Prozesse vor dem Taskmanager verstecken (Diskussion)
 

Wie man ja in dem Thread nachlesen kann - was du selber gesagt hast - finde ich persönlich solche Sachen nicht gut.
Ein Benutzer sollte ständig in der Lage sein, schnell und einfach Prozesse zu beenden - sowas halte ich einfach für gefährlich.

Für mich ist jeder, der sowas benützt, ein Hacker, der nichts Gutes im Sinn hat.
Mag nach Vorurteil klingen - ist auch eins ;)

air

[edit=Chakotay1308]Hinweise angefügt. Mfg, Chakotay1308[/edit]

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Wenigstens könnt ihr jeden, der danach fragt einen Porzess verstecken zu wollen auf diesen Thread verweisen. Und ich glaube er wird nach einiger Zeit selber darauf kommen, dass es eine Schnapsidee war.

Einer der ein böses Rootkit oder gar einen Virus schreiben will und es nicht gebacken bekommen hat selber seinen Prozess zu verstecken wird mit seinem Vorhaben auch nicht weit kommen und eher von diesem Stück Code erschlagen werden.

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

ROFL. Usermode-Rootkits sind ja so oder so lächerlich. Schon von daher :-)

Es gibt natürlich (fast) *immer* Wege. Allerdings ist auf NT der Weg sinnvoller, den Prozess durch ACL-Anpaßung unbeendbar zu machen. Daher kann der Normalbenutzer ja auch Serviceprozesse sehen, sie jedoch nicht beenden. Der Code dürfte jedoch durchaus funktionieren, wie er hier steht.

@ATH0: Haste den Code schonmal mit eingeschränkten Nutzerrechten probiert?
:wall: ... der Thread ist ja wohl endgeil ... :mrgreen:

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

zumal der so schön formatiert ist.

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Gibt es eine Möglichkeit, zu verhindern das Software Prozesse vorm Taskmanager versteckt ?

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Wenn du vom normalen TaskMgr ausgehst, vergiß es. Der basiert zwar auf Native APIs, aber auf deren Usermode-Teil (die die oben u.a. gehookt werden). Nur wenn du wie der Process Explorer (schau mal die EXE mit dem Ressource-Hacker an ;) ) rangehst, gibt's keine Probleme, weil der eine K-Mode-Komponente hat (i.e. nen Treiber).

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Kannst das mit den K-Komponenten mal genauer erklären?

Mein *Beispielprogramm* ist soweit ich das gesehen habe, auch im Processexplorer (wir sprechen von dem, von Sysinternals oder?) nicht sichtbar.

Du könntest zumindest prüfen ob vielleicht eine dafür verantwortliche API gehooked worden ist. Brechi hatte da mal eine "IsHooked" funktion geschrieben. Geht natürlich auch nur, wenn das ganze nicht im Driverland passiert.

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Der ProceExp besitzt einen Treiber, der ihm einige Jobs abnimmt. Beispielsweise könnten viele Handleinfos nicht ohne ein spezielles GFLAG gezeigt werden, es sei denn es gibt besagte K-Mode-Komponente ;)

Dein Programm teste ich mal lieber nicht, weil ich weiß wieviel Malcode sich in >500kB verstecken kann. Sorry, soll keine Anschuldigung sein, sondern ist reine Vorsicht meinerseits.

Im K-Mode kann man im Endeffekt auch rausbekommen ob eine API gehookt wurde. Einfach mal in die Binärdatei auf Pladde gucken. Es gibt ja nicht nur den Speicher ;)

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Sag ichs ma so: Ich habs bisher NUR unter eingeschränkten Nutzerrechten probiert. :lol: WinXP Home SP2, slipstreamed.

Hui, K-mode. Nene soweit wollte ich nicht ausholen. Ich wollte den Prozess lediglich NUR vom Taskmanager verstecken. Ich hab auch ne Bool-Variable, die das dann auch explizit für die taskmgr.exe macht. Müsst ihr ma suchen *fg*.

Warum? Ja weiss ich auch nich. Ich wollt halt mal Windows verarschen. Ich fühl mich wie ein Kind in Sachen Delphi :-D

EDIT: @perle : Aber blacklight findet dein Programm :)

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

*hüstel* könnte auch an einem Icon und der VCL liegen ;-)

Darin is lediglich ein ApiHook auf NtQuerySystemInformation oder wie die nochmal heisst. ProcExplorer findet die Datei dort auch nicht (zumindest in der Grundkonfiguration, ich hab nicht rumgespielt was man da alles einstellen kann)

nobody is perfect ;-)

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Wo wir gerade bei Rootkits sind. 2 Artikel der letzten Phrack-Ausgabe waren sehr interessant:

A portable Userland Rootkit : *snip*
und natürlich dein Liebling @ Olli :lol: :

Kernel-Mode Backdoor *snip*

[edit=alcaeus]Links entfernt. Begruendung siehe naechster Beitrag. Mfg, alcaeus[/edit]

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Hallo ihr,

es ist ja schoen dass ihr euch hier amuesiert ;)
aaaaber: Einen Prozess vor dem Taskmanager zu verstecken ist ja gut und Recht (auch wenn ich keine "gute" Absicht dahinter sehe; wie Olli bereits gesagt hat, gibt es bessere Loesungen), aber sobald es zum Thema Rootkits kommt, ist Schluss mit lustig. Diese "Programme" erfuellen nur einen Sinn und Zweck, und diese Arten von Programmen sind IMO nicht mit dem DP-Kodex vereinbar. Also, bleibt bitte beim Thema (Prozess verstecken), und ueberlegt welche Links ihr postet.
Die Links im vorherigen Beitrag habe ich mal rausgeschnitten, da es IMO keinen wirklich legalen Verwendungszweck fuer Rootkits gibt, und solche Links uns (die DP) eventuell auch in Probleme bringen kann. Ich lasse mich aber gerne vom Gegenteil ueberzeugen (dann aber bitte per PN :zwinker:).

Greetz
alcaeus

[edit]Italiener und die Rechtschreibung :roll:[/edit]

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Ich versuchs mal ohne PN, weil es ja oft zu Mißverständnissen bei "Unwissenden" kommt. Erstmal kann man ein (echtes) Rootkit nicht ohne weiteres schreiben (da muß man schon ein paar Nächte mit NT im Bett verbracht haben ... :mrgreen: ). Zum anderen ist in mind. 99,9% der Fälle einer Rootkit-"Infektion" von irgendeiner bewußten Aktion des Anwenders auszugehen (nehmen wir mal die IE-Anwender aus *hüstel*).

Ich verstehe die Einwände dagegen sowas in der DP zu posten - ist das gute Recht des Hausherrn, aber hier scheint immer ein Verkennen von solchen Themen vorzuliegen. Wie gesagt, daß es meinetwegen nicht in die DP gehört mag sein, jedoch von einer generellen Tabusituation auszugehen ist gewagt, weil dann keine normale Consulting-Firma, kein IT-Sicherheitsexperte, und all die anderen die sich damit beschäftigen, arbeiten *dürften*. Egal wie sehr einige dem auch entgegenstehen mögen, es gibt keine "Security through Obscurity"!

Aber da das hier sowieso in den Orkus der Codelib verschwindet .............

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Hi Olli,
kurze Klarstellung: gegen den Thread selber ist gar nichts einzuwenden. Wenn der SourceCode soweit korrekt ist und funktioniert – und einigermaßen formatiert worden ist – wird er in ein paar Tagen Wochen Einzug in die CodeLibrary erhalten. Also gegen den Thread ist nichts einzuwenden.
Andreas' Problem betrifft – und da sollten wir uns eigentlich einig sein – lediglich die Links. Denn Links zu Seiten mit illegalen oder fragwürdigem Inhalt bereiten nicht dem Postenden Probleme sondern uns bzw. im Normalfall Daniel als Verantwortlichen selber. Und ich denke du verstehst, das wir uns da lieber auf sicherem Boden bewegen, als auf dünnem Eis. ;)

Schönen Abend noch,
Chris

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Klaro ;) ... habe ich ja auch gesagt. Es ging halt darum zu sagen, daß z.B. auf einer gewissen Webseite, die den Namen rootkit trägt eigentlich mehr Sicherheitsexperten als Blackhats unterwegs sind. Die Absichten sind durchaus nicht so dunkel wie mancher meint.

Gruß ans Team,

Re: Prozesse vor dem Taskmanager verstecken (XP,2000)
 

Hmm ok, sorry. Ich muss mich an das neue Umfeld mal gewöhnen. Da wo ich so rumgelungert bin, war das üblich.
Aber ich sehe ein, dass es einfach nicht hier reingehört.

Rootkits schreiben viele um aufzuzeigen was möglich ist, nicht um zu spionieren o.ä. Die Motivation ist eine ganz andere, als man vlt. auf dem ersten Blick vermutet.

DP-Maintenance
 

Dieses Thema wurde von "Chakotay1308" von "Neuen Beitrag zur Code-Library hinzufügen" nach "Programmieren allgemein" verschoben.
Diskussion aus den "Klauen" der Code-Lib-Manager gerettet. ;)

Re: Prozesse vor dem Taskmanager verstecken (Diskussion)
 

Zwei Sachen: Der Code aus der Code-Lib scheint unter XP SP2 nicht mehr zu funktionieren und ebenso das gepostete Programm hier. Der Code aus der Code-Lib stürzt ab und das hier verlinkte Programm erscheint immer noch im Taskamanger.

Re: Prozesse vor dem Taskmanager verstecken (Diskussion)
 

außerdem wird die dll von jedem Virenscanner, der Dateiheuristik unterstützt, als gefährlich oder auch als möglicher Virus erkannt...

Re: Prozesse vor dem Taskmanager verstecken (Diskussion)
 

die frage ist immernoch wieso???

Re: Prozesse vor dem Taskmanager verstecken (Diskussion)
 

weil die Dateiheuristik (auch auf mittlerer Stufe) "verdächtige Verhaltensweisen" erkennt, die typisch für Viren sind. Dazu gehört dann scheinbar auch das Verstecken eines Prozesses ^^

Re: Prozesse vor dem Taskmanager verstecken (Diskussion)
 

Das wieso bezog sich wohl eher auf das Verstecken. ;)

Re: Prozesse vor dem Taskmanager verstecken (Diskussion)
 

Ich habe zu Testzwecken über einen globalen NtQuerySystemInformation Hook erfolgreich ein Programm geschrieben, was meinen Prozess vor dem Taskmanager, etc versteckt, der auch mit SP3 oder auf Vista funktioniert.

Die Sache ist halt die, dass das Verstecken wirklich nicht nötig ist und wie schon erwähnt natürlich von Firewalls / Antiviren- Programmen erkannt wird.

Durch verhältnissmäßig einfache Codes kann man eigene Anwendungen auch wieder "unhooken", da es sich ja "nur" um einen Usermode Hook über DLL Injektion handelt. Schon dies ist nicht trivial. Will man sichergehen, müsste man allerdings einen SSDT Hook anbringen (welcher auch nicht komplett sicher ist) und dazu braucht man einen Treiber.

Grundsätzlich sollte man, wenn man z.b. verhindern will, dass das eigene Programm beendet wird, lieber entsprechende Berechtigungen setzen. (Meine Meinung dazu) :)