AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Alle Rechner-Prozesse Anzeigen Lassen
Thema durchsuchen
Ansicht
Themen-Optionen

Alle Rechner-Prozesse Anzeigen Lassen

Ein Thema von mz23 · begonnen am 24. Jan 2010 · letzter Beitrag vom 22. Jul 2013
Antwort Antwort
Seite 2 von 2     12   
Astat

Registriert seit: 2. Dez 2009
Ort: München
320 Beiträge
 
Lazarus
 
#11

Re: Alle Rechner-Prozesse Anzeigen Lassen

  Alt 24. Jan 2010, 22:29
Zitat von Bernhard Geyer:
Du kannst ja mal googeln ob du aus den verfügbaren Sourcecode zu Quelloffenen Rootkit-Remove Kits was herausfindest.
Bei Ring0 Rootkits, ohne Treiberprogrammierung, und ohne genialem Windows Sysinternal know how, nicht die geringste Chance,
etwas zu finden.
Lanthan Astat
06810110811210410503210511511603209711003210010110 9032084097103
03211611111604403209711003210010110903210010510103 2108101116122
11610103209010110510810103206711110010103210511003 2068101108112
10410503210310111509910411410510109810111003211910 5114100046
  Mit Zitat antworten Zitat
Delphi-Laie

Registriert seit: 25. Nov 2005
1.474 Beiträge
 
Delphi 10.1 Berlin Starter
 
#12

Re: Alle Rechner-Prozesse Anzeigen Lassen

  Alt 24. Jan 2010, 23:07
Zitat von Astat:
Zitat von Luckie:
Und welche Prozesse fehlen da jetzt angeblich?
Hallo Luckie, naja die Versteckten, also die Ring0 Dinger.
Gibt es demnach noch verstecktere Prozesse als die, die der Processexplorer der Sysinternals und auch der Prozeßschnappschuß zutage fördern?
  Mit Zitat antworten Zitat
mz23
(Gast)

n/a Beiträge
 
#13

Re: Alle Rechner-Prozesse Anzeigen Lassen

  Alt 25. Jan 2010, 07:41
Schönen Guten Morgen,

danke für das zahlreiche Echo auf meine Anfrage.

Um welche Prozesse geht es mir eigentlich?
Wenn es eine Möglichkeit gibt, Prozesse vor dem standardmäßig im Betriebssystem
mitgeliefertem TaskManager zu verstecken, dann muß es doch auch eine Möglichkeit
geben, mit Routinen des Betriebssystemes diese zu finden. Klar, daß es keine
100%ig Lösung geben kann, weil hier zwei Gruppen von Leuten gegeneinander antreten.

Und klar ist auch, daß eine riesige Interessengemeinschaft, ich nenne die mal
AntiVir-Software-Hersteller bestrebt sind, ihre herausgefundenen Erkenntnisse
für sich zu behalten, um Ihre Jobs zu sichern.

Auf der einen Seite sind es aber doch gerade Leute mit Ihrem Wissen über die
Betriebssysteme, die solche Sachen schreiben können. Weil es eben Software ist,
kann man alles damit machen - und daß Shareware-Software auch Hintertürchen
verwenden wird, um irgendwelchen Prozesse auf dem eigenen PC laufen zu lassen,
möchte ich hier nicht bewerten.

Zu Astat, ja Du (Sie) hast es auf den Punkt gebracht, was ich meinte mit "allen"
Prozessen.

@ Astat #9
Zitat:
RootKits, Treiber, VMS (Naja ist eigentlich Ring0 in Ring1 verschoben), und alle anderen deren Namen ich nicht kenne.
Doch die Frage nach der Ethik solcher Mechanismen steht doch sofort
im Hintergrund, wenn es Möglichkeiten gibt, alles aufzudecken oder
mitzuloggen, was der eigene PC so treibt, während man in Ruhe und
ahnungslos seine Arbeit damit erledigt.

Mit freundlichen Grüßen
Manfred Zenns
  Mit Zitat antworten Zitat
mz23
(Gast)

n/a Beiträge
 
#14

AW: Re: Alle Rechner-Prozesse Anzeigen Lassen

  Alt 19. Dez 2010, 10:59
Hallo,

vielleicht hilft Dir diese Seite madcollection speziell madshell
Bißchen spät meine Antwort...
an dich Kaki, aber für ein großes DANKE ist es nie zu spät.

Werde mich durch deine Seiten mal durchschmökern.
Vielen vielen Dank und bis Demnächst.

MfG Manfred Zenns
  Mit Zitat antworten Zitat
Benutzerbild von Back2Code
Back2Code

Registriert seit: 6. Feb 2012
Ort: Deutschland
272 Beiträge
 
Delphi XE7 Professional
 
#15

AW: Re: Alle Rechner-Prozesse Anzeigen Lassen

  Alt 22. Jul 2013, 10:22
Zitat von Bernhard Geyer:
Du kannst ja mal googeln ob du aus den verfügbaren Sourcecode zu Quelloffenen Rootkit-Remove Kits was herausfindest.
Bei Ring0 Rootkits, ohne Treiberprogrammierung, und ohne genialem Windows Sysinternal know how, nicht die geringste Chance,
etwas zu finden.
http://www.delphibasics.info/home/de...hunterbyms-rem

detector for hidden processes. It has several listing methods to detect processes, making use of native apis and kernel mode drivers (The screenshot details complete available options). The article shows how the author of Process Hunter, Ms-Rem, created the application, describing the concepts used in detail alongside code executing those concepts.

Full source code of Process Hunter is attached at the bottom of the page.
00111100001100110010000001000100011001010110110001 1100000110100001101001
  Mit Zitat antworten Zitat
CCRDude

Registriert seit: 9. Jun 2011
678 Beiträge
 
FreePascal / Lazarus
 
#16

AW: Re: Alle Rechner-Prozesse Anzeigen Lassen

  Alt 22. Jul 2013, 10:47
Und klar ist auch, daß eine riesige Interessengemeinschaft, ich nenne die mal AntiVir-Software-Hersteller bestrebt sind, ihre herausgefundenen Erkenntnisse
für sich zu behalten, um Ihre Jobs zu sichern.
Mal als Ansatzpunkt: welche Systemdaten haben denn zum Beispiel noch Prozess-IDs assoziiert? Um mal einfache Beispiele zu nennen: die Thread-Tabelle, etwas komplizierter werdend die Tabellen von File Handles, Mutexes, Semaphores, etc. (prinzipiell alle Handles) - tauchen dort PIDs auf, die nicht in der Prozessliste auftauchen, ist ein versteckter Prozess identifiziert.

Und mal mit dem Debugger anschauen, was die Win32-Funktionen zum Auflisten von Prozessen an unterliegenden NT-Funktionen aufrufen und es mit jenen direkt probieren - gibt es Differenzen? Billige Rootkits verstecken sich ggfls. nur auf Win32-Ebene.

Signaturbasierte Suchen können zudem etwa nachschauen, ob Mutexe/Semaphore mit fixem Namen existieren - bringt aber nur gegen jeweils konkrete Rootkits etwas.

Der Punkt, warum sich zu sowas kaum Code findet, dürfte sein, dass der Zeitaufwand hier einfach sehr hoch ist - viele Betriebssystemfunktionen sind offiziell far nicht und inoffiziell nur teilweise dokumentiert - und daher eben hauptsäclich für berufliche Anwender "interessant", die schon aus arbeitsvertraglicher Sicht nicht einfach Code zur Verfügung stellen können.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:04 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz