Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wie kann ich für x-beliebige Prozesse auslesen, welche DLLs diese geladen haben?

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

28.10.2011, aktualisiert 18:03 Uhr, 3054 Aufrufe, 4 Kommentare

...zum Freitagnachmittag eine angenehme Frage, dachte ich mir...

Hallo Kollegen,

ich kenne process explorer und auch listdlls. Diese können mir für die meisten Prozesse das Gewünschte liefern. Für einen Dienst (hier avp.exe, Kaspersky-Virenscanner) jedoch nicht, die Ausgabe bleibt leer. Warum?

Meine Vermutung ist, dass die Tools nicht das Recht haben, diesen von Kaspersky geschützten Prozess abzufragen. Die Tools wurden mit dem Adminkonto elevated und ebenso mit dem Systemkonto ausgeführt mit dem selben Ergebnis. Wie kann ich dem Dienst, welcher die avp.exe startet, ansehen, ob ich das Recht habe, ihn derartig abzufragen?

Mit dem Kommando
sc sdshow avp
und anschließender Konvertierung der Ausgabe mit sddlparse komme ich auf:
C:\Users\io\Desktop>sddlparse D:(A;;CCLCSWRPLOCRRC;;;WD)(A;;CCLCSWRPWPDTLOC
RRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOC
RRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
SDDL: D:(A;;CCLCSWRPLOCRRC;;;WD)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLO
CRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPW
PDTLOCRSDRCWDWO;;;WD)
Ace count: 5
**** ACE 1 of 5 ****
ACE Type: ACCESS_ALLOWED_ACE_TYPE
Trustee: Everyone
AccessMask:
  ADS_RIGHT_READ_CONTROL
  ADS_RIGHT_DS_CREATE_CHILD
  ADS_RIGHT_ACTRL_DS_LIST
  ADS_RIGHT_DS_SELF
  ADS_RIGHT_DS_READ_PROP
  ADS_RIGHT_DS_LIST_OBJECT
  ADS_RIGHT_DS_CONTROL_ACCESS
Inheritance flags: 0
**** ACE 2 of 5 ****
ACE Type: ACCESS_ALLOWED_ACE_TYPE
Trustee: NT AUTHORITY\SYSTEM
AccessMask:
  ADS_RIGHT_READ_CONTROL
  ADS_RIGHT_DS_CREATE_CHILD
  ADS_RIGHT_ACTRL_DS_LIST
  ADS_RIGHT_DS_SELF
  ADS_RIGHT_DS_READ_PROP
  ADS_RIGHT_DS_WRITE_PROP
  ADS_RIGHT_DS_DELETE_TREE
  ADS_RIGHT_DS_LIST_OBJECT
  ADS_RIGHT_DS_CONTROL_ACCESS
Inheritance flags: 0
**** ACE 3 of 5 ****
ACE Type: ACCESS_ALLOWED_ACE_TYPE
Trustee: BUILTIN\Administratoren
AccessMask:
  ADS_RIGHT_DELETE
  ADS_RIGHT_READ_CONTROL
  ADS_RIGHT_WRITE_DAC
  ADS_RIGHT_WRITE_OWNER
  ADS_RIGHT_DS_CREATE_CHILD
  ADS_RIGHT_DS_DELETE_CHILD
  ADS_RIGHT_ACTRL_DS_LIST
  ADS_RIGHT_DS_SELF
  ADS_RIGHT_DS_READ_PROP
  ADS_RIGHT_DS_WRITE_PROP
  ADS_RIGHT_DS_DELETE_TREE
  ADS_RIGHT_DS_LIST_OBJECT
  ADS_RIGHT_DS_CONTROL_ACCESS
Inheritance flags: 0
**** ACE 4 of 5 ****
ACE Type: ACCESS_ALLOWED_ACE_TYPE
Trustee: NT AUTHORITY\INTERACTIVE
AccessMask:
  ADS_RIGHT_READ_CONTROL
  ADS_RIGHT_DS_CREATE_CHILD
  ADS_RIGHT_ACTRL_DS_LIST
  ADS_RIGHT_DS_SELF
  ADS_RIGHT_DS_LIST_OBJECT
  ADS_RIGHT_DS_CONTROL_ACCESS
Inheritance flags: 0
**** ACE 5 of 5 ****
ACE Type: ACCESS_ALLOWED_ACE_TYPE
Trustee: NT AUTHORITY\SERVICE
AccessMask:
  ADS_RIGHT_READ_CONTROL
  ADS_RIGHT_DS_CREATE_CHILD
  ADS_RIGHT_ACTRL_DS_LIST
  ADS_RIGHT_DS_SELF
  ADS_RIGHT_DS_LIST_OBJECT
  ADS_RIGHT_DS_CONTROL_ACCESS
Inheritance flags: 0
Ist das die richtige Stelle zum Suchen? Fehlt ein Recht?

[Edit Biber] Als Code formatiert, weil sonst so viele Smileys etwas die Ernsthaftigkeit untergraben. [/Edit]
Mitglied: Connor1980
28.10.2011 um 17:33 Uhr
Hi,

vllt. verstehe ich die Frage an meinem Urlaubstag auch falsch, aber wenn ich bei mir den Process Explorer als Administrator ausführe (Win 7 Ult. x64) und mir die ekrn.exe anschaue, also den Dienst für ESET NOD32, dann wird mir dort jede Menge an dlls aufgezählt. Mach ich das gleiche ohne "als Administrator ausführen", bekomme ich keine Dateien aufgelistet und unter Properties von ekrn.exe steht im Reiter Security für User <access denied> (als Admin: NT-AUTORITÄT\SYSTEM). Soweit scheint das bei mir korrekt zu sein.

Vielleicht kann noch jemand dieses Verhalten bestätigen?

Grüße
Bitte warten ..
Mitglied: DerWoWusste
28.10.2011 um 17:39 Uhr
Hi und Danke für's Nachstellen.
Ich schrieb ja, dass ich es als Admin und elevated ausführe (ebenso als Systemkonto) - daran liegt es nicht.
Bitte warten ..
Mitglied: mrtux
28.10.2011 um 17:44 Uhr
Hi !

Also manche Antivirentools installieren heute (zusätzlich zum Wächterprozess als Dienst) auch einen Kernelmode Treiber, der einen Hook setzt und alle Anfragen und (auch Speicher-) Zugriffe auf sich umbiegt (vergleichbar wie das z.B. ein Rootkit macht) daher kann es aber muss es nicht unbedingt nur an den Rechten liegen. Auch einige Kopierschutztools arbeiten so.

Sowas kannst Du dann in Echtzeit nur noch mit "Forensik-Tools" monitoren, die dann ebenfalls so oder ähnlich arbeiten oder Tools die ein Speicherabbild über die Netzwerkkarte an einen anderen Rechner zur Auswertung schicken können. In einer älteren ct wurde solche Tools schon vorgestellt, mit denen Du sehen kannst ob irgendwelche Adressen umgebogen werden oder nicht...

Und leider wiedermal nur eine allgemeine gehaltene Antwort, da wir Kaspersky schon seit einigen Jahren nicht mehr einsetzen.

mrtux
Bitte warten ..
Mitglied: DerWoWusste
28.10.2011 um 18:02 Uhr
Gut. Das könnte die Erklärung sein. Ich werd einen Workaround nutzen und schlicht das Auditing auf die betroffene dll einschalten um zu sehen, ob sie noch geladen wird.

Danke
Bitte warten ..
Ähnliche Inhalte
Microsoft Office

Prüfen ob Prozess aktiv, nach Zeit X falls ja beenden und erneut starten

Frage von thomas1972Microsoft Office3 Kommentare

Guten Morgen, ich löse in Access ein Button start, welcher mit ein Programm startet Nun kommt es oft vor, ...

Windows 10

Sandboxie s- dll fehlgeschlagen

gelöst Frage von Conrad10Windows 104 Kommentare

Hallo, nach der Implementierung von Sandboxie ("erfolgreich") kommt die Meldung, dass die Installation der SbieDll.dll fehlgeschlagen sei. Meine Software: ...

Windows 10

Suche Datei msvcr90.dll

gelöst Frage von HenereWindows 108 Kommentare

Hallo zusammen, ich benötige die msvcr90.dll. Trotz intensiver Suche im Internet und auf anderen Rechnern werde ich einfach nicht ...

Humor (lol)

Warum man sein Gast-WLAN nicht beliebig nennen sollte

Erfahrungsbericht von HenereHumor (lol)10 Kommentare

Servus, mal was aus dem Alltag. Zu Hause. Eigentlich wollte ich nur einen weiteren WLAN-AP ins Netz bringen, damit ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 1 TagWindows Server4 Kommentare

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 1 TagHumor (lol)6 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 1 TagSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 2 TagenInternet6 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Hardware
Frage an Kenner von 5,25 Zoll Laufwerken
Frage von DerWoWussteHardware54 Kommentare

Moin Kollegen. Hier wird gerade im Archiv gewühlt und 5,25 Zoll Disketten ("2S/HD", 96TPI) sollen eingelesen werden. Ich habe ...

Windows Tools
Dateiname Automatisch auf PDF Klartext oder als Barcode abdrucken
Frage von spongebob24Windows Tools29 Kommentare

Hallo Zusammen, habe eine tolle Anforderung bekommen. Ich sollte auf mehrere PDF Dateien Automatisch einen Stempel anbringen lassen. Toll ...

Internet
SDSL oder ADSL - Preis-Leistungs-Verhältnis
Frage von ZeppelinInternet22 Kommentare

Wehrte Community, der Unterschied dieser beiden Techniken ist recht einfach erklärt. Das S, steht für Synchron (Gleich) und das ...

Microsoft Office
MicroSoft und seine Lizenzen
Frage von ZeppelinMicrosoft Office19 Kommentare

Wehrte Community, ich wende mich an die Community weil MicroSoft dazu keine Stellung nehmen möchte. Ich öffne mein Web-Browser ...