david777
Goto Top

Unsichtbarer Prozess

Hey ihr,

Bis vor kurzem dachte ich noch, dass alle Viren/Trojaner und so weiter alle mindestens
als Prozess sichtbar sein sollten. Vielleicht mit einem verfaelschten Namen - aber sichtbar.
Ein Tool namens 'Ardamax Keylogger' hat mich dann eines besseren belehrt, denn diese Software
ist absolut unsichtbar.
Es handelt sich dabei um einen Keylogger, der im Hintergrund alles Moegliche an eine E-Mail
adresse schickt oder auf FTP-Server hochlaed.
Ich frage mich jetzt nur, wie diese Programme so absolut unsichtbar bleiben koennen, weil
Windows doch eigentlich 'weiss', was alles laeuft und was der Prozessor gerade macht.
Wie kann es dann ein Programm geben, was nirgens sichtbar ist?
Koennen diese Programme Windows irgendwie ueberlisten? Warum ist der Ardamax Keylogger
dann legal?

Vielen Dank fuer eure Antworten

David

Content-ID: 111811

Url: https://administrator.de/forum/unsichtbarer-prozess-111811.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

DerWoWusste
DerWoWusste 18.03.2009 um 22:32:16 Uhr
Goto Top
Da ist erstmal die Frage, welches Windows Du nutzt. Arbeitest Du mit einem modernen Windows xp oder Vista und auch nicht mit Adminrechten, dann siehst Du im Taskmanager nur die Prozesse Deines Benutzers und die Systemprozesse - nicht aber Prozesse, die mit anderen Nutzerkonten gestartet wurden. Bei Win2000 ist das nicht so, da sieht auch ein schwacher Nutzer alle. Dennoch bezweifle ich, dass es daran liegt.

Rootkitprogramme können Prozesse, Registryeinträge und Dateien unsichtbar für Windows machen. Dies ist seit Ewigkeiten bekannt und ist auf verschiedenen Wegen zu erreichen, zum Beispiel auch über nicht interpretierbare Zeichen in der Registry. Informiere Dich über deren Arbeitsweise evtl. bei Wikipedia oder am besten bei Mark Russinovich, dem Microsoft-Experten für Rootkits. Hier zum Beispiel sehr ausführlich: http://blogs.technet.com/markrussinovich/archive/2005/10/31/sony-rootki ...
StefanKittel
StefanKittel 18.03.2009 um 22:46:47 Uhr
Goto Top
Hallo,

viele böse Programme tarnen sich auch als Dienste, Treiber oder Teile des Betriebssystems.

Stefan
Petrof
Petrof 18.03.2009 um 23:33:36 Uhr
Goto Top
Moin,

die Frage allein ist schon ein Scherz, oder?
MS und Virus/bzw. Trojaner sind seit jeher nicht auseinander zu halten.

Ich sehe das Problem nicht.

Windows überlisten? face-smile)

Gruß
Peter
David777
David777 19.03.2009 um 13:39:47 Uhr
Goto Top
Naja hier ging es um XP und Vista mit adminrechten. Marks Blog werde ich mir mal ansehen....
David777
David777 19.03.2009 um 14:43:17 Uhr
Goto Top
Was fuer eine Software benutzt dieser Mark hier:

http://blogs.technet.com/markrussinovich/archive/2005/10/31/sony-rootki ...

Ich meine dieses Memory - Dump und Command - Dump, womit er diese Liste mit Zeigern auf die Kerneldieste ausgibt.
DerWoWusste
DerWoWusste 19.03.2009 um 20:01:58 Uhr
Goto Top
Steht doch alles im Text, oder nicht? Er beschreibt jeden Schritt.
David777
David777 19.03.2009 um 20:45:37 Uhr
Goto Top
Der Name der Software, welche die Adressen zu Kernelstartparametern angibt steht nicht drin...
DerWoWusste
DerWoWusste 19.03.2009 um 20:57:03 Uhr
Goto Top
Kann Dir noch nicht folgen, welche Textstelle/welches Bild ist das? Bei allen abgebildeten Programmen kann man den Namen aus dem Bild direkt entnehmen, er steht im Fenstertitel.
David777
David777 20.03.2009 um 14:31:26 Uhr
Goto Top
Doch WinDBG.exe jetzt weiss ich wie sein Programm hiess. Sorry face-wink