huhu!
Ich verwende das Programm procmagic.exe um Prozesse zu verstecken.
http://dondie.de/?action=25&letter=Y&id=31
Man gibt die PID ein und schon verschwindet der Prozess aus dem Taskmanager.
Ist diese Methode zuverlässig?
Inwiefern könnten andere Programme den Prozess dennoch finden?
Gibt es bessere Alternativen?
Gruß
Paul
Hallo,
es immer sinnvoll, betriebssystem und Version zu nenen. dann werden sie leichter geholfen.
Zu Deiner Frage:
Nein, ist nicht zuverlässig.
Ja, andere Programme können den Prozeß dennoch finden.
mfg
tf
huhu!
es immer sinnvoll, betriebssystem und Version zu nenen. dann
werden sie leichter geholfen.
waaaaaa
Ich verplan’s immer wieder 
sry
Windows XP und aufm anderen Rechner Windows 7
Ja, andere Programme können den Prozeß dennoch finden.
hm
Wie siehts mit sowas aus?
http://www.rootkit.com/board_project_fused.php?did=p…
Gruß
Paul
Hallo,
Ja, andere Programme können den Prozeß dennoch finden.
hm
Wie siehts mit sowas aus?
http://www.rootkit.com/board_project_fused.php?did=p…
Genauso.
Um das mal klar zu machen: Der Kernel kontrolliert, welcher Prozess wann ausgeführt wird (das sogennate „scheduling“). Dazu muss der Prozess dem Kernel bekannt sein, und in der Warteliste des Schedulers auftauchen.
Jeder Prozess, der genug Berechtigungen hat, kann, wenn er es nur hart genug probiert, in diese Warteliste schauen. Es ist also unmöglich, einen Prozess derart zu verstecken, dass er zwar noch läuft, aber von anderen Prozessen nicht gefunden werden kann - die Frage ist immer, mit wie viel Aufwand.
Das einzige, was eventuell gehen könnte, wäre das Betriebssystem in einer eigenen Virtualisierungsumgebung laufen zu lassen, und dann dafür zu sorgen, dass die Virtualisierungsumgebung dem Betriebssystems so ins Scheduling reingreift, dass ein Prozess z.B. immer nach einem bestimmten anderen ausgeführt wird, und nie in der Prozessliste auftaucht - was dann aber neue Fragen aufwirft, wie z.B. wer die Resourcen des Prozesses verwaltet. Ich kenne zumindst kein derart fortgeschrittenes Virtualisierungsrootkit.
Grüße,
Moritz
Hallo Moritz,
Das einzige, was eventuell gehen könnte, wäre das
Betriebssystem in einer eigenen Virtualisierungsumgebung
laufen zu lassen, und dann dafür zu sorgen, dass die
Virtualisierungsumgebung dem Betriebssystems so ins Scheduling
reingreift, dass ein Prozess z.B. immer nach einem bestimmten
anderen ausgeführt wird, und nie in der Prozessliste auftaucht
- was dann aber neue Fragen aufwirft, wie z.B. wer die
Resourcen des Prozesses verwaltet. Ich kenne zumindst kein
derart fortgeschrittenes Virtualisierungsrootkit.
ITW meines WIssens nicht. Es gab aber vor vielen Jahren mal ein Proof-of-concept. Müsste schon so 6 oder 7 Jahre her sein. Vielleicht find ich morgen nen Link.
Gruß
osmodius
In der Regel werden solche Progrämmchen nicht bei hauptberuflichen Forensiker eingesetzt, sondern um Prozesse vor dem durchschnittlich begabten User zu verbergen.
Z.B. umd Prozesse zu vestecken, mit denen Mitarbeiter (oder die eigene Freundin) überwacht werden.
Aber Vorsicht: Eine solche Überwachung ist an enge rechtliche Grenzen gebunden und fast immer illegal.
Wenn’s rauskommt, hast du eine Menge Ärger am Hals.
Das einzige, was eventuell gehen könnte, wäre das
Betriebssystem in einer eigenen Virtualisierungsumgebung
laufen zu lassen, und dann dafür zu sorgen, dass die
Virtualisierungsumgebung dem Betriebssystems so ins Scheduling
reingreift, dass ein Prozess z.B. immer nach einem bestimmten
anderen ausgeführt wird, und nie in der Prozessliste auftaucht
- was dann aber neue Fragen aufwirft, wie z.B. wer die
Resourcen des Prozesses verwaltet. Ich kenne zumindst kein
derart fortgeschrittenes Virtualisierungsrootkit.
Hier der versprochene Link:
http://www.heise.de/security/meldung/Microsoft-demon…
Gruß
osmodius