Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wie kann ich für x-beliebige Prozesse auslesen, welche DLLs diese geladen haben?

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

28.10.2011, aktualisiert 18:03 Uhr, 3036 Aufrufe, 4 Kommentare

...zum Freitagnachmittag eine angenehme Frage, dachte ich mir...

Hallo Kollegen,

ich kenne process explorer und auch listdlls. Diese können mir für die meisten Prozesse das Gewünschte liefern. Für einen Dienst (hier avp.exe, Kaspersky-Virenscanner) jedoch nicht, die Ausgabe bleibt leer. Warum?

Meine Vermutung ist, dass die Tools nicht das Recht haben, diesen von Kaspersky geschützten Prozess abzufragen. Die Tools wurden mit dem Adminkonto elevated und ebenso mit dem Systemkonto ausgeführt mit dem selben Ergebnis. Wie kann ich dem Dienst, welcher die avp.exe startet, ansehen, ob ich das Recht habe, ihn derartig abzufragen?

Mit dem Kommando
sc sdshow avp
und anschließender Konvertierung der Ausgabe mit sddlparse komme ich auf:
C:\Users\io\Desktop>sddlparse D:(A;;CCLCSWRPLOCRRC;;;WD)(A;;CCLCSWRPWPDTLOC 
RRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOC 
RRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) 
SDDL: D:(A;;CCLCSWRPLOCRRC;;;WD)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLO 
CRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPW 
PDTLOCRSDRCWDWO;;;WD) 
Ace count: 5 
**** ACE 1 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: Everyone 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 2 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\SYSTEM 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_WRITE_PROP 
  ADS_RIGHT_DS_DELETE_TREE 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 3 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: BUILTIN\Administratoren 
AccessMask: 
  ADS_RIGHT_DELETE 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_WRITE_DAC 
  ADS_RIGHT_WRITE_OWNER 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_DS_DELETE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_WRITE_PROP 
  ADS_RIGHT_DS_DELETE_TREE 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 4 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\INTERACTIVE 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 5 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\SERVICE 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0
Ist das die richtige Stelle zum Suchen? Fehlt ein Recht?

[Edit Biber] Als Code formatiert, weil sonst so viele Smileys etwas die Ernsthaftigkeit untergraben. [/Edit]
Mitglied: Connor1980
28.10.2011 um 17:33 Uhr
Hi,

vllt. verstehe ich die Frage an meinem Urlaubstag auch falsch, aber wenn ich bei mir den Process Explorer als Administrator ausführe (Win 7 Ult. x64) und mir die ekrn.exe anschaue, also den Dienst für ESET NOD32, dann wird mir dort jede Menge an dlls aufgezählt. Mach ich das gleiche ohne "als Administrator ausführen", bekomme ich keine Dateien aufgelistet und unter Properties von ekrn.exe steht im Reiter Security für User <access denied> (als Admin: NT-AUTORITÄT\SYSTEM). Soweit scheint das bei mir korrekt zu sein.

Vielleicht kann noch jemand dieses Verhalten bestätigen?

Grüße
Bitte warten ..
Mitglied: DerWoWusste
28.10.2011 um 17:39 Uhr
Hi und Danke für's Nachstellen.
Ich schrieb ja, dass ich es als Admin und elevated ausführe (ebenso als Systemkonto) - daran liegt es nicht.
Bitte warten ..
Mitglied: mrtux
28.10.2011 um 17:44 Uhr
Hi !

Also manche Antivirentools installieren heute (zusätzlich zum Wächterprozess als Dienst) auch einen Kernelmode Treiber, der einen Hook setzt und alle Anfragen und (auch Speicher-) Zugriffe auf sich umbiegt (vergleichbar wie das z.B. ein Rootkit macht) daher kann es aber muss es nicht unbedingt nur an den Rechten liegen. Auch einige Kopierschutztools arbeiten so.

Sowas kannst Du dann in Echtzeit nur noch mit "Forensik-Tools" monitoren, die dann ebenfalls so oder ähnlich arbeiten oder Tools die ein Speicherabbild über die Netzwerkkarte an einen anderen Rechner zur Auswertung schicken können. In einer älteren ct wurde solche Tools schon vorgestellt, mit denen Du sehen kannst ob irgendwelche Adressen umgebogen werden oder nicht...

Und leider wiedermal nur eine allgemeine gehaltene Antwort, da wir Kaspersky schon seit einigen Jahren nicht mehr einsetzen.

mrtux
Bitte warten ..
Mitglied: DerWoWusste
28.10.2011 um 18:02 Uhr
Gut. Das könnte die Erklärung sein. Ich werd einen Workaround nutzen und schlicht das Auditing auf die betroffene dll einschalten um zu sehen, ob sie noch geladen wird.

Danke
Bitte warten ..
Ähnliche Inhalte
PHP

Google-Translater mittels Button von x-beliebiger eigenen Webseite aufrufen

gelöst Frage von dysti99PHP14 Kommentare

Hallo, ich möchte den Google-Translater mittels Button von x-beliebiger eigenen Webseite aufrufen. Der Button ist als sogenanntes Masterobject eingebunden ...

Batch & Shell

Batch: CPU-Auslastung eines Prozesses auslesen und als Variable definieren

gelöst Frage von tralvellerBatch & Shell3 Kommentare

Hallo zusammen, ich bin aktuell daran ein Batch-Skript zu erstellen, worin ich: - Prozess mit aktueller CPU-Last auslese - ...

Microsoft Office

Bedingte Formatierung für mehrere Zellen wenn eine X-beliebige Zelle gefüllt ist

gelöst Frage von JensR2002Microsoft Office3 Kommentare

Guten Tag alle zusammen, ich verzweifle ein wenig. Ich habe eine Tabelle mit mehreren Zeilen und Spalten in denen ...

Windows Server

Zeit von beliebigen Server holen

Frage von 77282Windows Server10 Kommentare

Hallo, nachdem ich mich jetzt längere Zeit mit NTP beschäftigt habe, ist noch eine Frage aufgetaucht. Ich habe einen ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 9 StundenSonstige Systeme4 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 12 StundenDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 17 StundenWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 1 TagHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
Viren und Trojaner
Office365 Trojaner Analyse
Frage von ZeppelinViren und Trojaner14 Kommentare

Liebe Community, ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden ...

Netzwerkgrundlagen
Werksreset HP 1920S-24G
gelöst Frage von HenereNetzwerkgrundlagen14 Kommentare

Servus zusammen, ich habe mir 2 neue Switche zugelegt, doch ich komme damit nicht ganz klar. Waren Vorführgeräte zum ...

DSL, VDSL
DSL Monitoring Tool - Quick and dirty?
Frage von george44DSL, VDSL13 Kommentare

Liebe Gemeinde, ich suche ein einfaches und vor allem schnell zu installierendes Monitoring-Tool zur kontinuierlichen Dokumentation (nur) der Internetanbindung. ...

Firewall
Sophos UTM 9.5 Firewall Log-File durchsuchen
gelöst Frage von Leo-leFirewall12 Kommentare

Hallo zusammen, weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann? ...