Re: Alle Rechner-Prozesse Anzeigen Lassen
 

Bei Ring0 Rootkits, ohne Treiberprogrammierung, und ohne genialem Windows Sysinternal know how, nicht die geringste Chance,
etwas zu finden.

Re: Alle Rechner-Prozesse Anzeigen Lassen
 

Gibt es demnach noch verstecktere Prozesse als die, die der Processexplorer der Sysinternals und auch der Prozeßschnappschuß zutage fördern?

Re: Alle Rechner-Prozesse Anzeigen Lassen
 

Schönen Guten Morgen,

danke für das zahlreiche Echo auf meine Anfrage.

Um welche Prozesse geht es mir eigentlich?
Wenn es eine Möglichkeit gibt, Prozesse vor dem standardmäßig im Betriebssystem
mitgeliefertem TaskManager zu verstecken, dann muß es doch auch eine Möglichkeit
geben, mit Routinen des Betriebssystemes diese zu finden. Klar, daß es keine
100%ig Lösung geben kann, weil hier zwei Gruppen von Leuten gegeneinander antreten.

Und klar ist auch, daß eine riesige Interessengemeinschaft, ich nenne die mal
AntiVir-Software-Hersteller bestrebt sind, ihre herausgefundenen Erkenntnisse
für sich zu behalten, um Ihre Jobs zu sichern.

Auf der einen Seite sind es aber doch gerade Leute mit Ihrem Wissen über die
Betriebssysteme, die solche Sachen schreiben können. Weil es eben Software ist,
kann man alles damit machen - und daß Shareware-Software auch Hintertürchen
verwenden wird, um irgendwelchen Prozesse auf dem eigenen PC laufen zu lassen,
möchte ich hier nicht bewerten.

Zu Astat, ja Du (Sie) hast es auf den Punkt gebracht, was ich meinte mit "allen"
Prozessen.

@ Astat #9
Doch die Frage nach der Ethik solcher Mechanismen steht doch sofort
im Hintergrund, wenn es Möglichkeiten gibt, alles aufzudecken oder
mitzuloggen, was der eigene PC so treibt, während man in Ruhe und
ahnungslos seine Arbeit damit erledigt.

Mit freundlichen Grüßen
Manfred Zenns

AW: Re: Alle Rechner-Prozesse Anzeigen Lassen
 

Bißchen spät meine Antwort...
an dich Kaki, aber für ein großes DANKE ist es nie zu spät.

Werde mich durch deine Seiten mal durchschmökern.
Vielen vielen Dank und bis Demnächst.

MfG Manfred Zenns

AW: Re: Alle Rechner-Prozesse Anzeigen Lassen
 

http://www.delphibasics.info/home/de...hunterbyms-rem

detector for hidden processes. It has several listing methods to detect processes, making use of native apis and kernel mode drivers (The screenshot details complete available options). The article shows how the author of Process Hunter, Ms-Rem, created the application, describing the concepts used in detail alongside code executing those concepts.

Full source code of Process Hunter is attached at the bottom of the page.

AW: Re: Alle Rechner-Prozesse Anzeigen Lassen
 

Mal als Ansatzpunkt: welche Systemdaten haben denn zum Beispiel noch Prozess-IDs assoziiert? Um mal einfache Beispiele zu nennen: die Thread-Tabelle, etwas komplizierter werdend die Tabellen von File Handles, Mutexes, Semaphores, etc. (prinzipiell alle Handles) - tauchen dort PIDs auf, die nicht in der Prozessliste auftauchen, ist ein versteckter Prozess identifiziert.

Und mal mit dem Debugger anschauen, was die Win32-Funktionen zum Auflisten von Prozessen an unterliegenden NT-Funktionen aufrufen und es mit jenen direkt probieren - gibt es Differenzen? Billige Rootkits verstecken sich ggfls. nur auf Win32-Ebene.

Signaturbasierte Suchen können zudem etwa nachschauen, ob Mutexe/Semaphore mit fixem Namen existieren - bringt aber nur gegen jeweils konkrete Rootkits etwas.

Der Punkt, warum sich zu sowas kaum Code findet, dürfte sein, dass der Zeitaufwand hier einfach sehr hoch ist - viele Betriebssystemfunktionen sind offiziell far nicht und inoffiziell nur teilweise dokumentiert - und daher eben hauptsäclich für berufliche Anwender "interessant", die schon aus arbeitsvertraglicher Sicht nicht einfach Code zur Verfügung stellen können.