it-swarm.com.de

So finden Sie Prozesse, die vor dem Task-Manager verborgen sind

Ich habe gelesen, dass Sie Prozesse vor dem Task-Manager verbergen können, Beispiel hier

Ich habe ein paar Posts über versteckte Keylogger mit Rootkit gesehen, aber das war's wirklich.

Gibt es ein Tool oder eine Möglichkeit, Prozesse anzuzeigen, die ausgeführt werden, obwohl sie ausgeblendet wurden?

16
Arlix

Dies hängt wirklich davon ab, wie der Prozess verborgen ist. Wenn bestimmte Windows-API-Funktionen verknüpft sind, wird der Prozess von Prozessmanagern, die diese Funktionen verwenden, nicht angezeigt. Es hängt also von der jeweiligen Software ab, die versucht, sich zu verstecken, sowie von der Überwachungssoftware, die versucht, sie zu finden. Unabhängig davon, welches Überwachungsprogramm Sie verwenden, wird nicht garantiert, dass alle Prozesse ausgeführt werden. Davon abgesehen gibt es da draußen ein paar gute Werkzeuge.

Sysinternals Suite verfügt über mehrere verschiedene Überwachungsprogramme. Process Explorer ist aus GUI-Sicht sehr schön. Es wird auch eine Verknüpfung zu VirusTotal hergestellt, um Sie darüber zu informieren, ob derzeit ausgeführte Prozesse als bösartig bekannt sind. Procmon eignet sich hervorragend für die Prozessüberwachung. Die Ausgabe basiert auf Windows API-Datei-/Registrierungs-/Netzwerkfunktionsaufrufen. Der Nachteil ist, dass die Ausgabe massiv ist und Sie im Allgemeinen wissen müssen, wonach Sie suchen. Wenn jedoch ein versteckter Prozess auf die Registrierung, Dateien oder die Kommunikation über das Netzwerk zugreift, wird dies hier angezeigt.

Es gibt einen Open-Source-Monitor namens YaProcmon (noch ein weiterer Prozessmonitor), der über eine Funktion verfügt, die speziell nach Mechanismen zum Ausblenden von Prozessen sucht und versucht, diese verfügbar zu machen.

13
RoraΖ

Sysinternals Process Explorer ist dein Freund . Dadurch werden mehr Informationen angezeigt, als Sie vom Task-Manager gewohnt sind, einschließlich unsichtbarer Aufgaben.

enter image description here

14
kalina

Ich kenne einen Prozess, ein Spiel. Wirklich, das sich vor Prozessen versteckt, die nicht x2.exe sind, was ziemlich schwierig ist, da Prozesse, die versuchen zu erkennen, ob sie über das .NET Framework über den Image-Namen ausgeführt werden, weder funktionieren noch FindWindow wenn es ein oder zwei Minuten dauert, bis es tatsächlich ein Fenster "hat". Das macht die Erkennung von Bildnamen zum einzigen Weg, aber das Problem besteht darin, das Verstecken auf Kernelebene oder so etwas zu umgehen.

Kurz gesagt, es gibt Methoden, um Ihren Prozess vor Dingen wie den Sysinternals-Tools zu verbergen, aber nicht für den Windows Task-Manager. Der Trick besteht darin, eine API zu finden, die ihn auf einer "Kernel" -Ebene umgeht.

0
PSXGamerPro1

Die Antwort lautet via Volatility .

Process Explorer kann nur die Prozesse in der Prozessliste sehen/finden, bei der es sich um eine doppelt verknüpfte Liste handelt, die sich irgendwo im Speicher befindet. Der Prozess-Explorer kennt die Position des ersten Knotens (oder hat einen Zeiger auf einen der Knoten) und durchläuft von diesem Knoten aus die Liste und findet die "nicht versteckten" Prozesse.

Der Taskplaner verwendet diese Liste nicht zum Planen von Aufgaben, sondern verwendet eine andere Liste (es sollte sich um eine Threadliste handeln).

Wenn sich ein Prozess jedoch versteckt, entfernt er einfach seine Verknüpfungen zum vorherigen und nächsten Knoten und verbleibt im Speicher hidden. Da es sich nur aus der Prozessliste und nicht aus der Threadliste entfernt, wird es weiter ausgeführt, ohne sichtbar zu sein.

Jeder Prozess hat eine bestimmte Klassenstruktur wie eine einfache c Klasse mit vielen Parametern.

Die Volatilität durchsucht den gesamten Speicher und findet process class Strukturen im Speicher sowie die doppelt verknüpfte Liste (die Liste der Prozesse).

Die Ausgabe umfasst also alle Prozesse im Speicher, einschließlich der Prozesse currect, killed und hidden.

Beachten Sie, dass ich nach einem einfacheren Programm für versteckte Prozesse suchte, aber da ich in der Antwort keine Volatilität feststellen konnte, fühlte ich mich verpflichtet zu antworten.

0
smttsp