Jump to content

Verhalten von Diensten und DLLs


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hey Leute,

 

is zwar schon etwas länger, dass ich hier gepostet habe aber die Zeit habe ich effektiv genutzt um das Programieren in C++ und Delphi recht erfolgreich zu lernen :)

Indirekt hat dies auch mit meiner Frage zu tun. Ich bin schon seit längerem dabei alles rundum Windows möglichst systemnah zu programmieren. Zur Zeit beschäftige ich mich mit Hooks, Dlls in Prozesse injizieren und Windows-Diensten.

Beim letzteren frage ich mich wann automatische Dienste gestartet werden. Da zum Beispiel der Remote Control-Dienst von Dameware schon vor dem Login aktiv ist (man kann den Anmelde-Bildschirm sehen) aber einige andere Dienste erst nach dem Login starten.

Zum anderen: Ist es möglich die Passwort-Eingabe zu loggen? Ein Dienst müsste dafür ja interaktiv sein um in die entsprechende Windows-Ebene zu gelangen und die DLL die das übernimmt somit auch oder reicht dazu einfach die DLL mit entsprechenen Einsprungspunkt mit rundll zu starten und sie arbeiten zu lassen? Also ich denke, dass es nicht funktioniert, was durchaus (für Windows) sehr gut ist. Ich denke, dass Windows alles was interaktiv loggt bei der PW-Eingabe (also auch wenn man den Computer nach dem Login sperrt) blockt - sieht das ein MCSEler genauso?! :)

Mein Ziel ist es solche DLLs mit einem eigenen Programm aufzuspüren. Um darauf hinzurabeiten muss ich erstmal wissen ob das überhaupt geht :)

 

Danke im Voraus

tom

Link zu diesem Kommentar

Hi XP-Fan,

 

ich verstehe deine Bedenken. In Sicherheits-Angelegenheiten sollte man immer sehr vorsichtig sein. Doch auch in diesem Gebiet kommen Fragen auf und ich fände es sehr schade wenn diese ungeachtet blieben wenn wirklich Interesse und kein böser Wille dahinter steckt.

Ich weiß, dass es schon viele solche Programme solcher Art gibt, doch ich will zum einen nicht fremde Programme benutzen, sondern das möglichst alles selbst programmiern. Damit lerne ich die Programmiersprache besser und bekomme ein sehr gutes Gefühl für das Betriebssystem auf dem ich arbeite.

Mit dem Programm sieht mein Plan so aus: Es wird permanent geguckt ob eine DLL einen bösartigen Hook initialisiert und ausführt (Window-Messages werden dazu abgefangen). Mit bösartig meine ich, dass die geloggten Daten gespeichert werden o.ä.. Entsprechend kann der Benutzer dann gezielt die DLL aus dem Speicherbereich des Programms nehmen oder das Programm verbieten.

Mit meiner Frage verbinde ich zum einen Interesse, ob das überhaupt funktioniert im gesperrten Modus Tastatureingaben zu loggen und zum anderen bräuchte ich die Info für mein Programm - nicht zu vergessen die Frage mit den Diensten.

Ihr werdet den Umstand kennen, dass man, um sich effektiv zu schützen, wissen muss was möglich ist.

 

ich hoffe damit mehr Vertrauen geschaffen zu haben

tom

Link zu diesem Kommentar

@Dabster

 

" wann automatische Dienste gestartet werden "

Die sind auch bei der Anmeldung aktiv und du mußt den PC /Server nicht freischalten ( anmelden )

 

"einige andere Dienste erst nach dem Login starten "

Die Dienste starten vor dem Login, Progamme und Zusatztools welche über Run / Runonce etc. gestartet werden kommen erst nach dem Login.

 

Ich hoffe das ich dir wenigstens 2 Fragen beantworten konnte.

Link zu diesem Kommentar

hey na das is doch schonmal was :) vielen dank!

 

schönen abend noch und gn8

 

achso btw hat vielleicht jemand eine ahnung welche literatur es da so auch bezüglich meiner fragen gibt? Ich habe da etwas von einem xp referenzbuch für leute die z.B. mcse machen gehört? Sollten also auch Code-Beispiele mit drin sein und auch mal bisschen internere Sachverhalte erklärt werden - nicht irgend so ein Einsteigerbuch.

Link zu diesem Kommentar

Hi dabster,

 

ich denke was du suchst ist folgendes:

http://www.buecher-nach-isbn.info/3-86063/3860639773-Microsoft-Windows-Internals-m.-CD-ROM-Mark-Russinovich-David-A.-Solomon-3-86063-977-3.html

 

Frequently Asked Questions About Passwords

http://www.microsoft.com/technet/community/columns/secmgmt/sm1005.mspx

 

U. wenn die richtige DLL getauscht wird kann natürlich auch das Passwort geloggt werden:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_ANIG.A&VSect=T

 

Aber dafür gibts ja wieder den Signature Checker von XP:

http://www.microsoft.com/germany/windowscenter/tipps/signatur.mspx

 

u. Präventiv hilft ein akuteller Virenscanner u. das einhalten einiger Securitygrundlagen:

http://www.mcseboard.de/showthread.php?t=66853

 

LG Gadget

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...