Hallo Olli,

ich weiß, was man damit anstellen kann... Darum geht es mir aber gar nicht, das habe ich alles schon getestet. Außerdem wird diese Technik ohnehin von vielen malware-scannern erkannt. Zeitverschwendung, diese Technik für malware weiter zu beackern - sind andere Verfahren viel interessanter.

Ich wollte eigentlich nur erkennen, wer nen Prozess startet oder ne DLL lädt. Das bringt aber nicht viel, weil dann wieder irgend jemand mit dem Totschlagargument Kerneldriver oder selbst programmierter API ankommt und sagt: Du DAU, ich erstellt einen Prozess und Du merkst es gar nicht... Bis jetzt ist mir aber noch nichts besseres eingefallen Auf der anderen Seite muss man aber Adminrechte besitzen um nen Kerneldriver zu installieren, was ich bei meiner Annahme "unter der mein Rechner mit dem fertigen Prog betrieben werden soll" aber nicht voraussetze, so dass allenfalls Variante 2 zum Zuge kommt - und Adminrechte höchstens über nen Bug im OS erlangt werden können. Aber dieses Risiko muss man tragen (man kann auch überfahren werden, wenn man anständig den Zebrastreifen benutzt).

Ok - nur Übung macht den Meister und jeder fängt mal klein an.
Vielleicht sollte ich wirklich nicht jeden Prozess mit meiner DLL beglücken. Was die erwähnten Bluescreens betrifft: Da hatte ich schon das Vergnügen mit - das ist was ich meinte, das muss man probiert haben und dann weiß mans.

Das ist mir klar, deswegen verändert meine DLL in ihrer main() auch die entsprechenden Stellen, wie sich das fürs API redirecting gehört.

AppInitDlls habe ich schon probiert und mit AutoRuns hatte ich auch schon expermimentiert. Ich habe gehofft, dass es auch anders geht. Nach diesem Post komme ich mir ohnehin vor wie der letzte Hirni , vielleicht sollte ich das ganze Vorhaben stecken...

Gruß

peanut.