sind ALLE Prozesse im Taskmgr sichtbar? |
||
---|---|---|
#0
| ||
03.03.2004, 19:18
Member
Beiträge: 686 |
||
|
||
03.03.2004, 19:27
Member
Beiträge: 1122 |
#2
Das ist schwer, aber nicht unmöglich, wie der Trojaner Optix 1.32 beweißt.
Aber ich benutze den Task-manager eh nicht mehr, es gibt viel bessere Alternativen. Bevor jetzt wer fragt, was ich nutze, ich nutze "Process Explorer ( http://www.sysinternals.com ist kostenlos)" für die Autostart nutze ich "Autostart-Manager ( http://lab1.de/Central/Software/System-Tools/Autostart-Manager/ auch kostenlos) MFG DAFRA Dieser Beitrag wurde am 03.03.2004 um 19:28 Uhr von Dafra editiert.
|
|
|
||
03.03.2004, 19:41
Member
Themenstarter Beiträge: 686 |
#3
Hmm, also der Optix?
Hast du mal nen Link für ne genauere Beschreibung da? Bei Symantec finde ich nur allgemein "Hide files from the user". Das kann ja alles mögliche heißen. R. |
|
|
||
03.03.2004, 19:55
Member
Beiträge: 1122 |
#4
Hier die Links:
http://www.megasecurity.org/trojans/o/optix/Optixpro1.32.html Klick mich Zitat OptixPro 1.3 hat doch auch ein cloaking-Funktion, die die Datei und Reg-Einträge verstecktMehr hab ich auf die schnelle nicht gefunden.... Hoffe ich konnte dir helfen. MFG DAFRA Dieser Beitrag wurde am 03.03.2004 um 19:55 Uhr von Dafra editiert.
|
|
|
||
03.03.2004, 21:40
Member
Beiträge: 813 |
#5
Windows-Rootkits, die gerade schwer in Mode kommen, verstecken Dateien und Reg-Einträge z.T. auf noch tieferer Ebene als Optix1.32 - nämlich durch Kernel-Treiber.
Prominentestes Opfer eines solchen Kernel-Rootkits sind die Macher von "HalfLife 2", denen auf diese Weise (bekanntermaßen) ihr Source-Code "geleakt" ist... Auf unserer Seite findet sich ein Artikel von Nautilus zu dem Thema: http://home.arcor.de/scheinsicherheit/rootkits.htm __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 03.03.2004 um 21:41 Uhr von forge77 editiert.
|
|
|
||
03.03.2004, 21:44
Member
Beiträge: 1122 |
||
|
||
03.03.2004, 22:18
Member
Beiträge: 14 |
#7
Moin.
man hat die möglichkeit, dass prozesse nicht im taskmanager angezeigt werden. man sie aber sehen, -> eingabeaufforderung und eingabe: tasklist Gruss BC |
|
|
||
04.03.2004, 10:06
Member
Beiträge: 504 |
#8
@brainchaos: Cool, wusste ich auch noch nicht.
Aber der Task-Manager zeigt mir immer noch mehr Prozesse an! ...??? __________ Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt. (Mark Twain) |
|
|
||
04.03.2004, 11:17
Member
Beiträge: 813 |
#9
@brainchaos
Was meinst du genau mit "man hat die möglichkeit, dass prozesse nicht im taskmanager angezeigt werden." ? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 04.03.2004 um 11:17 Uhr von forge77 editiert.
|
|
|
||
04.03.2004, 20:10
Member
Themenstarter Beiträge: 686 |
#10
Ich denk ich will nochmal klarstellen, was ich eigentlich fragen wollte. Es geht mir nicht darum, dass Dateien oder Registry-Einträge versteckt werden können, sondern um die Anzeige von AKTIVEN Prozessen, laufende Programme, Tasks, speicherresidente Progs oder wie man sie auch immer nennen möchte. In dem Zusammenhang finde ich den Link von Forge77 recht interessant.
Nach meiner Meinung kann man doch in Windows eigentlich keine Prozesse platzieren, ohne dass Windows davon weiß. Das System muss beim Start jedes Programms Speicherplatz reservieren, und wenn du es schaffst ein Prog einfach irgendwo hin zu setzen, dann fliegt es dir bald wieder um die Ohren, weil Windows den nächsten oder übernächsten Thread genau da reinsetzt. Es kann doch wohl nur darum gehen, die ANZEIGE eines bestimmten laufenden Prozesses zu unterdrücken. Es sei denn es gibt irgendwo wenig bekannte Nischen, die vom Speichermanagement nicht erfasst werden. Damals, vor ungefähr 150 Jahren , habe ich in DOS mal kleine Assemblerdinger in bestimmte praktisch nicht genutzte Speichernischen gesetzt, die wurden von einem manipulierten Partitionscode beim Booten geladen. Heute blick ich durch dieses Windows nicht mehr durch. Deswegen auch meine Frage, wie man die Anzeige von Prozessen unterdrücken kann. Das was hier kommt ist so ein bisschen vage, ja eigentlich schon, wahrscheilich geht es, der da hats gemacht. Am schönsten wär es ja wenn einer erklären könnte, wie es geht. R |
|
|
||
04.03.2004, 22:21
Member
Themenstarter Beiträge: 686 |
||
|
||
24.03.2004, 15:39
...neu hier
Beiträge: 7 |
#12
Zitat Nach meiner Meinung kann man doch in Windows eigentlich keine Prozesse platzieren, ohne dass Windows davon weiss.Falsch! Mittels Kernel-Treiber können sich (anscheinend) z.B. Dienste aus den internen Windows-Strukturen entfernen, so dass selbst Windows nicht mehr weiss, dass der Dienst/Treiber geladen wurde. In der vorletzten c't wurde der Security Task Manager (http://www.neuber.com/taskmanager/deutsch/index.html) vorgestellt. Dieser listet wohl alle aktiven Prozesse auf (inkl. Sicherheitsrating). Berndy Dieser Beitrag wurde am 24.03.2004 um 15:39 Uhr von Berndy editiert.
|
|
|
||
25.03.2004, 18:21
Member
Themenstarter Beiträge: 686 |
#13
Ach, Berndy.
Falsch! schreibst du. Woher weißt du das? Wo kann ich das nachlesen? Immerhin ein kleiner Hinweis dazu auf der Seite von dem Security Task Manager. R. |
|
|
||
25.03.2004, 23:20
Member
Beiträge: 1095 |
#14
HI all
Ziemlich gutes Programm zur Taskanzeige ist auch TaskInfo 2003 http://www.download-archiv.de/downloads/Systemprogramme/Sonstiges/5798.shtml Zeigt auch den Optix an Gruß paff Link dazu http://www.rokop-security.de/board/index.php?showtopic=588 __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
26.03.2004, 11:33
...neu hier
Beiträge: 7 |
#15
Hi rherder,
> Falsch! schreibst du. Woher wei�t du das? Wo kann ich das nachlesen? habe Dir einen Link zu einem Rootkit privat geschickt (Ich möchte keine Werbung für irgendwelche Toolz hier machen :-) ). Dort wird erläutert was machbar ist. Das ich den STM immer (also max. 2 mal) erwähnt habe, liegt wohl daran, dass ich den auf meiner Platte habe :-) Aber sowohl der STM v1.0 als auch TaskInfo 2003 v5.0 zeigen keine Prozesse an, die sich mit madshis Komponenten (http://help.madshi.net/ApiHookingMethods.htm) verstecken. Nur um mal das Vertrauen in diverse TaskManager mal zu zerstören. Gibt es irgendwo noch andere Testprogramme, die sich vor den bekannten TaskManager verstecken können? Berndy |
|
|
||
kann man eigentlich sicher sein, dass alle laufenden Prozesse ohne Ausnahme im Taskmanager zu sehen sind? Ich frag nur so wegen aktiven Trojanern und Viren, die man ja immer erkennen kann, wenn man in den Taskmgr reinkuckt.
Also wenn ich son böser Bube wär würde ich alles dransetzen und ein Programm bauen, was sich vor dem Taskmanager und diesen Tools wie hijackthis undsoweiter versteckt.
Gruß R.