Trickserei: Programmpfad ermitteln

[AHT]

Einen Tipp hätte ich noch - kann aber zur Not auch so bleiben wie es ist...
Du scheinst hier die Abfrage, ob ein anderer Eintrag im Listview ausgewählt wurde, sehr kompliziert zu gestalten - deshalb geht das mit der Tastatur auch nicht vernünftig (siehe Andreas Miethe).
Du kannst dafür die Message LVM_GETNEXTITEM verwenden:

Code:

 
Ausgewählt&=Sendmessage(GridBox&,$100C,-1,$2)

Die sendest du einfach nach dem WaitInput und prüfst nach, ob sich Ausgewählt& verändert hat. Ist Ausgewählt&=-1, ist nichts markiert.
Damit entfällt jegliche Abfrage irgendwelcher Maus oder Tastaturklicks...

[AHT]

Hallo Horst...

Was hältst du davon, Path-Scout noch etwas zu erweitern?
Es gibt die Möglichkeit, Code einer beliebigen EXE recht einfach durch eigenen Code zu ersetzen. Was hälst du davon, Path-Scout auch untersuchen zu lassen, ob so eine "Manipulation" vorliegt?

[horsthorn]

Zitat:

Zitat von AHT

Hallo Horst...

Was hältst du davon, Path-Scout noch etwas zu erweitern?
Es gibt die Möglichkeit, Code einer beliebigen EXE recht einfach durch eigenen Code zu ersetzen. Was hälst du davon, Path-Scout auch untersuchen zu lassen, ob so eine "Manipulation" vorliegt?

Was soll ich schon davon halten ? - Wahrscheinlich wird da bei dir auf der Platte wieder so ein 'kryptischer' Code sein, den du mir dann rüberschicken wirst und ich dann einbauen werde... - bitte an die bekannte Mail-Adresse schicken.

[AHT]

Moin Horst...

So, die Prozedur zum Scannen dürfte fertig sein.
Im Augenblick liefert die Prozedur einen String als Ergebnis zurück, der entweder die Namen der veränderten Module in einem Prozess (getrennt durch Zeilenumbrüche)

Zitat:

Code von Modul C:\Windows\system32\svchost.exe wurde verändert!
Code von Modul C:\Windows\system32\NSI.dll wurde verändert!
Code von Modul C:\Windows\system32\ws2_32.dll wurde verändert!

oder eine Fehlermeldung enthält (oder auch beides).

Zitat:

Fehler beim Auslesen des Codes von Modul 'C:\Windows\system32\svchost.exe': Zugriff verweigert

Ist das so OK?

Wenn das so OK ist, schicke ich dir den Code im Laufe des Tages zu.
Einen Tester, der großes Interesse an der Sache hätte, haben wir bereits.

PS: Das um das es dabei geht scheint eine gängige Technik von Trojanern zu sein.

[horsthorn]

@Andreas

Zitat:

Wenn das so OK ist, schicke ich dir den Code im Laufe des Tages zu.
Einen Tester, der großes Interesse an der Sache hätte, haben wir bereits.

Schick mal rüber - morgen hätte ich Zeit - (gibt ja nur Formel-1 und kein Fussball )

[AHT]

Hab dir die Sachen rübergeschickt.

Ich denke, die neue Scanfunktion sollte vielleicht optional abstellbar sein.
Bin gespannt, was du daraus machst...

[AHT]

Zur Erinnerung: Ich möchte Path-Scout ganz gerne (nach einem Hinweis von Andreas Miethe) dazu bringen, auch nach einer bestimmten Art von Trojanern zu suchen - vorausgesetzt, Horst hat noch Lust zum Basteln.

Da Urlaubszeit ist und es sowieso etwas dauert, bis Horst wieder Zeit zum Basteln hat, wollte ich vorher noch einen wichtigen Test bezüglich der neuen Scanfunktion einschieben. Hier der Testdownload:
Downloadlink von PathScanTest

Die Testdatei irgendwohin entpacken und die EXE ausführen (mindestens WindowsXP ist erforderlich). Die EXE benötigt zum Scannen Adminrechte und fragt unter Vista über die UAC diese vorher an.
Den Test nach dem Abschluss des Scans dann einfach kopieren und mir per Mail schicken (es wäre gut, wenn zum Zeitpunkt des Scans möglichst viele Programme laufen) oder hier als Zipdatei posten. Ich möchte wissen, ob meine jetzige Scanstrategie noch Fehlscans produziert.

Bitte um viele, viele, besonders viele Tester - es geht um die Entwicklung eines Programms, das eine bestimmte Art von Trojanern finden soll, auch wenn diese der Virenscanner nicht erkennt.

[Frabbing]

Unter XP steigt die Test-Exe kommentarlos aus. Zuvor wird was aufgelistet, dann eine länge Pause und dann ist das Fenster einfach weg.

[horsthorn]

@Andreas
Hab dir eben die Text-Datei "rübergeschossen" !

[AHT]

Zitat:

Zitat von Frabbing

Unter XP steigt die Test-Exe kommentarlos aus. Zuvor wird was aufgelistet, dann eine länge Pause und dann ist das Fenster einfach weg.

Danke, ich schau mal.

[AHT]

Das liegt scheinbar nicht an meinem Code. Ich werde Horst das Ding mal zuschicken, damit der es für mich compiliert.
Evtl. meine Profanversion oder irgendetwas auf deinem Rechner.
Hat noch jemand das gleiche Problem?

[Bangkok]

Ich habe auch Windows XP SP3, bei mir läuft es einwandfrei. ich habe dir ja das Ergebnis per Mail geschickt.

[Andreas Miethe]

Bei mir läuft es auch einwandfrei ! XP, VISTA UND WIN7.
Scannt aber nicht alle laufenden Processe nur ganz genau max. 73.
Hast Du eine Grenze eingebaut ?

[AHT]

Zitat:

Zitat von Andreas Miethe

Bei mir läuft es auch einwandfrei ! XP, VISTA UND WIN7.
Scannt aber nicht alle laufenden Processe nur ganz genau max. 73.
Hast Du eine Grenze eingebaut ?

Ich habe für den Test nur ein Edit verwendet - da passt nicht viel Text rein.
Die Tests schaue ich mir heute abend noch an - bin grad aus der Nachtschicht gekommen.

@Frank: So etwas hatten wir ja schon mal - Zugriffsverletzung beim Entladen einer DLL. Das war auch auf deinem Rechner. Bitte mal wieder alle Hooks entfernen und dann testen. Läuft das Ding dann, teste deinen Rechner zur Sicherheit bitte mal auf RootKits. Erst mal mit dem RootKit-Scanner von Avast - findet der nichts, ist was bestimmtes von mir dran. Wie gesagt, nur zur Sicherheit.

[Andreas Miethe]

Zitat:

Zitat von AHT

Ich habe für den Test nur ein Edit verwendet - da passt nicht viel Text rein.

Ist zwar für einen Test nicht so wichtig, lässt sich aber ändern.

Code:

sendmessage(EditHandle&,$00C5,(32766*4),0)

Und schon passt mehr Text rein