Danke für die Ideen!

Den Taskmanager ganz zu sperren wäre ... zumindest mittelfristig etwas blöd, da wir via Fernzugriff über eine gesicherte Verbindung diesen doch ganz gut gebrauchen könnten. Was sich da via Policies noch weiter fein-einstellen ließe werde ich mal recherchieren.

Da Prgoramm als Shell laufen zu lassen, daran hatte ich auch schon mal gedacht. Wie schaut es da aus mit der Benutzung von weiteren Programmen und Diensten? Wir müssten z.B. Acrobat Reader starten, und auch drucken können. Inklusive der Dialoge und allem. Das habe ich nicht probiert - geht sowas dann alles noch? Oder anders: Kann ich dann noch immer alles so machen wie als wenn mein Programm "normal" läuft? ShellExecute, CreateProcess, Interaktion mit Diensten und der ganze Kladderedatsch? Wird ein PC-Anywhere Host dann auch immer noch gestartet beim Boot? Bisher habe ich mich immer davor gescheut die Shell zu ersetzten.

Vielleicht solltest Du unter dem Stichwort Kiosk-Modus was Passendes finden.

Security through obscurity ist meiner Meinung nach nie eine gute Idee.

Nachdem ich das gesagt habe... madCodeHook enthält sogar ein Beispiel dafür, wie man per globalem Hook das Beenden eines Prozesses unterbindet. Über die gleiche Geschichte lässt sich auch das erwähnte Ausblenden des Prozesses aus der Prozessliste realisieren (mit dem Ergebnis, dass vermutlich jeder Rootkit-Scanner anschlagen wird).

Dass das an sich keine 100%ige Nummer ist, sollte klar sein. Der Kunde hat allerdings da sehr rigide Werksvorschriften, und seiner Aussage nach würde ein Verschwinden aus der Liste diese dann ausreichend erfüllen. (Ich hätte da an ganz anderen Stellen angesetzt, und viele der Anforderungen sind auch meiner Meinung nach Mumpitz. Man müsste sich halt wirklich erst an der richtigen Stelle zerstörungsfrei durch ein Edelstahgehäuse sägen um eine Tastatur dran zu bekommen...)

AV Software müsste im Zweifel entsprechend konfiguriert werden, sprich Rootkit Schutz raus. Das Panel ist diesbzgl. auch nicht sonderlich gefährdet, da sind sich die Netzwerker des Kunden wieder sehr sicher. (Sie meinten sogar ein AV müsste überhaupt nicht drauf.)

Verstehen muss ich da auch nicht alles, aber wenn sie es so haben müssen, dann müssen wir das eben so bauen. (Sonst macht's ein anderer.)

Danke für die Ideen! Ich werde mal mit den Optionen spielen.

Mal ganz quer gedacht: Würde es nicht ausreichen, wenn das Programm unter einem anderen Benutzerkonto ausgeführt wird, sinnvollerweise einem mit höheren Rechten? Dann kann man gar nichts mehr killen, selbst wenn man wollte, denn anderer Benutzer Prozesse töten, dürfen nur Admins oder höher.

Dazu kommt, dass die Prozesse anderer Benutzer gar nicht im Taskmanager von Win7 auftauchen, dafür müsste man den Button "Prozesse aller Nutzer" klicken (was dann eine UAC-Meldung auslöst, sofern eingeschaltet).

MfG Dalai

Ich habe dir ja schon unzählige PMs geschrieben und in einem dir ne kleine Demo mit Src gegeben..
Ich hab nun rausgefunden, wie genau TaskMgr die Prozesse ermittelt, die Demo angepasst - sie versteckt sich nun ^_^

Die Demo spuckt zu Anfang 2 ShowMessage Fenster aus...
Ich möchte nur ergänzen, dass es sehr wohl auch mit 64 bit funktioniert - dafür muss halt die Dll als 64 bit kompiliert werden, was mein Kompiler aber nicht kann

Edit: Getestet unter Windows 7 Starter 32 bit

Sahne, da hab' ich jemanden angefixt Nochmals heissen Dank!

Mit 64bit. Wie ist das da? Kann ich nur 32bit Prozesse verstecken, oder kann ich nur auf einem 32bit Windows Dinge damit verstecken? Also an welcher Seite schlägt da die Einschränkung zu?

Ich kann es nur in der 32 bit Version kompilieren, dadurch und wegen der Funktionsweise (siehe Msdn Erläuterung) kann ich damit nur 32 bit Prozesse hooken.
Falls dein Kompiler 64 kompilieren kann und letzendlich die Dll 64 bit ist, funktioniert es (nur) mit 64 bit Prozessen.