Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   Alle Rechner-Prozesse Anzeigen Lassen (https://www.delphipraxis.net/146647-alle-rechner-prozesse-anzeigen-lassen.html)

mz23 24. Jan 2010 12:23
Alle Rechner-Prozesse Anzeigen Lassen
 
Hallo liebe DP-Gemeinde,

gibt es eine Möglichkeit, "alle" auf einem Rechner laufende Prozesse, Programme
in einem Delphi-Programm in einer Memo-Box auszugeben?

Mit "alle" meine ich nicht nur die, die ich im Task-Manager auch einsehen kann,
das Problem habe ich bereits mit euerer Hilfe gelöst, sondern wirklich alles.

Mit freundlichen Grüßen
Manfred Zenns

Luckie 24. Jan 2010 12:31
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Was sind den alle Prozesse? Und welchen Code verwendest du bisher?

Delphi-Laie 24. Jan 2010 15:20
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Zitat:
Zitat von mz23
gibt es eine Möglichkeit, "alle" auf einem Rechner laufende Prozesse, Programme
in einem Delphi-Programm in einer Memo-Box auszugeben?
Für die Prozesse gibt es den Prozeßschnappschuß („ProcessSnapShot“).

Der Unterschied zwischen Prozeß und Programm ist mir auch nicht ganz klar, sicher ist nur, daß die Prozesse ein Übermenge bzw. die Programme eine Teilmenge jeweils des anderen sind. Es gab mal bei einer diesbezüglichen Gegenfrage die Antwort, daß das, was der Taskmanager als Programme angibt, eben Programme, und was er in seiner Prozeßliste anzeigt, die Prozesse sind.

Ob das allerdings objektiv ist oder nach welchen Kriterien der Taskmanager die Prozesse in Programme und Nichtprogramme („Unprogramme“) unterteilt, ist mir leider auch nicht bekannt.

mz23 24. Jan 2010 17:16
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Hallo und Danke für die schnellen Antworten...


@ Luckie
Zitat:
Was sind den alle Prozesse? Und welchen Code verwendest du bisher?
Ich verwende hierfür bisher folgende procedure:

Delphi-Quellcode:
procedure TProcess_Unit._updateProcess;
var tmpList : TStringList;
{-} function ProcessList:TStringList;
    var PrIDs : array [0..1000] of DWORD;
        PrName : array [0..255] of Char;
        Bia : DWORD;
        i, PrCount : Integer;
        ProzessHandle : HWND;
        Modulhandle : HWND;
{-} begin
    result:=TStringList.Create;
    //result.Add('<>');
    if EnumProcesses(@PrIDs, SizeOf(PrIDs), bia) then begin
       if (Bia < sizeof(PrIDs)) then begin
          PrCount:=Bia div SizeOf(DWORD);
          for i:=0 to PrCount do begin
              ProzessHandle:=OpenProcess(PROCESS_QUERY_INFORMATION or
                                         PROCESS_VM_READ, False, PrIDS[i]);
              if (ProzessHandle <> 0) then begin
                 EnumProcessModules(ProzessHandle,
                                    @ModulHandle,
                                    SizeOf(modulhandle),
                                    Bia);
                 GetModuleFilenameEx(Prozesshandle,
                                     ModulHandle,
                                     PrName,
                                     SizeOf(PrName));
                 result.Add(ExtractFileName(PrName)+
                            ' --> '+
                            ExtractFilePath(PrName));
                 //result.Add(PrName);
                 //result.Add(ExtractFileName(PrName));
                 CloseHandle(ProzessHandle);
              end;
          end; {for i}
       end else begin
          MessageDlg('PrID-Array zu klein', mtError, [mbOk], 0)//if bia < sizeof...
       end;
    end else begin
       RaiseLastOSError(); //if enumprocesses...
    end;
{-} end;
begin
tmpList:=ProcessList;
try LBProcessList.items.assign(tmpList);
finally
    tmpList.Free;
end; {finally}
Caption:=prvCaption+_retTaskRunning(LBProcessList.Count);
end;
und hier rufe ich die procedure auf:

Delphi-Quellcode:
....
{-}
LBProcessList.Clear;
LBProcessList.MultiSelect:=True;
bevProcessList.SetBounds(8,8,4*bDX-4,bTop-bDY-16);
LBProcessList.SetBounds(8+2,8+2,4*bDX-8,bTop-bDY-20);
LBProcessList.ScrollWidth:=AWidth;
LBProcessList.Sorted:=True;
LBProcessList.ShowHint:=AisAllowHints;
LBProcessList.Hint:=_retHint(062); {-062: Running Tasks Under Your Login-}
{-}
_updateProcess;
{-}
....
@Delphi-Laie
Zitat:
Für die Prozesse gibt es den Prozeßschnappschuß („ProcessSnapShot“).
ich werde das mal ausprobieren und mich dann wieder melden.

Vielen Dank für die prompte Hilfe.
Mit freundlichen Grüßen
Manfred Zenns

Der.Kaktus 24. Jan 2010 18:01
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Hallo,

vielleicht hilft Dir diese Seite madcollection speziell madshell

Luckie 24. Jan 2010 18:08
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Und welche Prozesse fehlen da jetzt angeblich?

Astat 24. Jan 2010 19:43
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Zitat:
Zitat von Luckie
Und welche Prozesse fehlen da jetzt angeblich?
Hallo Luckie, naja die Versteckten, also die Ring0 Dinger. :witch:

lg. Astat

Luckie 24. Jan 2010 19:44
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Kannst du mal welche benennen? Welche Prozesse laufen denn in Ring0?

Astat 24. Jan 2010 19:52
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Zitat:
Zitat von Luckie
Kannst du mal welche benennen? Welche Prozesse laufen denn in Ring0?
RootKits, Treiber, VMS (Naja ist eigentlich Ring0 in Ring1 verschoben), und alle anderen deren Namen ich nicht kenne.

Bernhard Geyer 24. Jan 2010 20:53
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Zitat:
Zitat von Astat
RootKits
Und dies werden wohl alles daran setzen das du sie nicht findest. Selbst Virenscanner tun sich mit denen schwer und versagen des öfteren. Dann wird es wohl keine API für deren erkennung geben. Du kannst ja mal googeln ob du aus den verfügbaren Sourcecode zu Quelloffenen Rootkit-Remove Kits was herausfindest.

Astat 24. Jan 2010 21:29
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Zitat:
Zitat von Bernhard Geyer
Du kannst ja mal googeln ob du aus den verfügbaren Sourcecode zu Quelloffenen Rootkit-Remove Kits was herausfindest.
Bei Ring0 Rootkits, ohne Treiberprogrammierung, und ohne genialem Windows Sysinternal know how, nicht die geringste Chance,
etwas zu finden.

Delphi-Laie 24. Jan 2010 22:07
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Zitat:
Zitat von Astat
Zitat:
Zitat von Luckie
Und welche Prozesse fehlen da jetzt angeblich?
Hallo Luckie, naja die Versteckten, also die Ring0 Dinger.
Gibt es demnach noch verstecktere Prozesse als die, die der Processexplorer der Sysinternals und auch der Prozeßschnappschuß zutage fördern?

mz23 25. Jan 2010 06:41
Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Schönen Guten Morgen,

danke für das zahlreiche Echo auf meine Anfrage.

Um welche Prozesse geht es mir eigentlich?
Wenn es eine Möglichkeit gibt, Prozesse vor dem standardmäßig im Betriebssystem
mitgeliefertem TaskManager zu verstecken, dann muß es doch auch eine Möglichkeit
geben, mit Routinen des Betriebssystemes diese zu finden. Klar, daß es keine
100%ig Lösung geben kann, weil hier zwei Gruppen von Leuten gegeneinander antreten.

Und klar ist auch, daß eine riesige Interessengemeinschaft, ich nenne die mal
AntiVir-Software-Hersteller bestrebt sind, ihre herausgefundenen Erkenntnisse
für sich zu behalten, um Ihre Jobs zu sichern.

Auf der einen Seite sind es aber doch gerade Leute mit Ihrem Wissen über die
Betriebssysteme, die solche Sachen schreiben können. Weil es eben Software ist,
kann man alles damit machen - und daß Shareware-Software auch Hintertürchen
verwenden wird, um irgendwelchen Prozesse auf dem eigenen PC laufen zu lassen,
möchte ich hier nicht bewerten.

Zu Astat, ja Du (Sie) hast es auf den Punkt gebracht, was ich meinte mit "allen"
Prozessen.

@ Astat #9
Zitat:
RootKits, Treiber, VMS (Naja ist eigentlich Ring0 in Ring1 verschoben), und alle anderen deren Namen ich nicht kenne.
Doch die Frage nach der Ethik solcher Mechanismen steht doch sofort
im Hintergrund, wenn es Möglichkeiten gibt, alles aufzudecken oder
mitzuloggen, was der eigene PC so treibt, während man in Ruhe und
ahnungslos seine Arbeit damit erledigt.

Mit freundlichen Grüßen
Manfred Zenns

mz23 19. Dez 2010 09:59
AW: Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Zitat:
Zitat von Der.Kaktus (Beitrag 991956)
Hallo,

vielleicht hilft Dir diese Seite madcollection speziell madshell
Bißchen spät meine Antwort...
an dich Kaki, aber für ein großes DANKE ist es nie zu spät.

Werde mich durch deine Seiten mal durchschmökern.
Vielen vielen Dank und bis Demnächst.

MfG Manfred Zenns

Back2Code 22. Jul 2013 09:22
AW: Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Zitat:
Zitat von Astat (Beitrag 992006)
Zitat:
Zitat von Bernhard Geyer
Du kannst ja mal googeln ob du aus den verfügbaren Sourcecode zu Quelloffenen Rootkit-Remove Kits was herausfindest.
Bei Ring0 Rootkits, ohne Treiberprogrammierung, und ohne genialem Windows Sysinternal know how, nicht die geringste Chance,
etwas zu finden.
http://www.delphibasics.info/home/de...hunterbyms-rem

detector for hidden processes. It has several listing methods to detect processes, making use of native apis and kernel mode drivers (The screenshot details complete available options). The article shows how the author of Process Hunter, Ms-Rem, created the application, describing the concepts used in detail alongside code executing those concepts.

Full source code of Process Hunter is attached at the bottom of the page.

CCRDude 22. Jul 2013 09:47
AW: Re: Alle Rechner-Prozesse Anzeigen Lassen
 
Zitat:
Zitat von mz23 (Beitrag 992045)
Und klar ist auch, daß eine riesige Interessengemeinschaft, ich nenne die mal AntiVir-Software-Hersteller bestrebt sind, ihre herausgefundenen Erkenntnisse
für sich zu behalten, um Ihre Jobs zu sichern.
Mal als Ansatzpunkt: welche Systemdaten haben denn zum Beispiel noch Prozess-IDs assoziiert? Um mal einfache Beispiele zu nennen: die Thread-Tabelle, etwas komplizierter werdend die Tabellen von File Handles, Mutexes, Semaphores, etc. (prinzipiell alle Handles) - tauchen dort PIDs auf, die nicht in der Prozessliste auftauchen, ist ein versteckter Prozess identifiziert.

Und mal mit dem Debugger anschauen, was die Win32-Funktionen zum Auflisten von Prozessen an unterliegenden NT-Funktionen aufrufen und es mit jenen direkt probieren - gibt es Differenzen? Billige Rootkits verstecken sich ggfls. nur auf Win32-Ebene.

Signaturbasierte Suchen können zudem etwa nachschauen, ob Mutexe/Semaphore mit fixem Namen existieren - bringt aber nur gegen jeweils konkrete Rootkits etwas.

Der Punkt, warum sich zu sowas kaum Code findet, dürfte sein, dass der Zeitaufwand hier einfach sehr hoch ist - viele Betriebssystemfunktionen sind offiziell far nicht und inoffiziell nur teilweise dokumentiert - und daher eben hauptsäclich für berufliche Anwender "interessant", die schon aus arbeitsvertraglicher Sicht nicht einfach Code zur Verfügung stellen können.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:32 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz