Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie kann ich für x-beliebige Prozesse auslesen, welche DLLs diese geladen haben?

Frage Microsoft

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

28.10.2011, aktualisiert 18:03 Uhr, 2992 Aufrufe, 4 Kommentare

...zum Freitagnachmittag eine angenehme Frage, dachte ich mir...

Hallo Kollegen,

ich kenne process explorer und auch listdlls. Diese können mir für die meisten Prozesse das Gewünschte liefern. Für einen Dienst (hier avp.exe, Kaspersky-Virenscanner) jedoch nicht, die Ausgabe bleibt leer. Warum?

Meine Vermutung ist, dass die Tools nicht das Recht haben, diesen von Kaspersky geschützten Prozess abzufragen. Die Tools wurden mit dem Adminkonto elevated und ebenso mit dem Systemkonto ausgeführt mit dem selben Ergebnis. Wie kann ich dem Dienst, welcher die avp.exe startet, ansehen, ob ich das Recht habe, ihn derartig abzufragen?

Mit dem Kommando
sc sdshow avp
und anschließender Konvertierung der Ausgabe mit sddlparse komme ich auf:
C:\Users\io\Desktop>sddlparse D:(A;;CCLCSWRPLOCRRC;;;WD)(A;;CCLCSWRPWPDTLOC 
RRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOC 
RRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) 
SDDL: D:(A;;CCLCSWRPLOCRRC;;;WD)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLO 
CRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPW 
PDTLOCRSDRCWDWO;;;WD) 
Ace count: 5 
**** ACE 1 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: Everyone 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 2 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\SYSTEM 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_WRITE_PROP 
  ADS_RIGHT_DS_DELETE_TREE 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 3 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: BUILTIN\Administratoren 
AccessMask: 
  ADS_RIGHT_DELETE 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_WRITE_DAC 
  ADS_RIGHT_WRITE_OWNER 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_DS_DELETE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_READ_PROP 
  ADS_RIGHT_DS_WRITE_PROP 
  ADS_RIGHT_DS_DELETE_TREE 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 4 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\INTERACTIVE 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0 
**** ACE 5 of 5 **** 
ACE Type: ACCESS_ALLOWED_ACE_TYPE 
Trustee: NT AUTHORITY\SERVICE 
AccessMask: 
  ADS_RIGHT_READ_CONTROL 
  ADS_RIGHT_DS_CREATE_CHILD 
  ADS_RIGHT_ACTRL_DS_LIST 
  ADS_RIGHT_DS_SELF 
  ADS_RIGHT_DS_LIST_OBJECT 
  ADS_RIGHT_DS_CONTROL_ACCESS 
Inheritance flags: 0
Ist das die richtige Stelle zum Suchen? Fehlt ein Recht?

[Edit Biber] Als Code formatiert, weil sonst so viele Smileys etwas die Ernsthaftigkeit untergraben. [/Edit]
Mitglied: Connor1980
28.10.2011 um 17:33 Uhr
Hi,

vllt. verstehe ich die Frage an meinem Urlaubstag auch falsch, aber wenn ich bei mir den Process Explorer als Administrator ausführe (Win 7 Ult. x64) und mir die ekrn.exe anschaue, also den Dienst für ESET NOD32, dann wird mir dort jede Menge an dlls aufgezählt. Mach ich das gleiche ohne "als Administrator ausführen", bekomme ich keine Dateien aufgelistet und unter Properties von ekrn.exe steht im Reiter Security für User <access denied> (als Admin: NT-AUTORITÄT\SYSTEM). Soweit scheint das bei mir korrekt zu sein.

Vielleicht kann noch jemand dieses Verhalten bestätigen?

Grüße
Bitte warten ..
Mitglied: DerWoWusste
28.10.2011 um 17:39 Uhr
Hi und Danke für's Nachstellen.
Ich schrieb ja, dass ich es als Admin und elevated ausführe (ebenso als Systemkonto) - daran liegt es nicht.
Bitte warten ..
Mitglied: mrtux
28.10.2011 um 17:44 Uhr
Hi !

Also manche Antivirentools installieren heute (zusätzlich zum Wächterprozess als Dienst) auch einen Kernelmode Treiber, der einen Hook setzt und alle Anfragen und (auch Speicher-) Zugriffe auf sich umbiegt (vergleichbar wie das z.B. ein Rootkit macht) daher kann es aber muss es nicht unbedingt nur an den Rechten liegen. Auch einige Kopierschutztools arbeiten so.

Sowas kannst Du dann in Echtzeit nur noch mit "Forensik-Tools" monitoren, die dann ebenfalls so oder ähnlich arbeiten oder Tools die ein Speicherabbild über die Netzwerkkarte an einen anderen Rechner zur Auswertung schicken können. In einer älteren ct wurde solche Tools schon vorgestellt, mit denen Du sehen kannst ob irgendwelche Adressen umgebogen werden oder nicht...

Und leider wiedermal nur eine allgemeine gehaltene Antwort, da wir Kaspersky schon seit einigen Jahren nicht mehr einsetzen.

mrtux
Bitte warten ..
Mitglied: DerWoWusste
28.10.2011 um 18:02 Uhr
Gut. Das könnte die Erklärung sein. Ich werd einen Workaround nutzen und schlicht das Auditing auf die betroffene dll einschalten um zu sehen, ob sie noch geladen wird.

Danke
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(1)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Batch & Shell
gelöst Fenstertitel von anderen Tasks per batch auslesen (3)

Frage von NetMare zum Thema Batch & Shell ...

JavaScript
Image laden, nur wenn noch nicht geladen (1)

Frage von Power-Poler zum Thema JavaScript ...

Windows Netzwerk
gelöst Powershell skript zum Auslesen der im AD angemeldeten User (2)

Frage von jan.kleinel zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Hyper-V
gelöst Reiner Hyper- V Server oder lieber Rolle (32)

Frage von Winuser zum Thema Hyper-V ...

Linux Netzwerk
gelöst DHCP vergibt keine Adressen (30)

Frage von Maik82 zum Thema Linux Netzwerk ...

Exchange Server
gelöst Bestehende eMails autoamatisch weiterleiten (22)

Frage von metal-shot zum Thema Exchange Server ...

Apache Server
gelöst Lets Encrypt SSL mit Apache2 (20)

Frage von banane31 zum Thema Apache Server ...