Hi Leute,

ich hab mir neulich Gedanken gemacht, dass es trojanern oder anderen Viren sicherlich möglich wäre, sich komplett im taskmanager in der Anwendungs und in der Prozesssparte zu verbergen. Nur woher soll ich dann noch wissen, dass ich ein solches Programm auf dem PC hab was womöglich noch kein Virenscanner kennt?

Wie geht das überhaupt dass man eine Anwendung komplett verschwinden lassen kann? Gehen muss es ja. wie ich sie in der Anwendungssparte im Taskmanager verberge weiß ich, aber nicht wie ich sie ganz verberge. Zudem wäre das Wissen ganz nützlich da ich gern ein Securityprogramm für meinen PC schreiben will, was sich nicht mit dem Taskmanager beenden lässt. Das wäre schön. Da könnt ich mein System gegen neugierige Leute abschotten, vielmehr meinen Desktop.

Also wenn ihr wisst wie es geht, dann hoffe ich dass ihr mir helft und was auch nicht schlecht wäre, wenn es einen Codeschnipsel gäb, der solche Anwendungen wieder sichtbar macht.

Meine Idee war bisher, dass eine Anwendung dem Kernel vorgaukeln müsste, sie wäre eine direkte System-Dll bzw. -Anwenung des Kernels, damit sie nicht angezeigt wird.

Schonmal danke für eure Hilfe

Warum willst Du ein Security(???)-Programm schreiben, dass sich im Taskmanager versteckt? Wer sich schützen will, würde das Programm eh nicht beenden. Und wenn, es geht nicht, dass man ein Programm im Taskmanager versteckt, höchstens wenn Du es als Dienst laufen lässt.... Auch die ganzen Trojaner sind unter NT-Kerneln im TM sichtbar und können dort beendet werden.

Soweit ich weiß, müsstest Du Dein Programm in einen anderen Runlevel bekommen und das ist nur schwer möglich....

Ich kenne nur die Metode für Win9x und ME:


Du kannst aber Strg+Alt+Entf deaktivieren



Allerdings sollte man dies nicht für schlechte Zwecke verwenden!
Wichtig! Sollte dein Programm unter Win9x hängen bleiben kannst du es nicht mehr beenden! Das kann zu einem Problem werden wenn das Programm eine SChleife für den Festplattenzugriff verwendent!
Vorsicht!!!

Moderiert von Klabautermann: Color-Tag korrigiert.

naja, mich hat das auch für XP interessiert. Allerdings muss ich ja die dwProcessID noch herausfinden, damit es funzt. Woher soll ich wissen, welche PID mein Programm hat?

Die Funktion RegisterServiceProcess, tut die nur einmal die Anwendung im Arbetisspeicher als solchen Prozess registrieren, dass sie immer automatisch als Prozess geladen wird oder nur einmal zur laufzeit dass ich das jedes Mal neu machen muss?

Mir gings darum, dass in meinem XP-Rechner keiner so einfach über den Taskmanager meine Securityanwendung beenden kann. Damit logge ich nämlich auch die Vorgänge auf meinem PC.

Für negative Dinge werd ich das sicher nicht nutzen. Ich bin schließlich kein Krimineller und halte es für absolut *mist*e, wenn jemand solche Informationen für schlechte Dinge ausnutzt.

ShadowCaster hat folgendes geschrieben:

naja, mich hat das auch für XP interessiert. Allerdings muss ich ja die dwProcessID noch herausfinden, damit es funzt. Woher soll ich wissen, welche PID mein Programm hat?

Stichwort: GetCurrentProcessID

Zitat:

Die Funktion RegisterServiceProcess, tut die nur einmal die Anwendung im Arbetisspeicher als solchen Prozess registrieren, dass sie immer automatisch als Prozess geladen wird oder nur einmal zur laufzeit dass ich das jedes Mal neu machen muss?

Jeder Prozess hat eine eigene ProcessID, du müsstest es also für jede Instanz deines Progs einzeln aufrufen.

Zitat:

Mir gings darum, dass in meinem XP-Rechner keiner so einfach über den Taskmanager meine Securityanwendung beenden kann. Damit logge ich nämlich auch die Vorgänge auf meinem PC.

Mit einem Service.. sofern ein Prozess allerdings das SeDebugPrivilege aktiviert hat kann sich dieser auch für Services ein gültiges Prozess-Handle holen und diese daher mit TerminateProcess abschießen!

Beste Lösung: MSGINA.DLL ersetzen. Siehe dazu im MSDN unter dem Thema WLX - Windows Logon Extension
WARNUNG: Wer mit der MSGINA.DLL spielt spielt mit dem Herz von Windows!

Hey danke euch, das ist echt eine schöne Hilfe Vielleicht schreib ich mir mal einen Ramscanner der nach solchen versteckten Anwendungen scannt und diese auf Wunsch abschießen kann. Nicht, dass es sowas nicht schon geben würde. Wäre eher eine Lernübung.

Jetzt wo du sagst, dass du XP benutzt verstehe ich dein Anliegen nicht mehr so ganz. Schalt das automatische Einloggen ab und es kommen nur Leute an den PC die dazu befugt sind.

Darum gehts nicht. Ich will so ein Tool, was mir alles über das System verwaltet mal selbst proggen. Da kommen dann später auch Makroprogramme rein und Taskplaner, etc. Naja, mal schauen, wann ich richtig Zeit dazu hab. Ich hab nämlich nicht rausgefunden wie man in XP die Arbeitsstation sperren kann. Man muss glaub ich auf Benutzer wechseln gehen und dann kann man sich wieder einloggen, weil die Anwendungen nicht beendet werden. Aber naja, ist nicht so sauber.

API: LockWorkStation.

Danke Ich wusste gar nicht, dass windows XP das kann.

Das konnte NT auch schon. Aber der API-Befehl ist erst seit Windows 2000 dokumentiert bzw. verfüg- und nutzbar.

Danke Gut zu wissen.

... wäre interessant zu wissen welche Programme das schon machen und unter XP auch schon funktionieren!

Ist zwar jetzt keine Programmiererfrage, aber bei mir treibt eine Anwendung Namens 'F' ihr Unwesen! Sie lässt sich manchmal nicht beenden, was natürlich um so merkwürdiger ist als das ich sie nicht starte!!!

Bisher haben alle Programme (NAV, Winforce,...) versagt und mir dieses Programm nicht angezeigt!

Wenn jemand einen Tip hat mit welchen Programmen man alle Prozesse unter Windows auslesen kann, dann her damit!

Viele Grüße
Oliver

Ist es eventuell ein Service?

ich denke in diesem Thread ist soeben eine Marktlücke für anti-viren-tools entdeckt worden wenn das die normalen virenscanner nicht schon erkennen... Wäre wirklich nicht schlecht, eine solche Anwendung zu sehen und dann zu beenden. Dann müsste man aber die Registry absuchen, damit die Anwendung sich nicht wieder neu startet. Oft ist es aber auch so dass solche Anwendungen aus anderen Anwendungen heraus erstellt werden. Bsp: du hast eine Anwendung namens Aidemplayer (frei erfundener Name ) z.B. und der erstellt diese kleinen Buggyprogramme die dein System ausspionieren und die Infos ins Internet senden. Dann gehst du her und löschst die Buggyprogramme komplett von der Festplatte und beim nächsten Neustart wunderst du dich, dass sie wieder da sind. Tja, was also machen? Die ganze Software wegwerfen. Das Problem ist nur, dass immer mehr kommerzielle Programme eine solche Art von Anwendungen oder Dll's generieren die dein System ausspionieren. Das beste Beispiel ist Babylon (ein Übersetzungsprogramm für Windows). Es hat soviel ich weiß eine pcload.dll und eine pcload.exe oder so ähnlich heist das. Diese Teile sollte man sofort löschen...

Naja, lange Rede, kurzer Sinn. Ich werd mich glaub ich mal dran machen, ein Erkennungsprogramm zu schreiben, was mir diese Prozesse auflistet.

ich hab mal gegoogled und wenn die F-Anwendung das ist was ich denke... ei ei ei.. dann hat dein PC wohl ne Grippe aber die Grippe wär harmlos...

securityresponse.sym...a/trojan.lovead.html

Zitat:

Trojan horse that is written in Microsoft Visual Basic 5

oder besser:

harmlos... das Ding... nur damit der Autor Klicks auf seiner Homepage bekommt... lol... ich glaub son Teil prog ich auchmal...

...mag sein das die Grippe harmlos ist ... in diesem Fall!
Aber irgendwann wird das Ding nicht mehr harmlos sein - unter einem anderen Namen von nem anderen Programmierer!

Ehrlich gesagt find ich die Dinger total Käse!

Da holt man sich ne Firewall, ´n Virusscanner und die Teile bleiben so gut wie unentdeckt!
Schön wäre natürlich wenn man eine Übersicht hätte - ähnlich Winforce - in der wirklich alle Prozesse auftauchen.

Interessant wäre in diesem Zusammenhang aber auch ein Plug-in für Outlook, bzw. die Möglichkeit Spam-Mails in ein Programm zu kopieren und der wahre Absender sowie der Provider bekommen mal ne Mail was da gelaufen ist und das der Mist doch in Zukunft unterbleibt.

Da beides einher geht wäre es vielleicht ne interessante Kombination!

Viele Grüße

Oliver

Wie so bleibt das Ding unentdeckt bei einem Firewall? Jedem Programm, was bei mir raus will, muß ich es erst gestatten, weil der Firewall "aufpoppt" und mir sagt, "da will was raus". Und dann kucke ich was es ist und entscheide, ob es darf oder nicht. Und wenn es was ist, was ich nicht kenne, dann darf es eben nicht. Basta.