Geschütze Prozesse erstellen & killen

  • Themenstarter Themenstarter IsNull
  • Beginndatum Beginndatum
I

IsNull

Guest
Hallo,

Ich habe eine Frage, die mir schon lange im Kopf rumschwirrt, und in einem anderen Forum hat ein user genau die gleiche Frage gestellt, bisher ohne Antwort. Und zwar geht es konkret um das Beenden von Prozessen in Windows.

Wie ihr ja wisst, kann man mit dem Taskmanager selbst die wichtigsten System Prozesse killen. - Aber andere Programme, wie z.B. der Antivirus Kaspersky schützt sich dagegen.

Nur wie machen die das? Ich bin übrigens als Administrator angemeldet.

Das einzige, was ich mir vorstellen könnte, wäre ein hooking der API (CloseProcess oder so was in der Art).

btw: "CloseProcess" gibts gar nicht, wie heist diese Funktion eigentlich? "CloseThreadpool" ist ja auch nicht ganz treffend...

Hoffe, jemand kann mir hier etwas auf die Sprünge helfen :)


EDIT:
Wenn ich in der CMD: "tskill kav.exe" eingebe, meint er, er finde diesen Prozess nicht. aber er exisiert jedenfalls im TS.
 
Je nachdem, welche Programmiersprache du verwendest, kannst du recht viel Blödsinn anstellen und bspw. Programmelemente sich gegenseitig schützen lassen, beim Beenden autom. Neustarten hervorrufen und so fort. Ich denke, dass Schädlingsprogramme dieses gerne ausnutzen, allerdings auch 'gutwillige' wie Sicherheits-Software.
 
Hm, also ich glaube nicht, dass sich da mehrere Prozesse immer wieder starten. Schon nur die Meldung von wegen "existiert nicht" ist seltsam.

Es scheint tatsächlich irgendwie an den rechten zu scheitern :-\
 
AV-Software->Sytemhooks? (also Kernelhooks)
Die sitzt dann am "drücker" und kann sich deshalb auch besser schützen. Ansonsten mit ProzessExplorer von Sysinternals probieren. Da ich kein "HintergrundAV" nutze, kann ich nur sagen dass man damit alle Dienste geschlossen bekommt, solange man Adminrechte hat.
 
Hallo,

Also mit dem "ProzessExplorer" kann ich ihn nicht abwürgen. (Gleiche Meldung: Can't open Process!)

Kaspersky hat auch Warnungen ausgespuckt, dass die ProzessExplorer.exe treiber installiert. (was ich natürlich gewährt habe)

Aber es ist also wie vermutet über einen API Hook gemacht. Damit ist alles klar :)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben