Verhalten von Diensten und DLLs

Dabster · 23. Januar 2006

Hey Leute,

is zwar schon etwas länger, dass ich hier gepostet habe aber die Zeit habe ich effektiv genutzt um das Programieren in C++ und Delphi recht erfolgreich zu lernen :)

Indirekt hat dies auch mit meiner Frage zu tun. Ich bin schon seit längerem dabei alles rundum Windows möglichst systemnah zu programmieren. Zur Zeit beschäftige ich mich mit Hooks, Dlls in Prozesse injizieren und Windows-Diensten.

Beim letzteren frage ich mich wann automatische Dienste gestartet werden. Da zum Beispiel der Remote Control-Dienst von Dameware schon vor dem Login aktiv ist (man kann den Anmelde-Bildschirm sehen) aber einige andere Dienste erst nach dem Login starten.

Zum anderen: Ist es möglich die Passwort-Eingabe zu loggen? Ein Dienst müsste dafür ja interaktiv sein um in die entsprechende Windows-Ebene zu gelangen und die DLL die das übernimmt somit auch oder reicht dazu einfach die DLL mit entsprechenen Einsprungspunkt mit rundll zu starten und sie arbeiten zu lassen? Also ich denke, dass es nicht funktioniert, was durchaus (für Windows) sehr gut ist. Ich denke, dass Windows alles was interaktiv loggt bei der PW-Eingabe (also auch wenn man den Computer nach dem Login sperrt) blockt - sieht das ein MCSEler genauso?! :)

Mein Ziel ist es solche DLLs mit einem eigenen Programm aufzuspüren. Um darauf hinzurabeiten muss ich erstmal wissen ob das überhaupt geht :)

Danke im Voraus

tom

XP-Fan · 23. Januar 2006

@Dabster

" Mein Ziel ist es solche DLLs mit einem eigenen Programm aufzuspüren "

Ich werde das Gefühl nicht los, das du nichts Gutes vor hast. Spector und Konsorten gibt es doch genug auf dem Markt. Vielleicht habe ich dich aber auch nicht richtig verstanden

Was bezweckst du denn mit deinem Vorhaben ? Vielleicht etwas genauer ?

Dabster · 23. Januar 2006

Hi XP-Fan,

ich verstehe deine Bedenken. In Sicherheits-Angelegenheiten sollte man immer sehr vorsichtig sein. Doch auch in diesem Gebiet kommen Fragen auf und ich fände es sehr schade wenn diese ungeachtet blieben wenn wirklich Interesse und kein böser Wille dahinter steckt.

Ich weiß, dass es schon viele solche Programme solcher Art gibt, doch ich will zum einen nicht fremde Programme benutzen, sondern das möglichst alles selbst programmiern. Damit lerne ich die Programmiersprache besser und bekomme ein sehr gutes Gefühl für das Betriebssystem auf dem ich arbeite.

Mit dem Programm sieht mein Plan so aus: Es wird permanent geguckt ob eine DLL einen bösartigen Hook initialisiert und ausführt (Window-Messages werden dazu abgefangen). Mit bösartig meine ich, dass die geloggten Daten gespeichert werden o.ä.. Entsprechend kann der Benutzer dann gezielt die DLL aus dem Speicherbereich des Programms nehmen oder das Programm verbieten.

Mit meiner Frage verbinde ich zum einen Interesse, ob das überhaupt funktioniert im gesperrten Modus Tastatureingaben zu loggen und zum anderen bräuchte ich die Info für mein Programm - nicht zu vergessen die Frage mit den Diensten.

Ihr werdet den Umstand kennen, dass man, um sich effektiv zu schützen, wissen muss was möglich ist.

ich hoffe damit mehr Vertrauen geschaffen zu haben

tom

XP-Fan · 23. Januar 2006

@Dabster

" wann automatische Dienste gestartet werden "

Die sind auch bei der Anmeldung aktiv und du mußt den PC /Server nicht freischalten ( anmelden )

"einige andere Dienste erst nach dem Login starten "

Die Dienste starten vor dem Login, Progamme und Zusatztools welche über Run / Runonce etc. gestartet werden kommen erst nach dem Login.

Ich hoffe das ich dir wenigstens 2 Fragen beantworten konnte.

Dabster · 23. Januar 2006

hey na das is doch schonmal was :) vielen dank!

schönen abend noch und gn8

achso btw hat vielleicht jemand eine ahnung welche literatur es da so auch bezüglich meiner fragen gibt? Ich habe da etwas von einem xp referenzbuch für leute die z.B. mcse machen gehört? Sollten also auch Code-Beispiele mit drin sein und auch mal bisschen internere Sachverhalte erklärt werden - nicht irgend so ein Einsteigerbuch.