicht
15. Nov 2010, 23:31
Ja, wenn man mal mehr Zeit hätte den Kram vernünftig zu lernen
|
|
Zitat
|
|
Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional |
#4
AW: Process_Terminate funktioniert nicht
15. Nov 2010, 23:33
Er hat auch alles durch Selbststudium gelernt. Studiert hat er irgend so ein Ökozeugs.
Michael
Ein Teil meines Codes würde euch verunsichern. |
|
Zitat
|
|
Registriert seit: 19. Sep 2003 55 Beiträge Delphi XE5 Professional |
#5
AW: Process_Terminate funktioniert nicht
15. Nov 2010, 23:38
Bei mir ist das Studium zwar was Technisches, aber Programmierung haben wir lediglich mal C hauptsächlich für Mikrocontroller.
Und Delphi Literatur ist auch sehr dürftig in der Uni Bibliothek
|
|
Zitat
|
Registriert seit: 8. Okt 2010 Ort: Frankfurt am Main 1.234 Beiträge |
#6
AW: Process_Terminate funktioniert nicht
15. Nov 2010, 23:43
Bei mir ist das Studium zwar was Technisches, aber Programmierung haben wir lediglich mal C hauptsächlich für Mikrocontroller.
Und Delphi Literatur ist auch sehr dürftig in der Uni Bibliothek  Abgesehen davon ist die beste Methode - ohne Spott und Hohn gemeint - die Dokumentation und anderen Code zu lesen. Ich sage nicht, daß man nicht fragen soll. Aber vorher sollte man schon mal nen Tag oder länger investieren um es selber zu lösen. Programmieren habe ich komplett autodidaktisch erlernt, unmöglich ist es also nicht. Ich hoffe, in meinem Code waren keine haarsträubenden Fehler. Ansonsten hätte mein Lehrmeister versagt.
 Puh, war da welcher von dir dabei? Habe den aus dem verlinkten Beitrag genommen und durchredigiert und dann noch von  hier. Bei letzterem war vor allem wichtig zuerst das Threadtoken zu versuchen und danach das Prozeßtoken (was im Original nicht drin war).
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch) |
|
Zitat
|
|
Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional |
#7
AW: Process_Terminate funktioniert nicht
15. Nov 2010, 23:39
Ich hoffe, in meinem Code waren keine haarsträubenden Fehler. Ansonsten hätte mein Lehrmeister versagt.
Michael
Ein Teil meines Codes würde euch verunsichern. |
|
Zitat
|
|
Registriert seit: 8. Okt 2010 Ort: Frankfurt am Main 1.234 Beiträge |
#8
AW: Process_Terminate funktioniert nicht
15. Nov 2010, 23:35
Nö, habe mir das meiste zusammenkopiert, auch wenn die Fehler im kopierten Code teils haarsträubend waren und ich deswegen ein paar Korrekturen vornehmen mußte. Aber insgesamt vielleicht 30min mit mehreren Testläufen in einer VM.
Hatte echt keinen Bock den Code von Null an neu zu schreiben
Code:
Wie man sieht benutzt das Ding Hooks direkt im Kernelimage (all mit PAGE beginnenden Zeilen) sowie irgendwas auf den Maus- und den Tastaturgeräten. Damit läßt es sich als Rootkit einordnen.
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-11-15 23:30:37 Windows 5.1.2600 Service Pack 3 Running: dqhzz1me.exe; Driver: C:\DOCUME~1\User\LOCALS~1\Temp\agtdqpob.sys ---- System - GMER 1.0.15 ---- SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwClose [0xB20ED80E] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwCreateKey [0xB20ED604] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwDeleteKey [0xB20ED4AC] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwDeleteValueKey [0xB20ED4F2] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwEnumerateKey [0xB20ED3F2] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwEnumerateValueKey [0xB20ED34E] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwFlushKey [0xB20ED446] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwLoadKey [0xB20ED972] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwOpenKey [0xB20ED7D0] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwQueryKey [0xB20ED03E] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwQueryValueKey [0xB20ED166] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwSetValueKey [0xB20ED28A] SSDT \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS ZwUnloadKey [0xB20EDAC2] ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!KeUnstackDetachProcess + 186 804F77F2 4 Bytes CALL B1D3C371 \??\C:\WINDOWS\system32\drivers\EagleNT.sys PAGE ntkrnlpa.exe!NtDeviceIoControlFile + 26 8056E4E8 4 Bytes CALL B1D3C751 \??\C:\WINDOWS\system32\drivers\EagleNT.sys PAGE ntkrnlpa.exe!ZwWriteFileGather + 33D2 80575CAA 4 Bytes CALL B1D3C951 \??\C:\WINDOWS\system32\drivers\EagleNT.sys PAGE ntkrnlpa.exe!ZwReadVirtualMemory + 8 805A979C 4 Bytes CALL B1D3CC01 \??\C:\WINDOWS\system32\drivers\EagleNT.sys PAGE ntkrnlpa.exe!ZwWriteVirtualMemory + 8 805A98A6 4 Bytes CALL B1D3CD51 \??\C:\WINDOWS\system32\drivers\EagleNT.sys PAGE ntkrnlpa.exe!NtClose + 19 805B1CE1 4 Bytes CALL B1D3C891 \??\C:\WINDOWS\system32\drivers\EagleNT.sys PAGE ntkrnlpa.exe!NtOpenProcess + B 805C132F 4 Bytes CALL B1D3C9A1 \??\C:\WINDOWS\system32\drivers\EagleNT.sys PAGE ntkrnlpa.exe!ZwSetLdtEntries + ECA 805CAAC4 4 Bytes CALL B1D3CEA1 \??\C:\WINDOWS\system32\drivers\EagleNT.sys ? C:\WINDOWS\system32\Drivers\PROCMON20.SYS The system cannot find the file specified. ! ? C:\WINDOWS\system32\Drivers\PROCEXP141.SYS The system cannot find the file specified. ! ? C:\WINDOWS\system32\drivers\EagleNT.sys The system cannot find the file specified. ! ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\SearchIndexer.exe[544] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- Device \Driver\Kbdclass \Device\KeyboardClass0 EagleNT.sys Device \Driver\Kbdclass \Device\KeyboardClass1 EagleNT.sys Device \Driver\Mouclass \Device\PointerClass0 EagleNT.sys Device \Driver\Mouclass \Device\PointerClass1 EagleNT.sys ---- EOF - GMER 1.0.15 ----
Code:
... ist das eigentliche Problem
PAGE ntkrnlpa.exe!NtOpenProcess + B 805C132F 4 Bytes
Er hat auch alles durch Selbststudium gelernt. Studiert hat er irgend so ein Ökozeugs.
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch) |
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Hybrid-Darstellung
