Zitat von
peanut:
Ich wollte eigentlich nur erkennen, wer nen Prozess startet oder ne
DLL lädt. Das bringt aber nicht viel, weil dann wieder irgend jemand mit dem
Totschlagargument Kerneldriver oder selbst programmierter
API ankommt und sagt:
Du DAU, ich erstellt einen Prozess und Du merkst es gar nicht... Bis jetzt ist mir aber noch nichts besseres eingefallen
Auf der anderen Seite muss man aber Adminrechte besitzen um nen Kerneldriver zu installieren, was ich bei meiner Annahme
"unter der mein Rechner mit dem fertigen Prog betrieben werden soll" aber nicht voraussetze, so dass allenfalls Variante 2 zum Zuge kommt - und Adminrechte höchstens über nen Bug im
OS erlangt werden können. Aber dieses Risiko muss man tragen (man kann auch überfahren werden, wenn man anständig den Zebrastreifen benutzt).
NtCreateSection ist dein Freund. Diese
API bekommt alles in Sachen DLLs *und* Prozesse laden mit. Mußt nur die Flags auswerten. Diese
API befindet sich in NTDLL.
Zitat von
peanut:
Ok
- nur Übung macht den Meister und jeder fängt mal klein an.
Vielleicht sollte ich wirklich nicht jeden Prozess mit meiner
DLL beglücken. Was die erwähnten
Bluescreens betrifft: Da hatte ich schon das Vergnügen mit - das ist was ich meinte, das muss man probiert haben und dann weiß mans.
Gut, solange du es nur bei dir probierst
Es gibt Spyware-Firmen, die das auch bei Ihren Kunden versuchen. Und dann gibt es noch andere unschöne Sachen, auf die ich nicht eingehen darf
Zitat von
peanut:
AppInitDlls habe ich schon probiert und mit AutoRuns hatte ich auch schon expermimentiert. Ich habe gehofft, dass es auch anders geht. Nach diesem Post komme ich mir ohnehin vor wie der letzte Hirni
, vielleicht sollte ich das ganze Vorhaben stecken...
Locker bleiben. Man ist doch kein "Hirni", nur weil was nicht auf Anhieb klappt. Alle fangen mal klein an
AppInitDlls sollte zumindest auch innerhalb der jeweiligen Terminalsessions funktionieren. Dürfte dir doch sehr entgegenkommen, oder? Ich nehme an, daß dein Service "interaktiv" läuft? Dann ist das was du beobachtest nämlich nichts als die normale Trennung dank WindowStations. Ach ja, interaktive Services sind out ...
