Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wie kann ich für x-beliebige Prozesse auslesen, welche DLLs diese geladen haben?

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

28.10.2011, aktualisiert 18:03 Uhr, 3034 Aufrufe, 4 Kommentare

...zum Freitagnachmittag eine angenehme Frage, dachte ich mir...

Hallo Kollegen,

ich kenne process explorer und auch listdlls. Diese können mir für die meisten Prozesse das Gewünschte liefern. Für einen Dienst (hier avp.exe, Kaspersky-Virenscanner) jedoch nicht, die Ausgabe bleibt leer. Warum?

Meine Vermutung ist, dass die Tools nicht das Recht haben, diesen von Kaspersky geschützten Prozess abzufragen. Die Tools wurden mit dem Adminkonto elevated und ebenso mit dem Systemkonto ausgeführt mit dem selben Ergebnis. Wie kann ich dem Dienst, welcher die avp.exe startet, ansehen, ob ich das Recht habe, ihn derartig abzufragen?

Mit dem Kommando
sc sdshow avp
und anschließender Konvertierung der Ausgabe mit sddlparse komme ich auf:
C:\Users\io\Desktop>sddlparse D:(A;;CCLCSWRPLOCRRC;;;WD)(A;;CCLCSWRPWPDTLOC 
RRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOC 
RRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) 
SDDL: D:(A;;CCLCSWRPLOCRRC;;;WD)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLO 
CRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPW 
PDTLOCRSDRCWDWO;;;WD) 
Ace count: 5 
**** ACE 1 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: Everyone 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 2 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\SYSTEM 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_WRITE_PROP 
  ADS_RIGHT_DS_DELETE_TREE 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 3 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: BUILTIN\Administratoren 
AccessMask: 
  ADS_RIGHT_DELETE 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_WRITE_DAC 
  ADS_RIGHT_WRITE_OWNER 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_DS_DELETE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_WRITE_PROP 
  ADS_RIGHT_DS_DELETE_TREE 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 4 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\INTERACTIVE 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 5 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\SERVICE 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0
Ist das die richtige Stelle zum Suchen? Fehlt ein Recht?

[Edit Biber] Als Code formatiert, weil sonst so viele Smileys etwas die Ernsthaftigkeit untergraben. [/Edit]
Mitglied: Connor1980
28.10.2011 um 17:33 Uhr
Hi,

vllt. verstehe ich die Frage an meinem Urlaubstag auch falsch, aber wenn ich bei mir den Process Explorer als Administrator ausführe (Win 7 Ult. x64) und mir die ekrn.exe anschaue, also den Dienst für ESET NOD32, dann wird mir dort jede Menge an dlls aufgezählt. Mach ich das gleiche ohne "als Administrator ausführen", bekomme ich keine Dateien aufgelistet und unter Properties von ekrn.exe steht im Reiter Security für User <access denied> (als Admin: NT-AUTORITÄT\SYSTEM). Soweit scheint das bei mir korrekt zu sein.

Vielleicht kann noch jemand dieses Verhalten bestätigen?

Grüße
Bitte warten ..
Mitglied: DerWoWusste
28.10.2011 um 17:39 Uhr
Hi und Danke für's Nachstellen.
Ich schrieb ja, dass ich es als Admin und elevated ausführe (ebenso als Systemkonto) - daran liegt es nicht.
Bitte warten ..
Mitglied: mrtux
28.10.2011 um 17:44 Uhr
Hi !

Also manche Antivirentools installieren heute (zusätzlich zum Wächterprozess als Dienst) auch einen Kernelmode Treiber, der einen Hook setzt und alle Anfragen und (auch Speicher-) Zugriffe auf sich umbiegt (vergleichbar wie das z.B. ein Rootkit macht) daher kann es aber muss es nicht unbedingt nur an den Rechten liegen. Auch einige Kopierschutztools arbeiten so.

Sowas kannst Du dann in Echtzeit nur noch mit "Forensik-Tools" monitoren, die dann ebenfalls so oder ähnlich arbeiten oder Tools die ein Speicherabbild über die Netzwerkkarte an einen anderen Rechner zur Auswertung schicken können. In einer älteren ct wurde solche Tools schon vorgestellt, mit denen Du sehen kannst ob irgendwelche Adressen umgebogen werden oder nicht...

Und leider wiedermal nur eine allgemeine gehaltene Antwort, da wir Kaspersky schon seit einigen Jahren nicht mehr einsetzen.

mrtux
Bitte warten ..
Mitglied: DerWoWusste
28.10.2011 um 18:02 Uhr
Gut. Das könnte die Erklärung sein. Ich werd einen Workaround nutzen und schlicht das Auditing auf die betroffene dll einschalten um zu sehen, ob sie noch geladen wird.

Danke
Bitte warten ..
Ähnliche Inhalte
Windows 7

Beliebigen Button in Windows7 auslesen bzw Verknüpfung erstellen.

Frage von dayz95Windows 71 Kommentar

Hallo, Ich möchte eine Verküpfung zu den "LAN-Einstellungen" bzw "Einstellungen für lokales Netzwerk" erstellen. Die Internetoptionen Datei konnte ich ...

Batch & Shell

Powershell Remote Prozess auslesen mit Besitzer

gelöst Frage von BuggerBatch & Shell2 Kommentare

Hallo, ich habe folgenden Befehl: Der funktioniert auch super, allerdings würde ich auch gerne den dazugehörigen user angezeigt bekommen. ...

PHP

Google-Translater mittels Button von x-beliebiger eigenen Webseite aufrufen

gelöst Frage von dysti99PHP14 Kommentare

Hallo, ich möchte den Google-Translater mittels Button von x-beliebiger eigenen Webseite aufrufen. Der Button ist als sogenanntes Masterobject eingebunden ...

Batch & Shell

Batch: CPU-Auslastung eines Prozesses auslesen und als Variable definieren

gelöst Frage von tralvellerBatch & Shell3 Kommentare

Hallo zusammen, ich bin aktuell daran ein Batch-Skript zu erstellen, worin ich: - Prozess mit aktueller CPU-Last auslese - ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 23 StundenE-Mail3 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 1 TagHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 1 TagServer-Hardware4 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...

Windows 10
Best Practice für Schulungsräume
Frage von Sn0wFoxWindows 1016 Kommentare

Hallo, leider bin ich auch nach langer Suche nicht auf eine zufriedenstellende Nicht-Cloud-Lösung gestoßen und wollte mal Fragen ob ...