Re: Prozesse vor dem Taskmanager verstecken (Diskussion)
 

weil die Dateiheuristik (auch auf mittlerer Stufe) "verdächtige Verhaltensweisen" erkennt, die typisch für Viren sind. Dazu gehört dann scheinbar auch das Verstecken eines Prozesses ^^

Re: Prozesse vor dem Taskmanager verstecken (Diskussion)
 

Das wieso bezog sich wohl eher auf das Verstecken. ;)

Re: Prozesse vor dem Taskmanager verstecken (Diskussion)
 

Ich habe zu Testzwecken über einen globalen NtQuerySystemInformation Hook erfolgreich ein Programm geschrieben, was meinen Prozess vor dem Taskmanager, etc versteckt, der auch mit SP3 oder auf Vista funktioniert.

Die Sache ist halt die, dass das Verstecken wirklich nicht nötig ist und wie schon erwähnt natürlich von Firewalls / Antiviren- Programmen erkannt wird.

Durch verhältnissmäßig einfache Codes kann man eigene Anwendungen auch wieder "unhooken", da es sich ja "nur" um einen Usermode Hook über DLL Injektion handelt. Schon dies ist nicht trivial. Will man sichergehen, müsste man allerdings einen SSDT Hook anbringen (welcher auch nicht komplett sicher ist) und dazu braucht man einen Treiber.

Grundsätzlich sollte man, wenn man z.b. verhindern will, dass das eigene Programm beendet wird, lieber entsprechende Berechtigungen setzen. (Meine Meinung dazu) :)