Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie kann ich für x-beliebige Prozesse auslesen, welche DLLs diese geladen haben?

Frage Microsoft

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

28.10.2011, aktualisiert 18:03 Uhr, 2984 Aufrufe, 4 Kommentare

...zum Freitagnachmittag eine angenehme Frage, dachte ich mir...

Hallo Kollegen,

ich kenne process explorer und auch listdlls. Diese können mir für die meisten Prozesse das Gewünschte liefern. Für einen Dienst (hier avp.exe, Kaspersky-Virenscanner) jedoch nicht, die Ausgabe bleibt leer. Warum?

Meine Vermutung ist, dass die Tools nicht das Recht haben, diesen von Kaspersky geschützten Prozess abzufragen. Die Tools wurden mit dem Adminkonto elevated und ebenso mit dem Systemkonto ausgeführt mit dem selben Ergebnis. Wie kann ich dem Dienst, welcher die avp.exe startet, ansehen, ob ich das Recht habe, ihn derartig abzufragen?

Mit dem Kommando
sc sdshow avp
und anschließender Konvertierung der Ausgabe mit sddlparse komme ich auf:
C:\Users\io\Desktop>sddlparse D:(A;;CCLCSWRPLOCRRC;;;WD)(A;;CCLCSWRPWPDTLOC 
RRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOC 
RRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) 
SDDL: D:(A;;CCLCSWRPLOCRRC;;;WD)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLO 
CRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPW 
PDTLOCRSDRCWDWO;;;WD) 
Ace count: 5 
**** ACE 1 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: Everyone 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 2 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\SYSTEM 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_WRITE_PROP 
  ADS_RIGHT_DS_DELETE_TREE 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 3 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: BUILTIN\Administratoren 
AccessMask: 
  ADS_RIGHT_DELETE 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_WRITE_DAC 
  ADS_RIGHT_WRITE_OWNER 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_DS_DELETE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_WRITE_PROP 
  ADS_RIGHT_DS_DELETE_TREE 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 4 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\INTERACTIVE 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 5 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\SERVICE 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0
Ist das die richtige Stelle zum Suchen? Fehlt ein Recht?

[Edit Biber] Als Code formatiert, weil sonst so viele Smileys etwas die Ernsthaftigkeit untergraben. [/Edit]
Mitglied: Connor1980
28.10.2011 um 17:33 Uhr
Hi,

vllt. verstehe ich die Frage an meinem Urlaubstag auch falsch, aber wenn ich bei mir den Process Explorer als Administrator ausführe (Win 7 Ult. x64) und mir die ekrn.exe anschaue, also den Dienst für ESET NOD32, dann wird mir dort jede Menge an dlls aufgezählt. Mach ich das gleiche ohne "als Administrator ausführen", bekomme ich keine Dateien aufgelistet und unter Properties von ekrn.exe steht im Reiter Security für User <access denied> (als Admin: NT-AUTORITÄT\SYSTEM). Soweit scheint das bei mir korrekt zu sein.

Vielleicht kann noch jemand dieses Verhalten bestätigen?

Grüße
Bitte warten ..
Mitglied: DerWoWusste
28.10.2011 um 17:39 Uhr
Hi und Danke für's Nachstellen.
Ich schrieb ja, dass ich es als Admin und elevated ausführe (ebenso als Systemkonto) - daran liegt es nicht.
Bitte warten ..
Mitglied: mrtux
28.10.2011 um 17:44 Uhr
Hi !

Also manche Antivirentools installieren heute (zusätzlich zum Wächterprozess als Dienst) auch einen Kernelmode Treiber, der einen Hook setzt und alle Anfragen und (auch Speicher-) Zugriffe auf sich umbiegt (vergleichbar wie das z.B. ein Rootkit macht) daher kann es aber muss es nicht unbedingt nur an den Rechten liegen. Auch einige Kopierschutztools arbeiten so.

Sowas kannst Du dann in Echtzeit nur noch mit "Forensik-Tools" monitoren, die dann ebenfalls so oder ähnlich arbeiten oder Tools die ein Speicherabbild über die Netzwerkkarte an einen anderen Rechner zur Auswertung schicken können. In einer älteren ct wurde solche Tools schon vorgestellt, mit denen Du sehen kannst ob irgendwelche Adressen umgebogen werden oder nicht...

Und leider wiedermal nur eine allgemeine gehaltene Antwort, da wir Kaspersky schon seit einigen Jahren nicht mehr einsetzen.

mrtux
Bitte warten ..
Mitglied: DerWoWusste
28.10.2011 um 18:02 Uhr
Gut. Das könnte die Erklärung sein. Ich werd einen Workaround nutzen und schlicht das Auditing auf die betroffene dll einschalten um zu sehen, ob sie noch geladen wird.

Danke
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
VB for Applications
gelöst Bestimmte Spalten aus CSV-Datei auslesen (VBS) (9)

Frage von Gurkenhobel zum Thema VB for Applications ...

Batch & Shell
Eventlog Druckjobs mit VBS auslesen (2)

Frage von joni2000de zum Thema Batch & Shell ...

Batch & Shell
gelöst Appx aus Image auslesen und entfernen (9)

Frage von Markus2016 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...