sind ALLE Prozesse im Taskmgr sichtbar?

03.03.2004, 19:18
Member

Beiträge: 686
#1 n'Abend zusammen,

kann man eigentlich sicher sein, dass alle laufenden Prozesse ohne Ausnahme im Taskmanager zu sehen sind? Ich frag nur so wegen aktiven Trojanern und Viren, die man ja immer erkennen kann, wenn man in den Taskmgr reinkuckt.
Also wenn ich son böser Bube wär würde ich alles dransetzen und ein Programm bauen, was sich vor dem Taskmanager und diesen Tools wie hijackthis undsoweiter versteckt.

Gruß R.
Seitenanfang Seitenende
03.03.2004, 19:27
Member
Avatar Dafra

Beiträge: 1122
#2 Das ist schwer, aber nicht unmöglich, wie der Trojaner Optix 1.32 beweißt.
Aber ich benutze den Task-manager eh nicht mehr, es gibt viel bessere Alternativen.
Bevor jetzt wer fragt, was ich nutze, ich nutze "Process Explorer ( http://www.sysinternals.com ist kostenlos)" für die Autostart nutze ich
"Autostart-Manager ( http://lab1.de/Central/Software/System-Tools/Autostart-Manager/ auch kostenlos)
MFG
DAFRA
Dieser Beitrag wurde am 03.03.2004 um 19:28 Uhr von Dafra editiert.
Seitenanfang Seitenende
03.03.2004, 19:41
Member

Themenstarter

Beiträge: 686
#3 Hmm, also der Optix?
Hast du mal nen Link für ne genauere Beschreibung da? Bei Symantec finde ich nur allgemein "Hide files from the user". Das kann ja alles mögliche heißen.

R.
Seitenanfang Seitenende
03.03.2004, 19:55
Member
Avatar Dafra

Beiträge: 1122
#4 Hier die Links:
http://www.megasecurity.org/trojans/o/optix/Optixpro1.32.html
Klick mich

Zitat

OptixPro 1.3 hat doch auch ein cloaking-Funktion, die die Datei und Reg-Einträge versteckt
Mehr hab ich auf die schnelle nicht gefunden....
Hoffe ich konnte dir helfen.
MFG
DAFRA
Dieser Beitrag wurde am 03.03.2004 um 19:55 Uhr von Dafra editiert.
Seitenanfang Seitenende
03.03.2004, 21:40
Member

Beiträge: 813
#5 Windows-Rootkits, die gerade schwer in Mode kommen, verstecken Dateien und Reg-Einträge z.T. auf noch tieferer Ebene als Optix1.32 - nämlich durch Kernel-Treiber.

Prominentestes Opfer eines solchen Kernel-Rootkits sind die Macher von "HalfLife 2", denen auf diese Weise (bekanntermaßen) ihr Source-Code "geleakt" ist...

Auf unserer Seite findet sich ein Artikel von Nautilus zu dem Thema:
http://home.arcor.de/scheinsicherheit/rootkits.htm
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 03.03.2004 um 21:41 Uhr von forge77 editiert.
Seitenanfang Seitenende
03.03.2004, 21:44
Member
Avatar Dafra

Beiträge: 1122
#6 Ahhh wieder was dazugelernt ;) Thx für die Infos.
MFG
DAFRA
Seitenanfang Seitenende
03.03.2004, 22:18
Member

Beiträge: 14
#7 Moin.

man hat die möglichkeit, dass prozesse nicht im taskmanager angezeigt werden. man sie aber sehen, -> eingabeaufforderung und eingabe: tasklist

Gruss BC
Seitenanfang Seitenende
04.03.2004, 10:06
Member
Avatar Spike20

Beiträge: 504
#8 @brainchaos: Cool, wusste ich auch noch nicht.
Aber der Task-Manager zeigt mir immer noch mehr Prozesse an! ...???
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)
Seitenanfang Seitenende
04.03.2004, 11:17
Member

Beiträge: 813
#9 @brainchaos
Was meinst du genau mit "man hat die möglichkeit, dass prozesse nicht im taskmanager angezeigt werden." ?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 04.03.2004 um 11:17 Uhr von forge77 editiert.
Seitenanfang Seitenende
04.03.2004, 20:10
Member

Themenstarter

Beiträge: 686
#10 Ich denk ich will nochmal klarstellen, was ich eigentlich fragen wollte. Es geht mir nicht darum, dass Dateien oder Registry-Einträge versteckt werden können, sondern um die Anzeige von AKTIVEN Prozessen, laufende Programme, Tasks, speicherresidente Progs oder wie man sie auch immer nennen möchte. In dem Zusammenhang finde ich den Link von Forge77 recht interessant.
Nach meiner Meinung kann man doch in Windows eigentlich keine Prozesse platzieren, ohne dass Windows davon weiß. Das System muss beim Start jedes Programms Speicherplatz reservieren, und wenn du es schaffst ein Prog einfach irgendwo hin zu setzen, dann fliegt es dir bald wieder um die Ohren, weil Windows den nächsten oder übernächsten Thread genau da reinsetzt. Es kann doch wohl nur darum gehen, die ANZEIGE eines bestimmten laufenden Prozesses zu unterdrücken. Es sei denn es gibt irgendwo wenig bekannte Nischen, die vom Speichermanagement nicht erfasst werden.
Damals, vor ungefähr 150 Jahren ;) , habe ich in DOS mal kleine Assemblerdinger in bestimmte praktisch nicht genutzte Speichernischen gesetzt, die wurden von einem manipulierten Partitionscode beim Booten geladen. Heute blick ich durch dieses Windows nicht mehr durch. Deswegen auch meine Frage, wie man die Anzeige von Prozessen unterdrücken kann. Das was hier kommt ist so ein bisschen vage, ja eigentlich schon, wahrscheilich geht es, der da hats gemacht. Am schönsten wär es ja wenn einer erklären könnte, wie es geht.

R
Seitenanfang Seitenende
04.03.2004, 22:21
Member

Themenstarter

Beiträge: 686
#11 Hey @brainchaos,

in meinem W2k gibbet TASKLIST.EXE nicht. Wo hast du das?
Seitenanfang Seitenende
24.03.2004, 15:39
...neu hier

Beiträge: 7
#12

Zitat

Nach meiner Meinung kann man doch in Windows eigentlich keine Prozesse platzieren, ohne dass Windows davon weiss.
Falsch! Mittels Kernel-Treiber können sich (anscheinend) z.B. Dienste aus den internen Windows-Strukturen entfernen, so dass selbst Windows nicht mehr weiss, dass der Dienst/Treiber geladen wurde.

In der vorletzten c't wurde der Security Task Manager (http://www.neuber.com/taskmanager/deutsch/index.html) vorgestellt. Dieser listet wohl alle aktiven Prozesse auf (inkl. Sicherheitsrating).

Berndy
Dieser Beitrag wurde am 24.03.2004 um 15:39 Uhr von Berndy editiert.
Seitenanfang Seitenende
25.03.2004, 18:21
Member

Themenstarter

Beiträge: 686
#13 Ach, Berndy.

Falsch! schreibst du. Woher weißt du das? Wo kann ich das nachlesen?

Immerhin ein kleiner Hinweis dazu auf der Seite von dem Security Task Manager.

R.
Seitenanfang Seitenende
25.03.2004, 23:20
Member

Beiträge: 1095
#14 HI all

Ziemlich gutes Programm zur Taskanzeige ist auch
TaskInfo 2003
http://www.download-archiv.de/downloads/Systemprogramme/Sonstiges/5798.shtml

Zeigt auch den Optix an

Gruß paff
Link dazu
http://www.rokop-security.de/board/index.php?showtopic=588
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
26.03.2004, 11:33
...neu hier

Beiträge: 7
#15 Hi rherder,

> Falsch! schreibst du. Woher wei�t du das? Wo kann ich das nachlesen?

habe Dir einen Link zu einem Rootkit privat geschickt (Ich möchte keine Werbung für irgendwelche Toolz hier machen :-) ). Dort wird erläutert was machbar ist.

Das ich den STM immer (also max. 2 mal) erwähnt habe, liegt wohl daran, dass ich den auf meiner Platte habe :-)

Aber sowohl der STM v1.0 als auch TaskInfo 2003 v5.0 zeigen keine Prozesse an, die sich mit madshis Komponenten (http://help.madshi.net/ApiHookingMethods.htm) verstecken. Nur um mal das Vertrauen in diverse TaskManager mal zu zerstören. Gibt es irgendwo noch andere Testprogramme, die sich vor den bekannten TaskManager verstecken können?

Berndy
Seitenanfang Seitenende