Prozess unter Win2000/XP vor dem Taskmanager verstecken (??)

**pjuk**

also die idee mit dem svchost.exe werd ich aufgreifen, super idee vorallem weil eben die meisten Nutzer nicht sicher sind was diese Datei beinhaltet

**static_cast**

Da steht sehr gut beschrieben was es ist und wie es umgangen bzw. ausfindig gemacht werden kann

http://www.sysinternals.com/ntw2k/fr...itreveal.shtml

**alcaeus**

Zitat von pjuk:

also die idee mit dem svchost.exe werd ich aufgreifen, super idee vorallem weil eben die meisten Nutzer nicht sicher sind was diese Datei beinhaltet

Da würde ich vorsichtig sein, denn AFAIR gibt es aber schon einige Virenscanner, die zuschlagen falls eine svchost.exe aus einem Verzeichnis anders als C:\Windows\system32 läuft. Diese Sache ist v.a. bei Virenprogrammierern beliebt, um das Abschießen der Viren zu verhindern

Greetz
alcaeus

**HeikoAdams**

Zitat von Luckie:

Nein ist nicht möglich. warum sollte man einen Prozess auch verstecken wollen? Ich wüßte nur einen Grund und dafür wirst du hier keine Unterstützung finden.

Falls Du Ad/Spyware meinst: Nein, das habe ich nicht vor. Ich soll für nen Freund nen Programm schreiben, das dafür sorgt, das seine Kinder maximal 60 Minuten am Stück vor dem PC hocken. Aber da die Kiddies von heute nicht blöd sind, wäre es hilfreich, wenn ich den Prozess verstecken könnte.
Die Lösung das ganze als Dienst zu realisieren ist aber auch nicht schlecht. Werd's mir mal durch den Kopf gehen lassen.

Gruss

Heiko

**Luckie**

Zitat von pjuk:

also die idee mit dem svchost.exe werd ich aufgreifen, super idee vorallem weil eben die meisten Nutzer nicht sicher sind was diese Datei beinhaltet

Die svchost Prozesse laufen immer unter dem Systemkonto. Gerade am Samstag habe ich das System von meiner Freundin von Viren befreit. Das erste, was ich gemacht habe war, ich habe mir die Benutzer der Prozesse anzuzeigen lassen. Das geht mit dem Taskmamanger von XP. Der Taskmanager von Windows2000 kann dies leider nicht, aber es gibt andere Prozessbetrachter, die das auch unter Windows2000 können. Ein svchost Prozess, der nicht unter dem Systemkonto läuft, ist also sofort verdächtig.

**Luckie**

Zitat von HeikoAdams:

Zitat von Luckie:

Nein ist nicht möglich. warum sollte man einen Prozess auch verstecken wollen? Ich wüßte nur einen Grund und dafür wirst du hier keine Unterstützung finden.

Falls Du Ad/Spyware meinst: Nein, das habe ich nicht vor. Ich soll für nen Freund nen Programm schreiben, das dafür sorgt, das seine Kinder maximal 60 Minuten am Stück vor dem PC hocken. Aber da die Kiddies von heute nicht blöd sind, wäre es hilfreich, wenn ich den Prozess verstecken könnte.

Dann leg für die Kinder einen Benutzer an und weiß mit dem Benutzer Zeiten zu, an dem er sich im System einloggen kann. So was bringt Windows schon von haus aus mit. Eventuell kann man sogar nur die Dauer einstellen, anstatt feste Uhrzeiten.

Zitat:

Die Lösung das ganze als Prozess zu realisieren ist aber auch nicht schlecht. Werd's mir mal durch den Kopf gehen lassen.

Diese Aussage zeigt mir, dass du ehrlich gesagt nicht weißt, was ein Prozess ist oder meinst du einen Dienst?

**Phoenix**

Das einfachste wird sein, einen Dienst zu erstellen.
Der Dienst wird beim Hochfahren vom Systemkonto gestartet, liest seine Konfiguration geschickterweise aus einer .ini - Datei in einem Verzeichnis, das nur für den Admin schreibrechte bereithält und gut ist.

Ein normaler User darf den Dienst-Prozess nicht abschiessen. Konfigurieren lässt sich der Dienst über die .ini.

Und dann gibt es immer noch die Option, einen Client für den Dienst zu schreiben, der z.B. über TCP/IP mit dem Dienst kommuniziert und so eine Oberfläche für den Dienst bereitstellt.

Ich denke, das ist die sauberste Variante.

**noch_ein_hannes**

Hey, war der Smiley hinter meinem Tip "svchost.exe" nicht deutlich genug? Das habe ich gar nicht so ernst gemeint ...

Ich hatte auch mal nach RootKit geforscht und bin dann

hier (incl. Delphi-Source) gelandet. Das Tool scheint recht gut zu sein. Dieser Weg funktioniert aber nur, wenn man es selbst auf dem Zielrechner einrichtet bzw. einrichten darf.

**HeikoAdams**

Zitat von Luckie:

Diese Aussage zeigt mir, dass du ehrlich gesagt nicht weißt, was ein Prozess ist oder meinst du einen Dienst?

Ich meinte einen Dienst. Hatte mich verschrieben, den Beitrag aber schon geändert - Du warst einfah zu schnell für mich

Gruss

Heiko

**perle**

[vorsichtigsei]du könntest auch die TerminateProcessApi hooken und damit verhindern , dass im TM überhaupt ein Programm beendet wird....Oder du sperrst den Taskmanager ganz (geht ja recht komfortabel über die Registry)
[/vorsichtigsei]

Prozess unter Win2000/XP vor dem Taskmanager verstecken (??)

Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken

Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken

Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken

Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken

Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken

Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken

Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken

Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken

Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken

Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken

Forumregeln

pjuk Registriert seit: 14. Okt 2004 85 Beiträge	#11 Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken 8. Mär 2005, 10:14 also die idee mit dem svchost.exe werd ich aufgreifen, super idee vorallem weil eben die meisten Nutzer nicht sicher sind was diese Datei beinhaltet Alexander K. chris : leben ist leben lassen....wunder dich also nicht über die schaben & spinnen in meiner küche!
	Zitat

perle Registriert seit: 8. Apr 2004 183 Beiträge Delphi 7 Enterprise	#20 Re: Prozess unter Win2000/XP vor dem Taskmanager verstecken 8. Mär 2005, 12:39 [vorsichtigsei]du könntest auch die TerminateProcessApi hooken und damit verhindern , dass im TM überhaupt ein Programm beendet wird....Oder du sperrst den Taskmanager ganz (geht ja recht komfortabel über die Registry) [/vorsichtigsei]
	Zitat