AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Projekte TaskWatch 1.0
Thema durchsuchen
Ansicht
Themen-Optionen

TaskWatch 1.0

Ein Thema von Harry M. · begonnen am 25. Mai 2005 · letzter Beitrag vom 26. Mai 2005
 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Olli
(Gast)

n/a Beiträge
 
#6

Re: TaskWatch 1.0

  Alt 26. Mai 2005, 12:39
Zitat von Harry M.:
Zitat von perle:
Das lässt sich z.B. mit Hooks viel besser lösen.
Dann wirds aber auch koplizierter.
...aber besser. Es ist doch besser dich ruft derjenige an, der etwas zu melden hat - als Metapher - als daß du ganz Deutschland abtelefonierst bis du denjenigen dran hast, der was zu melden hat. Oder?

Zitat von Harry M.:
Also ein Timer prüft, ob alle Processe die laufen "zulässig" sind. Ich würde auch schon gerne vor dem Starten den Processes ansetzten. Aber soweit reicht es leider noch nicht.
Dafür würden deine Möglichkeiten im Usermode auch nicht ausreichen!

Was du bräuchtest wären (alle im DDK dokumentiert):
- PsSetCreateProcessNotifyRoutine (NT3/NT4/W2K/WXP/2K3)
- PsSetCreateThreadNotifyRoutine (NT4/W2K/WXP/2K3)
- PsSetLoadImageNotifyRoutine (W2K/WXP/2K3)
... sowie mindestens eine undokumentierte API, die ich jetzt nicht im Kopf habe. Ohne diese undokumentierte API bekommst du zwar Benachrichtigungen aber kannst den Prozess nicht vor dessen Ausführung killen. Die effektivste Methode, nämlich PsSetLoadImageNotifyRoutine() kannst du erst ab Windows 2000 einsetzen. Ansonsten bliebe dir noch eine letzte Methode, die zB von Bei Google suchenTrustNoExe eingesetzt wird - SSDT-Hooking bestimmter APIs um schon beim Laden des Images auch auf NT4-Systemen anzusetzen! Um es vorwegzunehmen: nein, es reicht nicht aus NtCreateProcess*() zu hooken, da man Prozesse auch anders erstellen kann. Einzig ein Image laden muß man immer um einen Prozess auszuführen (Forking geht natürlich auch anders ...).
Fazit: nochmal neu Programmieren lernen (nämlich KM-Treiber - die sind was komplett anderes als Usermode-Programme oder auch Services)!

Zitat von Harry M.:
Sicher kann man bis die Abfrage geklärt ist, oder der Process automatisch beendet wird Schaden anrichten. Aber der Schutz liegt vielmehr darin "vor ständig laufenden" Programmen. Nicht für jene, die nur für einen Bruchteil einer Sek. aktiv sind.
... im Bruchteil einer Sekunde kann Malware schon ziemlich viel Schaden anrichten.

@perle: vergiß es ... ohne KM-Treiber kommst du da nicht sinnvoll und "ganzheitlich" weiter.
  Mit Zitat antworten Zitat
 

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:58 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz