Wie man ja in dem Thread nachlesen kann - was du selber gesagt hast - finde ich persönlich solche Sachen nicht gut.
Ein Benutzer sollte ständig in der Lage sein, schnell und einfach Prozesse zu beenden - sowas halte ich einfach für gefährlich.

Für mich ist jeder, der sowas benützt, ein Hacker, der nichts Gutes im Sinn hat.
Mag nach Vorurteil klingen - ist auch eins

air

[edit=Chakotay1308]Hinweise angefügt. Mfg, Chakotay1308[/edit]

Wenigstens könnt ihr jeden, der danach fragt einen Porzess verstecken zu wollen auf diesen Thread verweisen. Und ich glaube er wird nach einiger Zeit selber darauf kommen, dass es eine Schnapsidee war.

Einer der ein böses Rootkit oder gar einen Virus schreiben will und es nicht gebacken bekommen hat selber seinen Prozess zu verstecken wird mit seinem Vorhaben auch nicht weit kommen und eher von diesem Stück Code erschlagen werden.

ROFL. Usermode-Rootkits sind ja so oder so lächerlich. Schon von daher

Es gibt natürlich (fast) *immer* Wege. Allerdings ist auf NT der Weg sinnvoller, den Prozess durch ACL-Anpaßung unbeendbar zu machen. Daher kann der Normalbenutzer ja auch Serviceprozesse sehen, sie jedoch nicht beenden. Der Code dürfte jedoch durchaus funktionieren, wie er hier steht.

@ATH0: Haste den Code schonmal mit eingeschränkten Nutzerrechten probiert?
... der Thread ist ja wohl endgeil ...

zumal der so schön formatiert ist.

Gibt es eine Möglichkeit, zu verhindern das Software Prozesse vorm Taskmanager versteckt ?

Wenn du vom normalen TaskMgr ausgehst, vergiß es. Der basiert zwar auf Native APIs, aber auf deren Usermode-Teil (die die oben u.a. gehookt werden). Nur wenn du wie der Process Explorer (schau mal die EXE mit dem Ressource-Hacker an ) rangehst, gibt's keine Probleme, weil der eine K-Mode-Komponente hat (i.e. nen Treiber).

Kannst das mit den K-Komponenten mal genauer erklären?

Mein *Beispielprogramm* ist soweit ich das gesehen habe, auch im Processexplorer (wir sprechen von dem, von Sysinternals oder?) nicht sichtbar.

Du könntest zumindest prüfen ob vielleicht eine dafür verantwortliche API gehooked worden ist. Brechi hatte da mal eine "IsHooked" funktion geschrieben. Geht natürlich auch nur, wenn das ganze nicht im Driverland passiert.

Der ProceExp besitzt einen Treiber, der ihm einige Jobs abnimmt. Beispielsweise könnten viele Handleinfos nicht ohne ein spezielles GFLAG gezeigt werden, es sei denn es gibt besagte K-Mode-Komponente

Dein Programm teste ich mal lieber nicht, weil ich weiß wieviel Malcode sich in >500kB verstecken kann. Sorry, soll keine Anschuldigung sein, sondern ist reine Vorsicht meinerseits.

Im K-Mode kann man im Endeffekt auch rausbekommen ob eine API gehookt wurde. Einfach mal in die Binärdatei auf Pladde gucken. Es gibt ja nicht nur den Speicher

@ATH0: Haste den Code schonmal mit eingeschränkten Nutzerrechten probiert? Sag ichs ma so: Ich habs bisher NUR unter eingeschränkten Nutzerrechten probiert. WinXP Home SP2, slipstreamed.

Hui, K-mode. Nene soweit wollte ich nicht ausholen. Ich wollte den Prozess lediglich NUR vom Taskmanager verstecken. Ich hab auch ne Bool-Variable, die das dann auch explizit für die taskmgr.exe macht. Müsst ihr ma suchen *fg*.

Warum? Ja weiss ich auch nich. Ich wollt halt mal Windows verarschen. Ich fühl mich wie ein Kind in Sachen Delphi

EDIT: @perle : Aber blacklight findet dein Programm

*hüstel* könnte auch an einem Icon und der VCL liegen

Darin is lediglich ein ApiHook auf NtQuerySystemInformation oder wie die nochmal heisst. ProcExplorer findet die Datei dort auch nicht (zumindest in der Grundkonfiguration, ich hab nicht rumgespielt was man da alles einstellen kann)

nobody is perfect