AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Win32/Win64 API (native code) Delphi Process_Terminate funktioniert nicht
Thema durchsuchen
Ansicht
Themen-Optionen

Process_Terminate funktioniert nicht

Ein Thema von speedy · begonnen am 14. Nov 2010 · letzter Beitrag vom 30. Nov 2010
Antwort Antwort
Seite 6 von 11   « Erste     456 78     Letzte »    
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#51

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:35
Nö, habe mir das meiste zusammenkopiert, auch wenn die Fehler im kopierten Code teils haarsträubend waren und ich deswegen ein paar Korrekturen vornehmen mußte. Aber insgesamt vielleicht 30min mit mehreren Testläufen in einer VM.

Hatte echt keinen Bock den Code von Null an neu zu schreiben

Code:
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-11-15 23:30:37
Windows 5.1.2600 Service Pack 3 
Running: dqhzz1me.exe; Driver: C:\DOCUME~1\User\LOCALS~1\Temp\agtdqpob.sys


---- System - GMER 1.0.15 ----

SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwClose [0xB20ED80E]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwCreateKey [0xB20ED604]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwDeleteKey [0xB20ED4AC]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwDeleteValueKey [0xB20ED4F2]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwEnumerateKey [0xB20ED3F2]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwEnumerateValueKey [0xB20ED34E]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwFlushKey [0xB20ED446]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwLoadKey [0xB20ED972]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwOpenKey [0xB20ED7D0]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwQueryKey [0xB20ED03E]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwQueryValueKey [0xB20ED166]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwSetValueKey [0xB20ED28A]
SSDT   \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS                     ZwUnloadKey [0xB20EDAC2]

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!KeUnstackDetachProcess + 186                          804F77F2 4 Bytes CALL B1D3C371 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!NtDeviceIoControlFile + 26                            8056E4E8 4 Bytes CALL B1D3C751 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!ZwWriteFileGather + 33D2                              80575CAA 4 Bytes CALL B1D3C951 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!ZwReadVirtualMemory + 8                               805A979C 4 Bytes CALL B1D3CC01 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!ZwWriteVirtualMemory + 8                              805A98A6 4 Bytes CALL B1D3CD51 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!NtClose + 19                                          805B1CE1 4 Bytes CALL B1D3C891 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!NtOpenProcess + B                                    805C132F 4 Bytes CALL B1D3C9A1 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
PAGE   ntkrnlpa.exe!ZwSetLdtEntries + ECA                                805CAAC4 4 Bytes CALL B1D3CEA1 \??\C:\WINDOWS\system32\drivers\EagleNT.sys
?       C:\WINDOWS\system32\Drivers\PROCMON20.SYS                         The system cannot find the file specified. !
?       C:\WINDOWS\system32\Drivers\PROCEXP141.SYS                        The system cannot find the file specified. !
?       C:\WINDOWS\system32\drivers\EagleNT.sys                           The system cannot find the file specified. !

---- User code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\SearchIndexer.exe[544] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \Driver\Kbdclass \Device\KeyboardClass0                            EagleNT.sys
Device \Driver\Kbdclass \Device\KeyboardClass1                            EagleNT.sys
Device \Driver\Mouclass \Device\PointerClass0                             EagleNT.sys
Device \Driver\Mouclass \Device\PointerClass1                             EagleNT.sys

---- EOF - GMER 1.0.15 ----
Wie man sieht benutzt das Ding Hooks direkt im Kernelimage (all mit PAGE beginnenden Zeilen) sowie irgendwas auf den Maus- und den Tastaturgeräten. Damit läßt es sich als Rootkit einordnen.

Code:
PAGE   ntkrnlpa.exe!NtOpenProcess + B  805C132F 4 Bytes
... ist das eigentliche Problem

Er hat auch alles durch Selbststudium gelernt. Studiert hat er irgend so ein Ökozeugs.
... und er hat abgebrochen als er von einem Anti-Spyware-Hersteller angeheuert wurde und ist danach zu einem AV-Hersteller gewechselt.
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
speedy

Registriert seit: 19. Sep 2003
55 Beiträge
 
Delphi XE5 Professional
 
#52

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:38
Bei mir ist das Studium zwar was Technisches, aber Programmierung haben wir lediglich mal C hauptsächlich für Mikrocontroller.

Und Delphi Literatur ist auch sehr dürftig in der Uni Bibliothek
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#53

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:39
Ich hoffe, in meinem Code waren keine haarsträubenden Fehler. Ansonsten hätte mein Lehrmeister versagt.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#54

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:43
Bei mir ist das Studium zwar was Technisches, aber Programmierung haben wir lediglich mal C hauptsächlich für Mikrocontroller.

Und Delphi Literatur ist auch sehr dürftig in der Uni Bibliothek
Alles nicht so tolle Ausreden. Delphi-Literatur war meines Erachtens nach zu keinem Zeitpunkt (seit 1997) gut. Aber sich mit Win32 auseinanderzusetzen bedarf es nicht Delphis

Abgesehen davon ist die beste Methode - ohne Spott und Hohn gemeint - die Dokumentation und anderen Code zu lesen. Ich sage nicht, daß man nicht fragen soll. Aber vorher sollte man schon mal nen Tag oder länger investieren um es selber zu lösen.

Programmieren habe ich komplett autodidaktisch erlernt, unmöglich ist es also nicht.

Ich hoffe, in meinem Code waren keine haarsträubenden Fehler. Ansonsten hätte mein Lehrmeister versagt.
Nico?

Puh, war da welcher von dir dabei? Habe den aus dem verlinkten Beitrag genommen und durchredigiert und dann noch von hier. Bei letzterem war vor allem wichtig zuerst das Threadtoken zu versuchen und danach das Prozeßtoken (was im Original nicht drin war).
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#55

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:44
Wenn nun schon alles Wichtige installiert und eingerichtet ist, dann über einen anderen Admin-Account (notfalls einen erstellen) den Account des Jungen runterstufen und so das installieren von Programmen verbieten.

PS: Wenn er soooo süchtig ist ... wie lange wird es dann wohl dauern, bis er den neuen Prozess findet und abschießt, welcher ihn ständig am Spielen hindert?

Es gibt auch andere Möglichkeiten die Nutzung wärend der Nacht zu verbieten.
Gibt ja genügend Programme, welche den PC mit einer Zeitschaltuhr versehen.



Und egal was man macht, man muß ihm doch wohl auf jeden Fall die Rechte entziehen, welche es ihm erlauben würden Gegenmaßnahmen zu ergreifen.

Notfalls einfach in der Nacht die Internetleitung oder den Strom kappen.
Ohne Netz kein Onlinegame.
$2B or not $2B

Geändert von himitsu (16. Nov 2010 um 00:51 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#56

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:46
Ha, himitsu du bist ein Schatz!

Ich hätte da noch eine Methode anzubieten. Man könnte, da es sich ja um Windows XP handelt die GINA ersetzen. Irgendwann in der Nacht sperrt das Ding dann den Desktop zeitgesteuert und läßt sich bis zum Morgen nicht entsperren

Das Schlimmste was dann passieren kann, ist daß der Charakter im Spiel stirbt
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#57

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:47
Das ursprüngliche KillProzess ist von mir (Verlinkt im erste Beitrag.).

Äh, sorry, es waren zwei Lehrmeister.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#58

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:51
Ich glaube, das hatte ich schon auf der ersten >Seite vorgeschlagen, Man kann über die Sicherheitsrichtlinien festlegen zu welchen Uhrzeit und wie lange ein Benutzer sich anmelden kann. Natürlich macht das kein Sinn bei einem Adminstratorenkonto.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#59

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:53
Das ursprüngliche KillProzess ist von mir (Verlinkt im erste Beitrag.).
Oh Gott. Wie soll ich's ausdrücken?

Zumindest der zitierte Ausschnitt war Mist, da bspw. das Handle vom Schnappschuß nicht geschlossen wurde und dafür in der anderen Funktion das Handle auftauchte ohne deklariert oder gebraucht zu werden. K.A. wie das so durcheinanderkam. Habe jedenfalls den Code von dort genommen und dann korrigiert. War natürlich auch nicht soooo viel. Aber funktionstüchtig war er nicht out-of-the-box

Äh, sorry, es waren zwei Lehrmeister.
Hmm, na dann weiß ich auch nicht
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#60

AW: Process_Terminate funktioniert nicht

  Alt 16. Nov 2010, 00:56
Gilt die Ausrede Jugendsünde? Ich glaube, ich schreibe den Code noch mal neu. Das kann ich nicht auf mir sitzen lassen. Das verbietet mir die Ähre.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 6 von 11   « Erste     456 78     Letzte »    


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:40 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz