[HaBo]

23.07.07, 19:07

Hallo,

Ich habe eine Frage, die mir schon lange im Kopf rumschwirrt, und in einem anderen Forum hat ein user genau die gleiche Frage gestellt, bisher ohne Antwort. Und zwar geht es konkret um das Beenden von Prozessen in Windows.

Wie ihr ja wisst, kann man mit dem Taskmanager selbst die wichtigsten System Prozesse killen. - Aber andere Programme, wie z.B. der Antivirus Kaspersky schützt sich dagegen.

Nur wie machen die das? Ich bin übrigens als Administrator angemeldet.

Das einzige, was ich mir vorstellen könnte, wäre ein hooking der API (CloseProcess oder so was in der Art).

btw: "CloseProcess" gibts gar nicht, wie heist diese Funktion eigentlich? "CloseThreadpool" ist ja auch nicht ganz treffend...

Hoffe, jemand kann mir hier etwas auf die Sprünge helfen :)

EDIT:
Wenn ich in der CMD: "tskill kav.exe" eingebe, meint er, er finde diesen Prozess nicht. aber er exisiert jedenfalls im TS.

Alexias · 23.07.07, 19:57

Je nachdem, welche Programmiersprache du verwendest, kannst du recht viel Blödsinn anstellen und bspw. Programmelemente sich gegenseitig schützen lassen, beim Beenden autom. Neustarten hervorrufen und so fort. Ich denke, dass Schädlingsprogramme dieses gerne ausnutzen, allerdings auch 'gutwillige' wie Sicherheits-Software.

Anzeige

- Anzeige -

23.07.07, 20:16

Hm, also ich glaube nicht, dass sich da mehrere Prozesse immer wieder starten. Schon nur die Meldung von wegen "existiert nicht" ist seltsam.

Es scheint tatsächlich irgendwie an den rechten zu scheitern :-\

**CDW** · 23.07.07, 21:29

AV-Software->Sytemhooks? (also Kernelhooks)
Die sitzt dann am "drücker" und kann sich deshalb auch besser schützen. Ansonsten mit ProzessExplorer von Sysinternals probieren. Da ich kein "HintergrundAV" nutze, kann ich nur sagen dass man damit alle Dienste geschlossen bekommt, solange man Adminrechte hat.

23.07.07, 21:55

Hallo,

Also mit dem "ProzessExplorer" kann ich ihn nicht abwürgen. (Gleiche Meldung: Can't open Process!)

Kaspersky hat auch Warnungen ausgespuckt, dass die ProzessExplorer.exe treiber installiert. (was ich natürlich gewährt habe)

Aber es ist also wie vermutet über einen API Hook gemacht. Damit ist alles klar

Anzeige

- Anzeige -

23.07.07, 19:07	#1 (permalink)
IsNull Guest Likes:	Geschütze Prozesse erstellen & killen Anzeige Hallo, Ich habe eine Frage, die mir schon lange im Kopf rumschwirrt, und in einem anderen Forum hat ein user genau die gleiche Frage gestellt, bisher ohne Antwort. Und zwar geht es konkret um das Beenden von Prozessen in Windows. Wie ihr ja wisst, kann man mit dem Taskmanager selbst die wichtigsten System Prozesse killen. - Aber andere Programme, wie z.B. der Antivirus Kaspersky schützt sich dagegen. Nur wie machen die das? Ich bin übrigens als Administrator angemeldet. Das einzige, was ich mir vorstellen könnte, wäre ein hooking der API (CloseProcess oder so was in der Art). btw: "CloseProcess" gibts gar nicht, wie heist diese Funktion eigentlich? "CloseThreadpool" ist ja auch nicht ganz treffend... Hoffe, jemand kann mir hier etwas auf die Sprünge helfen :) EDIT: Wenn ich in der CMD: "tskill kav.exe" eingebe, meint er, er finde diesen Prozess nicht. aber er exisiert jedenfalls im TS.

23.07.07, 21:29	#4 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	AV-Software->Sytemhooks? (also Kernelhooks) Die sitzt dann am "drücker" und kann sich deshalb auch besser schützen. Ansonsten mit ProzessExplorer von Sysinternals probieren. Da ich kein "HintergrundAV" nutze, kann ich nur sagen dass man damit alle Dienste geschlossen bekommt, solange man Adminrechte hat. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Threads in fremdem Prozess killen	BlackSun1102	Code Kitchen	5	14.06.08 18:29
www.string-emil.de geschütze Bilder ???	honradez	(In)security allgemein	4	21.06.05 20:22
Lycos ads killen?????	crazyevil	(Web-) Design und webbasierte Sprachen	4	24.02.04 10:04
Prozesse killen - Ohne Task-Manager?	DLL	Windows	5	30.12.03 02:07

23.07.07, 19:57	#2 (permalink)
Alexias Registriert seit: 12.03.05 Likes: 0	Je nachdem, welche Programmiersprache du verwendest, kannst du recht viel Blödsinn anstellen und bspw. Programmelemente sich gegenseitig schützen lassen, beim Beenden autom. Neustarten hervorrufen und so fort. Ich denke, dass Schädlingsprogramme dieses gerne ausnutzen, allerdings auch 'gutwillige' wie Sicherheits-Software.

23.07.07, 20:16	#3 (permalink)
IsNull Guest Likes:	Hm, also ich glaube nicht, dass sich da mehrere Prozesse immer wieder starten. Schon nur die Meldung von wegen "existiert nicht" ist seltsam. Es scheint tatsächlich irgendwie an den rechten zu scheitern :-\

23.07.07, 21:55	#5 (permalink)
IsNull Guest Likes:	Hallo, Also mit dem "ProzessExplorer" kann ich ihn nicht abwürgen. (Gleiche Meldung: Can't open Process!) Kaspersky hat auch Warnungen ausgespuckt, dass die ProzessExplorer.exe treiber installiert. (was ich natürlich gewährt habe) Aber es ist also wie vermutet über einen API Hook gemacht. Damit ist alles klar

[HaBo]

Geschütze Prozesse erstellen & killen