sind ALLE Prozesse im Taskmgr sichtbar?

#1 n'Abend zusammen,

kann man eigentlich sicher sein, dass alle laufenden Prozesse ohne Ausnahme im Taskmanager zu sehen sind? Ich frag nur so wegen aktiven Trojanern und Viren, die man ja immer erkennen kann, wenn man in den Taskmgr reinkuckt.
Also wenn ich son böser Bube wär würde ich alles dransetzen und ein Programm bauen, was sich vor dem Taskmanager und diesen Tools wie hijackthis undsoweiter versteckt.

Gruß R.

#2 Das ist schwer, aber nicht unmöglich, wie der Trojaner Optix 1.32 beweißt.
Aber ich benutze den Task-manager eh nicht mehr, es gibt viel bessere Alternativen.
Bevor jetzt wer fragt, was ich nutze, ich nutze "Process Explorer ( http://www.sysinternals.com ist kostenlos)" für die Autostart nutze ich
"Autostart-Manager ( http://lab1.de/Central/Software/System-Tools/Autostart-Manager/ auch kostenlos)
MFG
DAFRA

#3 Hmm, also der Optix?
Hast du mal nen Link für ne genauere Beschreibung da? Bei Symantec finde ich nur allgemein "Hide files from the user". Das kann ja alles mögliche heißen.

R.

#4 Hier die Links:
http://www.megasecurity.org/trojans/o/optix/Optixpro1.32.html
Klick mich

Zitat

OptixPro 1.3 hat doch auch ein cloaking-Funktion, die die Datei und Reg-Einträge versteckt

Mehr hab ich auf die schnelle nicht gefunden....
Hoffe ich konnte dir helfen.
MFG
DAFRA

#5 Windows-Rootkits, die gerade schwer in Mode kommen, verstecken Dateien und Reg-Einträge z.T. auf noch tieferer Ebene als Optix1.32 - nämlich durch Kernel-Treiber.

Prominentestes Opfer eines solchen Kernel-Rootkits sind die Macher von "HalfLife 2", denen auf diese Weise (bekanntermaßen) ihr Source-Code "geleakt" ist...

Auf unserer Seite findet sich ein Artikel von Nautilus zu dem Thema:
http://home.arcor.de/scheinsicherheit/rootkits.htm
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#6 Ahhh wieder was dazugelernt Thx für die Infos.
MFG
DAFRA

#7 Moin.

man hat die möglichkeit, dass prozesse nicht im taskmanager angezeigt werden. man sie aber sehen, -> eingabeaufforderung und eingabe: tasklist

Gruss BC

#8 @brainchaos: Cool, wusste ich auch noch nicht.
Aber der Task-Manager zeigt mir immer noch mehr Prozesse an! ...???
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#9 @brainchaos
Was meinst du genau mit "man hat die möglichkeit, dass prozesse nicht im taskmanager angezeigt werden." ?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 Ich denk ich will nochmal klarstellen, was ich eigentlich fragen wollte. Es geht mir nicht darum, dass Dateien oder Registry-Einträge versteckt werden können, sondern um die Anzeige von AKTIVEN Prozessen, laufende Programme, Tasks, speicherresidente Progs oder wie man sie auch immer nennen möchte. In dem Zusammenhang finde ich den Link von Forge77 recht interessant.
Nach meiner Meinung kann man doch in Windows eigentlich keine Prozesse platzieren, ohne dass Windows davon weiß. Das System muss beim Start jedes Programms Speicherplatz reservieren, und wenn du es schaffst ein Prog einfach irgendwo hin zu setzen, dann fliegt es dir bald wieder um die Ohren, weil Windows den nächsten oder übernächsten Thread genau da reinsetzt. Es kann doch wohl nur darum gehen, die ANZEIGE eines bestimmten laufenden Prozesses zu unterdrücken. Es sei denn es gibt irgendwo wenig bekannte Nischen, die vom Speichermanagement nicht erfasst werden.
Damals, vor ungefähr 150 Jahren , habe ich in DOS mal kleine Assemblerdinger in bestimmte praktisch nicht genutzte Speichernischen gesetzt, die wurden von einem manipulierten Partitionscode beim Booten geladen. Heute blick ich durch dieses Windows nicht mehr durch. Deswegen auch meine Frage, wie man die Anzeige von Prozessen unterdrücken kann. Das was hier kommt ist so ein bisschen vage, ja eigentlich schon, wahrscheilich geht es, der da hats gemacht. Am schönsten wär es ja wenn einer erklären könnte, wie es geht.

R

#11 Hey @brainchaos,

in meinem W2k gibbet TASKLIST.EXE nicht. Wo hast du das?

#12

Zitat

Nach meiner Meinung kann man doch in Windows eigentlich keine Prozesse platzieren, ohne dass Windows davon weiss.

Falsch! Mittels Kernel-Treiber können sich (anscheinend) z.B. Dienste aus den internen Windows-Strukturen entfernen, so dass selbst Windows nicht mehr weiss, dass der Dienst/Treiber geladen wurde.

In der vorletzten c't wurde der Security Task Manager (http://www.neuber.com/taskmanager/deutsch/index.html) vorgestellt. Dieser listet wohl alle aktiven Prozesse auf (inkl. Sicherheitsrating).

Berndy

#13 Ach, Berndy.

Falsch! schreibst du. Woher weißt du das? Wo kann ich das nachlesen?

Immerhin ein kleiner Hinweis dazu auf der Seite von dem Security Task Manager.

R.

#14 HI all

Ziemlich gutes Programm zur Taskanzeige ist auch
TaskInfo 2003
http://www.download-archiv.de/downloads/Systemprogramme/Sonstiges/5798.shtml

Zeigt auch den Optix an

Gruß paff
Link dazu
http://www.rokop-security.de/board/index.php?showtopic=588
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#15 Hi rherder,

> Falsch! schreibst du. Woher wei�t du das? Wo kann ich das nachlesen?

habe Dir einen Link zu einem Rootkit privat geschickt (Ich möchte keine Werbung für irgendwelche Toolz hier machen :-) ). Dort wird erläutert was machbar ist.

Das ich den STM immer (also max. 2 mal) erwähnt habe, liegt wohl daran, dass ich den auf meiner Platte habe :-)

Aber sowohl der STM v1.0 als auch TaskInfo 2003 v5.0 zeigen keine Prozesse an, die sich mit madshis Komponenten (http://help.madshi.net/ApiHookingMethods.htm) verstecken. Nur um mal das Vertrauen in diverse TaskManager mal zu zerstören. Gibt es irgendwo noch andere Testprogramme, die sich vor den bekannten TaskManager verstecken können?

Berndy