2022-08-06T17:12:38+02:00
2022-08-06T19:37:58+02:00
2022-08-08T13:59:51+02:00
nemquora
Sziasztok!
Leszedtem egy NirSoft-os programot, aminek a neve FileAccessErrorView.
Szépen kilistáz minden process-t, név és útvonal szerint, amelyeknél fájl elérési hiba van. Viszont van aminél sem Process Name, sem Process Path nem szerepel. Ugyan látom a Process ID-t, de mire kikeresném Feladatkezelőben, már eltűnik, vagy lehet alapból rejtett.
Mi lehet ennek az oka?
Utána lehet-e nézni adott Process ID-nak, ami már nem aktív? Pl. rákeresek a 1234 PID-ra és visszaadja nekem az adott process nevét, hogy mi volt az.
Csatolva van egy kép, amin egy ismeretlen folyamat próbálja elérni az Avast egyik dll fájlját, nevezetesen az aswhook.dll-t.
Leszedtem egy NirSoft-os programot, aminek a neve FileAccessErrorView.
Szépen kilistáz minden process-t, név és útvonal szerint, amelyeknél fájl elérési hiba van. Viszont van aminél sem Process Name, sem Process Path nem szerepel. Ugyan látom a Process ID-t, de mire kikeresném Feladatkezelőben, már eltűnik, vagy lehet alapból rejtett.
Mi lehet ennek az oka?
Utána lehet-e nézni adott Process ID-nak, ami már nem aktív? Pl. rákeresek a 1234 PID-ra és visszaadja nekem az adott process nevét, hogy mi volt az.
Csatolva van egy kép, amin egy ismeretlen folyamat próbálja elérni az Avast egyik dll fájlját, nevezetesen az aswhook.dll-t.
Mutasd a teljes hozzászólást!
Csatolt állomány
- aswhook.png44,18 KB
Keresgélésem eddigi eredményei ezzel kapcsolatban:
Lehet naplózni a folyamatokat.
1. Futtatni(Win+R) kell a gpedit.msc-t.
2. Házirend: Helyi számítógép -> Számítógép konfigurációja -> A Windows beállításai -> Biztonsági beállítások -> Helyi házirend -> Naplórend -> Folyamatok nyomon követésének naplózása (Sikeres és/vagy Sikertelen)
3. Házirend: Helyi számítógép -> Számítógép konfigurációja -> A Windows beállításai -> Biztonsági beállítások -> Helyi házirend -> Biztonsági beállítások -> Naplózás: A naplórend alkategória-beállításai (Windows Vista vagy újabb) felülbírálják a naplórend kategóriabeállításait (Engedélyezve)
4. Eseménynaplóban aztán lehet keresgélni. Eseménynapló -> Windows-naplók -> Biztonság -> Keresés
Sysinternals Suite-tal lehet látni a rejtett folyamatokat is (legalábbis másfajta technikával is utánanéz)
Sysinternals Suite - Windows Sysinternals
Ezen belül a procexp64.exe programmal lehet látni a folyamatokat.
"So, Long Story short there are methods of hiding your process from things like the Sysinternals tools but not for the Windows Task Manager, the trick is to find a API that bypasses it on a more "kernel" level."
Volatility-vel viszont elméletileg MINDEN folyamat látható. Tehát előle nem lehet semmit elrejteni, mert mindent kiolvas a memóriából.
https://www.volatilityfoundation.org/releases
Lehet naplózni a folyamatokat.
1. Futtatni(Win+R) kell a gpedit.msc-t.
2. Házirend: Helyi számítógép -> Számítógép konfigurációja -> A Windows beállításai -> Biztonsági beállítások -> Helyi házirend -> Naplórend -> Folyamatok nyomon követésének naplózása (Sikeres és/vagy Sikertelen)
3. Házirend: Helyi számítógép -> Számítógép konfigurációja -> A Windows beállításai -> Biztonsági beállítások -> Helyi házirend -> Biztonsági beállítások -> Naplózás: A naplórend alkategória-beállításai (Windows Vista vagy újabb) felülbírálják a naplórend kategóriabeállításait (Engedélyezve)
4. Eseménynaplóban aztán lehet keresgélni. Eseménynapló -> Windows-naplók -> Biztonság -> Keresés
Sysinternals Suite-tal lehet látni a rejtett folyamatokat is (legalábbis másfajta technikával is utánanéz)
Sysinternals Suite - Windows Sysinternals
Ezen belül a procexp64.exe programmal lehet látni a folyamatokat.
"So, Long Story short there are methods of hiding your process from things like the Sysinternals tools but not for the Windows Task Manager, the trick is to find a API that bypasses it on a more "kernel" level."
Volatility-vel viszont elméletileg MINDEN folyamat látható. Tehát előle nem lehet semmit elrejteni, mert mindent kiolvas a memóriából.
https://www.volatilityfoundation.org/releases
Mutasd a teljes hozzászólást!
- nemquoraválasza nemquora (17:12) részére
- 2022.08.06. 17:15
- permalink
*inaktív folyamatMutasd a teljes hozzászólást!- GoTválasza nemquora (17:12) részére
- 2022.08.06. 18:01
- permalink
- Keresgélésem eddigi eredményei ezzel kapcsolatban:
Lehet naplózni a folyamatokat.
1. Futtatni(Win+R) kell a gpedit.msc-t.
2. Házirend: Helyi számítógép -> Számítógép konfigurációja -> A Windows beállításai -> Biztonsági beállítások -> Helyi házirend -> Naplórend -> Folyamatok nyomon követésének naplózása (Sikeres és/vagy Sikertelen)
3. Házirend: Helyi számítógép -> Számítógép konfigurációja -> A Windows beállításai -> Biztonsági beállítások -> Helyi házirend -> Biztonsági beállítások -> Naplózás: A naplórend alkategória-beállításai (Windows Vista vagy újabb) felülbírálják a naplórend kategóriabeállításait (Engedélyezve)
4. Eseménynaplóban aztán lehet keresgélni. Eseménynapló -> Windows-naplók -> Biztonság -> Keresés
Sysinternals Suite-tal lehet látni a rejtett folyamatokat is (legalábbis másfajta technikával is utánanéz)
Sysinternals Suite - Windows Sysinternals
Ezen belül a procexp64.exe programmal lehet látni a folyamatokat.
"So, Long Story short there are methods of hiding your process from things like the Sysinternals tools but not for the Windows Task Manager, the trick is to find a API that bypasses it on a more "kernel" level."
Volatility-vel viszont elméletileg MINDEN folyamat látható. Tehát előle nem lehet semmit elrejteni, mert mindent kiolvas a memóriából.
https://www.volatilityfoundation.org/releasesMutasd a teljes hozzászólást!
Címkék