locked
process explorer RRS feed

  • Frage

  • gibt der process explorer (sysinternals) definitiv alle laufenden prozesse auf einem system wieder?

    was ist mit prozessen die "nicht gesehen werden möchten" - also schadsoftware o.ä., bekomme ich die zu gesicht oder ist man auf vermutungen angewiesen?
    Samstag, 19. Februar 2011 02:52

Antworten

  • Am 19.02.2011 03:52, schrieb Max Mauerbrecher:

    was ist mit prozessen die "nicht gesehen werden möchten"

    Man könnte einen klitzekleinen Moment drübernachdenken, warum
    es von Sysinternals auch den RootKitRevealer gibt, wenn der
    ProcExp das schon leisten würde.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort vorgeschlagen Andre.Ziegler Samstag, 19. Februar 2011 13:11
    • Als Antwort markiert Andrei Talmaciu Mittwoch, 23. Februar 2011 11:33
    Samstag, 19. Februar 2011 10:38

Alle Antworten

  • Am 19.02.2011 03:52, schrieb Max Mauerbrecher:

    was ist mit prozessen die "nicht gesehen werden möchten"

    Man könnte einen klitzekleinen Moment drübernachdenken, warum
    es von Sysinternals auch den RootKitRevealer gibt, wenn der
    ProcExp das schon leisten würde.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort vorgeschlagen Andre.Ziegler Samstag, 19. Februar 2011 13:11
    • Als Antwort markiert Andrei Talmaciu Mittwoch, 23. Februar 2011 11:33
    Samstag, 19. Februar 2011 10:38
  • @M.: kenne RootKitRevealer nicht, sorry!

    ich habe diese frage gestellt, da ich einen weg suche, das vorhandensein/die abwesenheit von rootkits anhand laufender prozesse erkennen zu können.

    für mich absolut unverständlich, dass es bislang keine software gibt, die die integrität eines systems zweifelsfrei überprüfen kann. gmer vielleicht?

    Sonntag, 20. Februar 2011 01:27
  • Am 20.02.2011 02:27, schrieb Max Mauerbrecher:

    für mich absolut unverständlich, dass es bislang keine software gibt,
    die die integrität eines systems zweifelsfrei überprüfen kann.

    ... weil das System nur das sieht, was sich dem System zeigt.

    Du hast sicherlich folgende Idee:
    Man nimmt einen beliebigen Prozess Explorer, addiert die belegten
    Ressourcen und vergleicht sie mit den tatsächlich genutzten.
    Ergibt sich eine Differenz, dann ist das System infiziert.
    Wäre eine simple logische Kette, oder?

    Hier ein kleiner Einblick, warum die Idee nicht so trivial ist:

    Mysteries of Windows Memory Management, Part 1
    http://player.microsoftpdc.com/Session/1689962d-dea2-48bd-80d8-96e954fa5329
    Mysteries of Windows Memory Management, Part 2
    http://player.microsoftpdc.com/Session/1c97b279-d7e3-4a3e-9a76-0dac23dfddb5

    Advanced Malware Cleaning
    http://technet.microsoft.com/en-us/sysinternals/gg618529

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Sonntag, 20. Februar 2011 13:08