Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Welche Prozesse können generell gefährlich sein? (https://www.trojaner-board.de/95045-welche-prozesse-generell-gefaehrlich.html)

b6d 25.01.2011 13:05
Welche Prozesse können generell gefährlich sein?
 
Hallo,

Ich habe mal eine generelle Frage:
Können Systemprozesse gefährlich sein?
Damit mein ich: Kann malware sich in diese Prozesse injecten?

Mit Systemprozess mein ich diejenigen, die den Idle-Prozess als Parent haben
(zu Veranschaulichung habe ich ein Bild gemalt ;))

Sind viellt alle davon sicher, bis auf diejenigen, die von der services.exe gestartet wurden?

Mein Ziel ist es herauszufinden, welche Prozesse überhaupt potentiell gefährlich sein können. (mit malware mein ich jetzt nicht high-end-stuxnet-botserver, sonder mehr standart malware, wie 'kostenlose' Trojaner oder bots)

Thumpnail-Bilder funktionieren hier irgendwie nicht, deswegen: hxxp://www.imagebam.com/image/6343b0116672683

BataAlexander 25.01.2011 13:24
Zitat:
Zitat von b6d (Beitrag 613081)
Damit mein ich: Kann malware sich in diese Prozesse injecten?
Ja und was hast Du da überhaupt für ein RAT laufen?

b6d 25.01.2011 13:29
Ich weiß jetzt nicht was du damit meinst?
Es sollte eine allgemeine Frage sein, ob das möglich ist oder nicht.

BataAlexander 25.01.2011 13:31
Zitat:
Zitat von b6d (Beitrag 613088)
Es sollte eine allgemeine Frage sein, ob das möglich ist oder nicht.
Zitat:
Zitat von b6d (Beitrag 613081)
Damit mein ich: Kann malware sich in diese Prozesse injecten?
Ja und was hast Du da überhaupt für ein RAT laufen?
Und Du hast da ein RAT laufen, dass weißt Du sicher auch.

b6d 25.01.2011 13:36
ja, das weiß ich. Ist meine VM (mit CyberGate). Aber darum geht es ja garnicht.

Also mit Ja meinst du, dass zum Beispiel (siehe Bild) ein Trojaner sich in die winlogon.exe mit der PID 556 injecten kann, sodass auch wirklich dieser Prozess kontaminiert ist und nicht einfach eine neue winlogon.exe gestartet wird, die dann wahrscheinlich ein nicht existierendes Parent hat?

BataAlexander 25.01.2011 13:42
Zitat:
ja, das weiß ich. Ist meine VM (mit CyberGate). Aber darum geht es ja garnicht.
Wollts auch nur mal angemerkt haben :)
Mit dem entsprechenden Wissen, kann man in jede Datei Code einschleusen.
Einige schlechte Beispiele lassen dann Windows allerdings abstürzen, bei anderen schlägt das AV Programm an.
Fileinfectors machen ja nichts anderes, immer ein paar bits anhängen...

b6d 25.01.2011 13:59
OK, vielen Dank soweit.
Kannst du mir viellt ein Beispiel nennen, was in einen Systemprozess injecten kann? ,weil:

Ich habe das gerade mal mit Cybergate ausprobiert (siehe Bild: hxxp://www.imagebam.com/image/eef8c2116679518)

server2.exe -> sollte eig in winlogon injecten (Systemprozess) scheint nicht zu funktionieren
die 2. ProcessHacker.exe -> funktioniert (kein Systemprozess)

(beide haben verständlicherweise keinen Parentprozess mehr)


Um das mal kurz aufzuklären: Ich bin kein Trojaner-Skid, ich möchte das wissen, weil ich gerade ein simples Antiviren-Programm bastel (hört sich blöd an [ich weiß], ist aber so)

b6d 28.01.2011 14:27
öhm. Kennt da jemand was?

BataAlexander 28.01.2011 14:37
Zitat:
Zitat von b6d (Beitrag 614262)
öhm. Kennt da jemand was?
Du bist hier inhaltlich im falschen Forum, wir wollen die Auswirkungen solcher Aktionen Verhindern / Rückgänig machen.
Eine passende, erklärende Antwort wird es hier nicht geben.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131