9
Unsichtbarer Prozess
Hey ihr,
Bis vor kurzem dachte ich noch, dass alle Viren/Trojaner und so weiter alle mindestens
als Prozess sichtbar sein sollten. Vielleicht mit einem verfaelschten Namen - aber sichtbar.
Ein Tool namens 'Ardamax Keylogger' hat mich dann eines besseren belehrt, denn diese Software
ist absolut unsichtbar.
Es handelt sich dabei um einen Keylogger, der im Hintergrund alles Moegliche an eine E-Mail
adresse schickt oder auf FTP-Server hochlaed.
Ich frage mich jetzt nur, wie diese Programme so absolut unsichtbar bleiben koennen, weil
Windows doch eigentlich 'weiss', was alles laeuft und was der Prozessor gerade macht.
Wie kann es dann ein Programm geben, was nirgens sichtbar ist?
Koennen diese Programme Windows irgendwie ueberlisten? Warum ist der Ardamax Keylogger
dann legal?
Vielen Dank fuer eure Antworten
David
Bis vor kurzem dachte ich noch, dass alle Viren/Trojaner und so weiter alle mindestens
als Prozess sichtbar sein sollten. Vielleicht mit einem verfaelschten Namen - aber sichtbar.
Ein Tool namens 'Ardamax Keylogger' hat mich dann eines besseren belehrt, denn diese Software
ist absolut unsichtbar.
Es handelt sich dabei um einen Keylogger, der im Hintergrund alles Moegliche an eine E-Mail
adresse schickt oder auf FTP-Server hochlaed.
Ich frage mich jetzt nur, wie diese Programme so absolut unsichtbar bleiben koennen, weil
Windows doch eigentlich 'weiss', was alles laeuft und was der Prozessor gerade macht.
Wie kann es dann ein Programm geben, was nirgens sichtbar ist?
Koennen diese Programme Windows irgendwie ueberlisten? Warum ist der Ardamax Keylogger
dann legal?
Vielen Dank fuer eure Antworten
David
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 111811
Url: https://administrator.de/contentid/111811
Printed on: April 24, 2024 at 02:04 o'clock
9 Comments
Latest comment
Da ist erstmal die Frage, welches Windows Du nutzt. Arbeitest Du mit einem modernen Windows xp oder Vista und auch nicht mit Adminrechten, dann siehst Du im Taskmanager nur die Prozesse Deines Benutzers und die Systemprozesse - nicht aber Prozesse, die mit anderen Nutzerkonten gestartet wurden. Bei Win2000 ist das nicht so, da sieht auch ein schwacher Nutzer alle. Dennoch bezweifle ich, dass es daran liegt.
Rootkitprogramme können Prozesse, Registryeinträge und Dateien unsichtbar für Windows machen. Dies ist seit Ewigkeiten bekannt und ist auf verschiedenen Wegen zu erreichen, zum Beispiel auch über nicht interpretierbare Zeichen in der Registry. Informiere Dich über deren Arbeitsweise evtl. bei Wikipedia oder am besten bei Mark Russinovich, dem Microsoft-Experten für Rootkits. Hier zum Beispiel sehr ausführlich: http://blogs.technet.com/markrussinovich/archive/2005/10/31/sony-rootki ...
Rootkitprogramme können Prozesse, Registryeinträge und Dateien unsichtbar für Windows machen. Dies ist seit Ewigkeiten bekannt und ist auf verschiedenen Wegen zu erreichen, zum Beispiel auch über nicht interpretierbare Zeichen in der Registry. Informiere Dich über deren Arbeitsweise evtl. bei Wikipedia oder am besten bei Mark Russinovich, dem Microsoft-Experten für Rootkits. Hier zum Beispiel sehr ausführlich: http://blogs.technet.com/markrussinovich/archive/2005/10/31/sony-rootki ...
Hallo,
viele böse Programme tarnen sich auch als Dienste, Treiber oder Teile des Betriebssystems.
Stefan
viele böse Programme tarnen sich auch als Dienste, Treiber oder Teile des Betriebssystems.
Stefan
Moin,
die Frage allein ist schon ein Scherz, oder?
MS und Virus/bzw. Trojaner sind seit jeher nicht auseinander zu halten.
Ich sehe das Problem nicht.
Windows überlisten?
)
Gruß
Peter
die Frage allein ist schon ein Scherz, oder?
MS und Virus/bzw. Trojaner sind seit jeher nicht auseinander zu halten.
Ich sehe das Problem nicht.
Windows überlisten?
)Gruß
Peter
Naja hier ging es um XP und Vista mit adminrechten. Marks Blog werde ich mir mal ansehen....
Was fuer eine Software benutzt dieser Mark hier:
http://blogs.technet.com/markrussinovich/archive/2005/10/31/sony-rootki ...
Ich meine dieses Memory - Dump und Command - Dump, womit er diese Liste mit Zeigern auf die Kerneldieste ausgibt.
http://blogs.technet.com/markrussinovich/archive/2005/10/31/sony-rootki ...
Ich meine dieses Memory - Dump und Command - Dump, womit er diese Liste mit Zeigern auf die Kerneldieste ausgibt.
Steht doch alles im Text, oder nicht? Er beschreibt jeden Schritt.
Der Name der Software, welche die Adressen zu Kernelstartparametern angibt steht nicht drin...
Kann Dir noch nicht folgen, welche Textstelle/welches Bild ist das? Bei allen abgebildeten Programmen kann man den Namen aus dem Bild direkt entnehmen, er steht im Fenstertitel.
Doch WinDBG.exe jetzt weiss ich wie sein Programm hiess. Sorry 
