[HaBo]

littleben · 10.10.11, 17:38

Hallo zusammen,
zurzeit interessiert mich, wie ein Virus es schafft (und ich es schaffen könnte), ein Programm vor dem normalen Windows Taskmanager zu verstecken. Dass man es nie schaffen wird, ein Programm vollständig vor dem Benutzer zu verstecken, ist mir klar.

Und bevor Fragen aufkommen, wofür ich das brauche, erkläre ich es euch (kurz):
Normalerweise programmiere ich Anwendungen für relativ große Firmen (Verwaltung, Logistik, etc. -> konstruktive Programme).
Dabei kommt die systemnahe Programmierung (wenn man das so nennen darf) ein bisschen zu kurz. So interessiere ich mich seit kurzem für solche dunklen Seiten der Programmierung. Wie zum Beispiel die PE Infektion (was mir CDW super erklärt hat) oder ein Sniffer funktioniert.
Jedoch reicht es mir nicht, die Theorie irgendwo zu lesen, sonder will es anhand von Beispielen auch selbst ausprobieren. So habe ich es dank CDW geschafft ein Programm in ein anderes zu injizieren (auch wenn es das gleiche Programm nochmal war) und auszuführen. Hat mir volkommen gereicht!
Hoffe, dass ihr versteht, was ich damit sagen will. Auch wenn das viele sagen: Ich will nichts Böses machen, sondern nur das Wissen haben.

Nun wieder zurück zum Thema:
In anderen Foren habe ich schon einige Anhaltspunkte gefunden. Am meisten hat mich folgende Idee Überzeugt: Man erstellt ein Subprozess der svchost.exe, sodass dem Benutzer nichts auffällt.
Außerdem habe ich noch diese Ideen gefunden:
- Programm in Form eines Treibers
- Programm in Form eines Dienstes
- Programm den Titel "" gegeben
Da ich eigentlich nur in Delphi programmiere bin ich auf die uallCollection gestoßen. Mit dieser Komponente soll angeblich auch einiges möglich sein.
Mehr habe ich im Internet leider nicht gefunden. Doch ich bin mir sicher, wenn man weiß wo und mit welchen Stichwörtern, dann findet man wesentlich mehr Informationen.
Nun weiß ich überhaupt nicht, wie ich das in die Realität umsetzen kann(Delphi). Vielleicht könnt ihr mir helfen.

Bin auf eure Antworten gespannt!

Viele Grüße,
Benny

Sleepprogger · 10.10.11, 18:19

I.d.R. wird wahrscheinlich die Funktion die die laufenden Prozesse ausgibt gehookt und dementsprechend verändert das prozesse mit dem Namen X nicht angezeigt werden.
Ebenso kann man z.B. mit Dateinamen verfahren.

Anzeige

- Anzeige -

xrayn · 10.10.11, 18:56

Unauffälliger geht es über DKOM (direct kernel object manipulation). Hier wird eine vom Kernel gepflegte Liste aller Prozesse verändert (EPROCESS), dabei wird der Prozess, der versteckt werden soll, aus der Liste ausgetragen. Es gibt noch weitere Ansätze, einer, der in die Kategorie "fancy" einzuordnen wäre, ist einen eigenen Scheduler zu schreiben.

littleben · 10.10.11, 19:51

WOW! Das mit DKOM hört sich sehr gut an. Habe auch sofort ein Beispiel gefunden: Dkom Process Hider - rohitab.com - Forums .Jedoch konnte ich diese Programm nur in meiner VB unter XP ausprobieren, da Win 7 das Ausführen blockiert (wie ich es hasse). Müsste ich dann in Delphi umschreiben.

Das mit dem Hook hört sich ebenfals gut an. Aber auch hier wüsste ich nicht, wie ich das anstellen soll.

Schonmal danke euch beiden!

+++ATH0 · 10.10.11, 20:30

Ein altes Beispiel von mir
Prozess verstecken unter XP

Die gravierenden Nachteile sind natürlich abzuwägen.

littleben · 10.10.11, 20:41

Dieser Code funktioniert wahrscheinlich nicht unter Win 7, oder? Kannes leider nicht testen, da mein sche** Win 7 das permanent blockt! Kann man das abschalten?!

+++ATH0 · 10.10.11, 20:49

Wenn du Code nur kopieren möchtest, dann ist Hackerboard wohl das falsche Board für dich.

Der Code funktioniert angepasst für alle Betriebssysteme mit Windows NT Kernel.

xrayn · 10.10.11, 20:49

Zitat:

Zitat von littleben

Dieser Code funktioniert wahrscheinlich nicht unter Win 7, oder? Kannes leider nicht testen, da mein sche** Win 7 das permanent blockt! Kann man das abschalten?!

An deiner Stelle würde ich W7 verfluchen, wenn es die uralt Angriffskonzepte NICHT blockieren würde

Wenn du gerne alles ausprobieren möchtest, setze dir am Besten eine WinXP-VM auf.

+++ATH0 · 10.10.11, 20:53

Zitat:

Zitat von xrayn

An deiner Stelle würde ich W7 verfluchen, wenn es die uralt Angriffskonzepte NICHT blockieren würde

Nun. Es wird insofern blockiert, dass man einfach Rechte braucht.

littleben · 10.10.11, 21:07

Zitat:

Zitat von +++ATH0

Wenn du Code nur kopieren möchtest, dann ist Hackerboard wohl das falsche Board für dich.

Der Code funktioniert angepasst für alle Betriebssysteme mit Windows NT Kernel.

Sorry, hab schneller geschrieben als gelesen.

Wenn das die uralt Angriffskonzepte sind, was sind dann die neuen. Denn das Beispiel von hier Dkom Process Hider - rohitab.com - Forums wird auch geblockt.

+++ATH0 · 10.10.11, 21:34

Es wird nicht "geblockt" nur erschwert.

Noch einmal: Die grundsätzlichen Konzepte mit denen man schon bei XP Prozesse versteckte, gelten immer noch. Man muss sich aber eben etwas mehr Arbeit machen bzw. den Code anpassen. Man braucht mehr Rechte bzw. muss sich beispielsweise mit Patchguard auf x64 Systemen rumschlagen oder die Kernel-Strukturen anpassen. Aber letztendlich sind es vom Prinzip her die gleichen Methoden.
Einige wurden genannt:
- Usermode Hooking
- EPROCESS Unlinking (DCOM)
- Eigener Thread-Scheduler

enkore · 11.10.11, 17:32

Das "neue" ist halt UAC, was eben den netten elevated rights Dialog bringt. UAC blockt ja eh schon 95 % aller Malware...

+++ATH0 · 11.10.11, 19:17

Zitat:

Zitat von enkore

Das "neue" ist halt UAC, was eben den netten elevated rights Dialog bringt. UAC blockt ja eh schon 95 % aller Malware...

Njein. UAC ist eigentliche eine Pervertierung des Rechtemanagements. Es ist entstanden, weil User faul oder unwissend sind. (Was man ja nicht unbedingt verhindern kann)

So wie du es sagst, klingt es so, als wäre XP irgendwie fehlerhaft gewesen oder mit einer Sicherheitslücke behaftet. On the contrary: Würde man auf XP korrekterweise mit eingeschränkten Benutzerrechten arbeiten und mit korrekten Directory-ACLs, dann bräuchte man so einen Popans wie den UAC-Dialog nicht zu veranstalten.
Im Prinzip ist UAC so etwas wie ein "Ausführen als..." nur, dass Admin-Credentials automatisch angewendet werden, und man nur Ja oder Nein drücken muss.

littleben · 11.10.11, 20:37

EPROCESS Unlinking (DCOM) gefällt mir bis jetzt am besten. Würde sagen, dass diese Methode die sauberste ist. Auserdem konnte ich auch schon anhand des Beispiels verschiedene Prozesse verstecken, was mich beeindruckt hat.
@+++ATH0: Kannst du mir erklären, was das genau ist und macht: Eigener Thread-Scheduler.

Um mich mit dem Usermode Hooking zu beschäfftigen habe ich ja deinen Code (ist das auch Usermode hooking? Also API Hooking = Usermode hooking?).

enkore · 12.10.11, 01:55

Zitat:

Zitat von littleben

EPROCESS Unlinking (DCOM) gefällt mir bis jetzt am besten. Würde sagen, dass diese Methode die sauberste ist. Auserdem konnte ich auch schon anhand des Beispiels verschiedene Prozesse verstecken, was mich beeindruckt hat.

Kommt hin

Zitat:

Zitat von littleben

@+++ATH0: Kannst du mir erklären, was das genau ist und macht: Eigener Thread-Scheduler.

Naja du betreibst deinen eigenen Scheduler neben dem vom Kernel. Der Kernel weiß überhaupt nix mehr von deinen Prozessen, weil sein Scheduler nur ein Prozess in deinem Scheduler ist. So wie in Inception...

Zitat:

Zitat von littleben

Um mich mit dem Usermode Hooking zu beschäfftigen habe ich ja deinen Code (ist das auch Usermode hooking? Also API Hooking = Usermode hooking?).

Usermode Hooking bedeutet, dass du lediglich die Win32 API veränderst. Kernel und Treiber wissen also noch bescheid, wenn der Task-Manager aber z.B. über die Process Status API nachfragt, ist dein Prozess weg. Antivirenprogramme und Tools wie Icesword sehen deinen Prozess jedoch immernoch.

Im Prinzip ist ein eigener Scheduler das coolste und sicherste. Man könnte theoretisch auch so weit gehen, dass man sich eine Art Miniatur-VM bastelt und den Kernel virtualisiert. Mit allen Treibern. Dann wäre das Betriebssystem deine Marionette - in jeder Hinsicht

Anzeige

- Anzeige -

10.10.11, 17:38	#1 (permalink)
littleben Registriert seit: 28.08.11 Likes: 0	Prozess verstecken Anzeige Hallo zusammen, zurzeit interessiert mich, wie ein Virus es schafft (und ich es schaffen könnte), ein Programm vor dem normalen Windows Taskmanager zu verstecken. Dass man es nie schaffen wird, ein Programm vollständig vor dem Benutzer zu verstecken, ist mir klar. Und bevor Fragen aufkommen, wofür ich das brauche, erkläre ich es euch (kurz): Normalerweise programmiere ich Anwendungen für relativ große Firmen (Verwaltung, Logistik, etc. -> konstruktive Programme). Dabei kommt die systemnahe Programmierung (wenn man das so nennen darf) ein bisschen zu kurz. So interessiere ich mich seit kurzem für solche dunklen Seiten der Programmierung. Wie zum Beispiel die PE Infektion (was mir CDW super erklärt hat) oder ein Sniffer funktioniert. Jedoch reicht es mir nicht, die Theorie irgendwo zu lesen, sonder will es anhand von Beispielen auch selbst ausprobieren. So habe ich es dank CDW geschafft ein Programm in ein anderes zu injizieren (auch wenn es das gleiche Programm nochmal war) und auszuführen. Hat mir volkommen gereicht! Hoffe, dass ihr versteht, was ich damit sagen will. Auch wenn das viele sagen: Ich will nichts Böses machen, sondern nur das Wissen haben. Nun wieder zurück zum Thema: In anderen Foren habe ich schon einige Anhaltspunkte gefunden. Am meisten hat mich folgende Idee Überzeugt: Man erstellt ein Subprozess der svchost.exe, sodass dem Benutzer nichts auffällt. Außerdem habe ich noch diese Ideen gefunden: - Programm in Form eines Treibers - Programm in Form eines Dienstes - Programm den Titel "" gegeben Da ich eigentlich nur in Delphi programmiere bin ich auf die uallCollection gestoßen. Mit dieser Komponente soll angeblich auch einiges möglich sein. Mehr habe ich im Internet leider nicht gefunden. Doch ich bin mir sicher, wenn man weiß wo und mit welchen Stichwörtern, dann findet man wesentlich mehr Informationen. Nun weiß ich überhaupt nicht, wie ich das in die Realität umsetzen kann(Delphi). Vielleicht könnt ihr mir helfen. Bin auf eure Antworten gespannt! Viele Grüße, Benny

10.10.11, 18:19	#2 (permalink)
Sleepprogger Registriert seit: 17.10.09 Likes: 10	I.d.R. wird wahrscheinlich die Funktion die die laufenden Prozesse ausgibt gehookt und dementsprechend verändert das prozesse mit dem Namen X nicht angezeigt werden. Ebenso kann man z.B. mit Dateinamen verfahren. Geändert von Sleepprogger (10.10.11 um 18:22 Uhr) Grund: Die englische Wiki Seite ist besser

10.10.11, 20:30	#5 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Ein altes Beispiel von mir Prozess verstecken unter XP Die gravierenden Nachteile sind natürlich abzuwägen. Tarantoga likes this.

11.10.11, 17:32	#12 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Das "neue" ist halt UAC, was eben den netten elevated rights Dialog bringt. UAC blockt ja eh schon 95 % aller Malware... __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

10.10.11, 18:56	#3 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Unauffälliger geht es über DKOM (direct kernel object manipulation). Hier wird eine vom Kernel gepflegte Liste aller Prozesse verändert (EPROCESS), dabei wird der Prozess, der versteckt werden soll, aus der Liste ausgetragen. Es gibt noch weitere Ansätze, einer, der in die Kategorie "fancy" einzuordnen wäre, ist einen eigenen Scheduler zu schreiben.

10.10.11, 19:51	#4 (permalink)
littleben Themenstarter Registriert seit: 28.08.11 Likes: 0	WOW! Das mit DKOM hört sich sehr gut an. Habe auch sofort ein Beispiel gefunden: Dkom Process Hider - rohitab.com - Forums .Jedoch konnte ich diese Programm nur in meiner VB unter XP ausprobieren, da Win 7 das Ausführen blockiert (wie ich es hasse). Müsste ich dann in Delphi umschreiben. Das mit dem Hook hört sich ebenfals gut an. Aber auch hier wüsste ich nicht, wie ich das anstellen soll. Schonmal danke euch beiden!

10.10.11, 20:41	#6 (permalink)
littleben Themenstarter Registriert seit: 28.08.11 Likes: 0	Dieser Code funktioniert wahrscheinlich nicht unter Win 7, oder? Kannes leider nicht testen, da mein sche** Win 7 das permanent blockt! Kann man das abschalten?!

10.10.11, 20:49	#7 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Wenn du Code nur kopieren möchtest, dann ist Hackerboard wohl das falsche Board für dich. Der Code funktioniert angepasst für alle Betriebssysteme mit Windows NT Kernel.

10.10.11, 21:34	#11 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Es wird nicht "geblockt" nur erschwert. Noch einmal: Die grundsätzlichen Konzepte mit denen man schon bei XP Prozesse versteckte, gelten immer noch. Man muss sich aber eben etwas mehr Arbeit machen bzw. den Code anpassen. Man braucht mehr Rechte bzw. muss sich beispielsweise mit Patchguard auf x64 Systemen rumschlagen oder die Kernel-Strukturen anpassen. Aber letztendlich sind es vom Prinzip her die gleichen Methoden. Einige wurden genannt: - Usermode Hooking - EPROCESS Unlinking (DCOM) - Eigener Thread-Scheduler

11.10.11, 20:37	#14 (permalink)
littleben Themenstarter Registriert seit: 28.08.11 Likes: 0	EPROCESS Unlinking (DCOM) gefällt mir bis jetzt am besten. Würde sagen, dass diese Methode die sauberste ist. Auserdem konnte ich auch schon anhand des Beispiels verschiedene Prozesse verstecken, was mich beeindruckt hat. @+++ATH0: Kannst du mir erklären, was das genau ist und macht: Eigener Thread-Scheduler. Um mich mit dem Usermode Hooking zu beschäfftigen habe ich ja deinen Code (ist das auch Usermode hooking? Also API Hooking = Usermode hooking?).

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Prozess verstecken unter XP	+++ATH0	Code Kitchen	58	19.07.09 19:08
Prozess verstecken VB6	BlueShisha	Code Kitchen	0	26.08.07 12:42
c++ prozess verstecken	Scrat	Code Kitchen	4	06.04.04 16:27

[HaBo]

Prozess verstecken