hallo,
ich bin erst seid neustem in der delphi szene und kenn mich noch nicht so aus.
allerdings bin ich der suchfunktion bewusst und suche schon seid über einer stunde aber wenn man nicht genau weiß nach was man suchen muss ist es schwer.

ich will ein programm erstellen,dass alle programme und prozesse die laufen killt außer die wichtigen wie zb explorer.exe,csrss.exe usw die schwierigkeit besteht nun darin das wenn zb ein trojaner läuft mit dem selben namen csrss.exe ausgeführt wird das der prozess auch beendet werden soll.meine idee wäre den benutzer zusätzlich zu scannen also csrss.exe wird ja von system ausgeführt und wenns n trojaner wäre würde er von dem benutzer ausgeführt werden.
die große frage:hat einer einen code oder könnte mir dabei helfen bzw so ein programm?

wäre cool

thx schon mal


Moderiert von Christian S.: Topic aus Sonstiges (Delphi) verschoben am Di 07.08.2007 um 23:34

Wie man Prozesse auflistet und beendet, findest du hier alles im Forum.

Btw. ich schreibe gerade an einer Klasse dafür.

ich habe schon sehr viel ausprobiert allerdings konnte man damit keine prozesse beenden die sich wie csrss lsass
vllei hab ich auch schon das richtige gefunden aber leider versteh ich nicht viel davon daher komm ich nicht weiter...
und darum schreibe ich ja hier ins forum
bitte help

Ohne jetzt deinen Enthusiasmus bremsen zu wollen, aber hälst du es für sinnvoll, als Neuling in der "Delphi-Szene" direkt mit Programmen anzufangen, die im System rumpfuschen? Du gibst selber zu, dass du keine Ahnung davon hast - und bei solchen Dingen einfach nur Code zu kopieren ohne die Hintergründe zu kennen und den Code zu verstehen halte ich für sehr gefährlich.

Wie sieht das denn aus, was du schon gefunden hast?

heXXer321 hat folgendes geschrieben:

ich habe schon sehr viel ausprobiert allerdings konnte man damit keine prozesse beenden die sich wie csrss lsass vllei hab ich auch schon das richtige gefunden aber leider versteh ich nicht viel davon daher komm ich nicht weiter... und darum schreibe ich ja hier ins forum bitte help

Könnten wir uns mal daraufhin verständigen, dass du mal Interpunktion benutzt und Sätze bildest die einigermaßen grammatikalisch korrekt sind? Oder was soll das hier heißen:

Zitat:

ich habe schon sehr viel ausprobiert allerdings konnte man damit keine prozesse beenden die sich wie csrss lsass

Desweiteren bist du dir bewusst, was dies für Prozesse sind und welche Aufgabe sie im System haben und was es bedeutet sie zu beenden?

oh man!
hab ich das so schwer forumliert??
wennn jetzt ein zweiter prozess names csrss.exe geöffnet ist zb ein trojaner oder sonst was kann man ihn über den taskmanager nicht killen und das programm soll aber den 2. prozess killn und den vom system weiter laufen lassen....jetzt verständlich??und was gefällt dir an dem satz nicht?ok ich werd ihn mal für dich ausformulieren,
ich hab schon sehr viele codes ausprobiert allerdings konnte man damit keine systemprozesse beenden.

ich hoffe ihr wisst jetzt alle worauf ich hinaus will ist ja eigentlich nicht schwer zu verstehen

@ Gausi
naja ich weiß das ich es warscheinlich nicht ohne hilfe hinbekommen werde darum frag ich ja euch.

heXXer321 hat folgendes geschrieben:

hab ich das so schwer forumliert??

Ja. Nicht umsonst gibt es in der deutschen Schriftsprache Satzzeichen.

Hier die Klasse inklusive Demo:
www.delphipraxis.net...4_enumprocesses.html

Hallo heXXer321...

Versuchs mal mit dem Aktivieren des SeDebugPrivilege für deinen "Killerprozess".
APIs:
-> LookupPrivilegeValue mit SeDebugPrivilege
-> OpenProcessToken mit GetCurrentProcess
-> AdjustTokenPrivileges

Das ein zweiter CSRSS Prozess nicht über den Taskmanager beendet werden kann, liegt am Taskmanager selber. Läuft der zweite CSRSS Prozess im Account des ausführenden Users und sind dessen Prozessrechte nicht eingeschränkt, kann man den Prozess ohne weiteres auch auf normalem Weg beenden.

In den Windows Taskmanager ist eine kleine Sicherheitsabfrage eingebaut, die es normalen Usern erschweren soll, durch das Killen von Systemprozessen ihr System abzuschießen. Der Taskmanager reagiert dabei auf die Prozessnamen (LSASS.EXE, CSRSS.EXE...). Es ist wohl kaum anzunehmen, dass ein Malwareschreiber, der zu diesen Mitteln greift (?greifen muss?), sein Proggie als Service deklariert oder den Security Descriptor ändert .

Gruß

AHT