Layerd Service Provider DLLs - versteckter Irrsinn

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • p. specht;704393 schrieb:

      "Cyberarmy" klingt aber verdamt rouge_site-mässig... Wer ist das?


      Als "Doctor Who"-Fan verbinde ich mit dem Begriff die Armee der Cybermen, einer der "Lieblingsgegner" von Doctor Who ... aber ich befürchte, hier ist was anderes gemeint ... ;-)

      SCNR
      Roland
      Intel Duo E8400 3,0 GHz / 4 GB RAM / 1000 GB HDD / ATI Radeon HD4770 512 MB / Windows 7(32) - XProfan X4
      AMD Athlon II X2 2,9 GHz / 3 GB RAM / 500 GB HDD / ATI Radeon 3000 (onboard) / Windows 10(64) - XProfan X4


      http://www.xprofan.de
    • p. specht;704393 schrieb:

      "Cyberarmy" klingt aber verdamt rouge_site-mässig... Wer ist das?

      Keine Ahnung, bin zufällig auf den Link gestoßen. In der Regel bauen die Leute, von denen solcher Code stammt, auch irgendwann einmal an RootKits herum. Beim "Fuchs" ist das angeblich auch so.
      Wirklich gute Anregungen für RootKit Scanner findet man zum Beispiel nur auf rootkit.com. Böse und gut liegt da oft sehr nah zusammen - hat die gleichen Ansätze, benutzt die gleichen Strukturen etc...
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • nein, das habe ich ja auch nirgends behauptet oder?
      ich hatte das wohl nur missverstanden weil ja geschrieben wurde, das gmer keine module durchsucht. vllt könntest du ja genauer werden. auch ne mail an gmer hilft vllt die sind für vorschläge offen. trotzdem ist gmer ein sehr gutes analyse-tool.
    • Ich nutze mehrere Scanner, das ist die sicherste Methode, unter anderem auch Sachen, die ich mir selbst schreibe und dann möglichst nicht bekannt werden lasse. :-)
      RootKit Scanner sind recht gut - aber keiner scannt alles. Würde ein Scanner alles scannen, würde den auch jeder nutzen und er wäre im selben Augenblick nicht mehr brauchbar - das ist meine Meinung.

      PS: Wobei man aber nicht davon ausgehen sollte, dass das, was ich mir als Hobbyprogger selbst zusammenbastele, besonders gut und nutzenswert ist (das geht alleine schon wegen der von mir genutzten Programmiersprache nicht, die eigentlich gar nicht für solche Sachen ausgelegt ist) - es ist eben nur anders, und das ist mir dabei wichtig. :-)
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • markusg;704639 schrieb:

      ja sicher mehrere scanner sind eh sicherer. keiner erkennt 100 %.
      meine frage wurde damit leider immer noch nicht beantwortet :-)
      bei rootkitverdacht sollte man sowieso mit einer bootfähigen cd scannen. oder auch formatieren.

      Na ja - ich hab schon RootKits gefunden und diese selbst entfernt - hätte ich die mit einer bootfähigen CD gescannt, währen die zwei Wochen länger auf dem Rechner gewesen.

      Deine Frage? Ich sollte genauer werden glaube ich - meinst du das?
      Bei geladenen DLLs ist das genau so, wie bei den Prozessen - die Daten der geladenen DLLs werden in einer verlinkten Liste im virtuellen Speicher des jeweiligen Prozesses abgelegt (Usermode, privater Speicher). Zum einen kann man eine DLL in irgendeinen Prozess injizieren und dann aus dieser Liste entfernen (die Verlinkung in der Liste ändern) - die DLL wird dann nicht mehr angezeigt. Gmer erkennt das scheinbar nicht.
      Desweiteren kann man eine DLL über ein Kopierverfahren in einen anderen Prozess einschleusen. Die DLL erscheint dann gar nicht erst in dieser verlinkten LIste. Gmer scheint auch das nicht zu erkennen. Wie gesagt - das sind zur Zeit die Verfahren, die Viren benutzen (such mal im Netz zum Beispiel nach ntos.exe). Das ist zur Zeit der Stand meiner Tests - kann gut sein, dass ich da nur falsch Teste weil ich keine Viren schreibe; für mich sieht das aber im Augenblick nicht so aus. :-)

      Wird WindowsVista oder Windows7 erst einmal mehr verbreitet sein, wird man unter Umständen andere Techniken nutzen, die weniger Rechte erfordern, um sich zu tarnen. Vieleicht das hier, wer weiß.

      Gmer ist ein sehr gutes Programm und für den RootKitscanner von AntiVir gilt das ebenso. Ich nutze beides - aber eben noch mehr für den Rest, den beide nicht erkennen.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • ...und dann aus dieser Liste entfernen.

      Bitte wieso kriegen die dann überhaupt noch CPUzeit zugewiesen? Ist der Link in der Liste nicht gerade dafür verantwortlich - oder steck ich da mit meiner Denke noch im Win3.11-Mechanismus fest?
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • p. specht;704922 schrieb:

      Bitte wieso kriegen die dann überhaupt noch CPUzeit zugewiesen? Ist der Link in der Liste nicht gerade dafür verantwortlich - oder steck ich da mit meiner Denke noch im Win3.11-Mechanismus fest?

      Nein, das Objekt (EPROCESS) bleibt auch im Kernel, es wird nur aus der LIste "ausgeklammert". Da wird auf jeden Fall weiter Prozessorzeit zugewiesen, egal ob es da nun drin steht, oder nicht. Es gibt da eine andere "Liste", die ist für die Prozessorzeit zuständig.
      Die Technik, die du meinst, nennt sich DKOM (Direct Kernel Object Modifikation - siehe meine Homepage, mein "etwas wackeliger" Hider dort funktioniert über DKOM). Ein DKOM Hider wäre zum Beispiel auch das FU RootKit.
      FU würde sogar noch von meinem sehr einfach gestrickten Scanner "Zombinator" (Quelltext hier im Forum) erkannt werden - die Weiterentwicklung "FuToEnhanced" aber nicht mehr, dafür fahre ich härtere Dinge auf.
      Eine weitere Möglichkeit wäre, die Liste selbst gar nicht zu modifizieren, sondern nur die Rückgabe beim Auslesen der Liste (Toolhelp Funktionen und NtQuerySystemInformation). Hierbei wird die API NtQuerySystemInformation gehookt, entweder im Usermode (IAT oder Inline) oder im Kernel (SSDT).
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • markusg;701387 schrieb:

      Hi,
      seit version 7 erkennt avira bereits rootkits.
      bei 7 und 8 muss man die rootkitsuche selbst aktiviren, bei version neun ist sie schon aktivirt. Muss dir aber recht geben, daran muss noch gearbeitet werden.
      wegen dem umformatieren es ging mir oben um die ADS


      Hallo Markus...

      Im DCI-ThreadHunter, dessen Downloadlink ich dir zugeschickt habe, gibt es die Möglichkeit, ein ungefährliches "Testrootkit" einzuschleusen. Das RootKit heißt "rkt.dll". Findet GMER das RootKit? Findet AntiVir das RootKit???
      Das RootKit entspricht in etwa der Technik, die einige Viren zu Zeit verwenden.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • ...ist die oben angesprochene RootKit-Simmulation installiert, zeigt das Proggie, an dem ich zur Zeit arbeite, das an:
      [IMG:http://img22.imageshack.us/img22/5421/19140013.th.jpg]

      AntiVirs RootKit-Scanner meldet das:
      [IMG:http://img22.imageshack.us/img22/690/61891458.jpg]

      und GMER zeigt das an:

      GMER 1.0.15.14972 - GMER - Rootkit Detector and Remover
      Rootkit scan 2009-07-06 16:15:18
      Windows 6.0.6002 Service Pack 2, v.286

      ---- System - GMER 1.0.15 ----
      SSDT 9D73392C ZwCreateThread
      SSDT 9D733918 ZwOpenProcess
      SSDT 9D73391D ZwOpenThread
      SSDT 9D733927 ZwTerminateProcess
      ---- Kernel code sections - GMER 1.0.15 ----
      .text ntkrnlpa.exe!_allshl + 15C 81CA469C 4 Bytes [2C, 39, 73, 9D] {SUB AL, 0x39; JAE 0xffffffffffffffa1}
      .text ntkrnlpa.exe!_allshl + 32C 81CA486C 4 Bytes [18, 39, 73, 9D] {SBB [ECX], BH; JAE 0xffffffffffffffa1}
      .text ntkrnlpa.exe!_allshl + 348 81CA4888 4 Bytes [1D, 39, 73, 9D]
      .text ntkrnlpa.exe!_allshl + 55C 81CA4A9C 4 Bytes [27, 39, 73, 9D] {DAA ; CMP [EBX-0x63], ESI}
      ---- User IAT/EAT - GMER 1.0.15 ----
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [7422D9AC] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74256FC0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [74207E21] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [741FF637] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [7422D355] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [741FE4F6] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [7425A58C] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [7420CF3A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [742013E8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [7420134F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [741F71C3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [7428C9F8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [74216C2C] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [741FD71F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [741F67E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [741F680D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      IAT C:\Windows\Explorer.EXE[812] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74200FE1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.16670_none_9e5822e0ca10e6db\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
      ---- Devices - GMER 1.0.15 ----
      AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
      ---- Registry - GMER 1.0.15 ----
      Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@SIGN=22B5D0 Tests\2WINDOWS4ME\xb3\2windows4me\xb3.exe 8
      ---- EOF - GMER 1.0.15 ----



      Sowohl AntiVir als auch GMER erkennen hier kein RootKit, obwohl der Explorer durch unsichtbaren Code infiziert wurde, der gerade ausgeführt wird.
      Die im Augenblick verfügbaren RootKit-Scantechniken reichen also ganz offensichtlich nicht aus, um die Malware zu erkennen, die bereits schon seit einer ganzen Weile im Umlauf ist. Hat jemand Gegenargumente dazu?

      Ich denke mal, hier ist für die Zukunft Einfallsreichtum gefragt - und zwar der Einfallsreichtum von jedem, der ein bischen programmieren kann und nicht nur der Einfallsreichtum der Leute, die bei M$ (Sysinternals) beschäftigt sind. Der Einfallsreichtum von jungen, "frechen" Leuten, die nicht nur auf das vertrauen, was ihnen irgendjemand vorgekaut hat - sondern Leute, die selbst denken und forschen können - denn vieles von dem was irgendwo geschrieben steht, ist auf den neuen Betriebssystemen gar nicht mehr gültig.

      Wenn hier die Frage aufkommt:

      Wo gibt es Software gegen...

      , ist es mein voller Ernst wenn ich darauf antworte:

      Warum schreibst du nicht selbst was?

      ...
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Nochmal zu den Layerd Service Provider DLLs:

      Folgendes Tool: PPFScanner.zip

      Im Edit über dem Button Scripts folgenden Text einfügen und Button Script ausführen klicken...
      Für alle DLLs:

      Quellcode

      1. REM->Nur Warnungen listen!
      2. SET_OPTIONS->204
      3. REM->Auch Microsoft LSPs listen!
      4. SET_OPTIONS->-215
      5. REM->Scandateien Namen geben!
      6. SET_OPTIONS->-102
      7. REM->LSPs listen!
      8. SET_OPTIONS->41
      9. REM->Alle anderen Scans deaktivieren!
      10. SET_OPTIONS->-34
      11. SET_OPTIONS->-2,-3,-4,-5,-6,-7,-8,-9,-10
      12. SET_OPTIONS->-11,-12,-13,-14,-15,-16,-17,-18
      13. SET_OPTIONS->-19,-20,-21,-22,-23,-24,-25,-26
      14. SET_OPTIONS->-27,-28,-29,-30,-31,-32,-33,-35
      15. SET_OPTIONS->-36,-37,-38,-39,-40
      16. REM->Scans in Scanlistansicht ausführen!
      17. SCANLIST->
      18. REM->Scanfiles in den Ordner kopieren, in dem sich der Scanner befindet!
      19. COPY_SCANFILES->%PROGDIR%
      20. REM->Scandateien anzeigen!
      21. SHOW_SCANFILES->
      Alles anzeigen

      _____________________________________________________________________________

      Und das listet nur DLLs, die nicht vom M$ signiert wurden:

      Quellcode

      1. REM->Nur Warnungen listen!
      2. SET_OPTIONS->204
      3. REM->Keine Microsoft LSPs listen!
      4. SET_OPTIONS->215
      5. REM->Scandateien Namen geben!
      6. SET_OPTIONS->-102
      7. REM->LSPs listen!
      8. SET_OPTIONS->41
      9. REM->Alle anderen Scans deaktivieren!
      10. SET_OPTIONS->-34
      11. SET_OPTIONS->-2,-3,-4,-5,-6,-7,-8,-9,-10
      12. SET_OPTIONS->-11,-12,-13,-14,-15,-16,-17,-18
      13. SET_OPTIONS->-19,-20,-21,-22,-23,-24,-25,-26
      14. SET_OPTIONS->-27,-28,-29,-30,-31,-32,-33,-35
      15. SET_OPTIONS->-36,-37,-38,-39,-40
      16. REM->Scans in Scanlistansicht ausführen!
      17. SCANLIST->
      18. REM->Scanfiles in den Ordner kopieren, in dem sich der Scanner befindet!
      19. COPY_SCANFILES->%PROGDIR%
      20. REM->Scandateien anzeigen!
      21. SHOW_SCANFILES->
      Alles anzeigen

      Hier mit diesem Script nichts angezeigt, sieht das schon mal recht gut aus.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Hochinteressant - Danke, AHT-Andreas!

      Ich möchte mir als nächstes mal diese ominöse SVCHOST.EXE vornehmen, die Zonealarm bei jedem größeren Datentransfer von heimtelefonierenden Programmen anzeigt, und die zwar zu Windows gehört, vonFremdprogrammen aber offenbar auch gerne genutzt wird.
      Zieht man die Datei (natürlich versehentlich) auf notepad, findet man vielleicht eventuell möglicherweise beinahe fast die folgenden Strings - ich vermute mal, DLLs und Funktionsnamen von Einsprungadressen. Möchte mir das später mal näher ansehen.

      MZ
      This program cannot be run in DOS mode.
      PE
      .text .data .rsrc
      ADVAPI32.dll
      KERNEL32.dll
      NTDLL.DLL
      RPCRT4.dll

      P a rameters
      S y stem\CurrentControlSet\Services

      SvchostPushServiceGlobals
      ServiceMain
      S e r viceMain
      S e rviceDll

      S e r viceDllUnloadOnStop
      D e f aultRpcStackSize

      A u t henticationCapabilities
      I m personationLevel
      A u thenticationLevel CoInitialize SecurityParam

      S o ftware\Microsoft\Windows NT\CurrentVersion\Svchost

      \ R e gistry\Machine\System\CurrentControlSet\Control\SecurePipeServers\

      NETAPI32.dll
      ole32.dll
      Netbios
      CoInitializeEx
      CoInitializeSecurity

      ADVAPI32.dll
      KERNEL32.dll
      ntdll.dll
      RPCRT4.dll

      RegQueryValueExW
      SetSecurityDescriptorDacl
      SetEntriesInAclW
      SetSecurityDescriptorGroup
      SetSecurityDescriptorOwner
      InitializeSecurityDescriptor
      GetTokenInformation
      OpenProcessToken
      OpenThreadToken
      SetServiceStatus
      RegisterServiceCtrlHandlerW
      RegCloseKey
      RegOpenKeyExW
      StartServiceCtrlDispatcherW
      HeapFree
      GetLastError
      WideCharToMultiByte
      lstrlenW
      LocalFree
      GetCurrentProcess
      GetCurrentThread
      GetProcAddress
      LoadLibraryExW
      LeaveCriticalSection
      HeapAlloc
      EnterCriticalSection
      LCMapStringW
      FreeLibrary
      lstrcpyW
      ExpandEnvironmentStringsW
      lstrcmpiW
      ExitProcess
      GetCommandLineW
      InitializeCriticalSection
      GetProcessHeap
      SetErrorMode
      SetUnhandledExceptionFilter
      RegisterWaitForSingleObject
      InterlockedCompareExchange
      LoadLibraryA
      QueryPerformanceCounter
      GetTickCount
      GetCurrentThreadId
      GetCurrentProcessId
      GetSystemTimeAsFileTime
      TerminateProcess
      UnhandledExceptionFilter
      LocalAlloc
      lstrcmpW
      DelayLoadFailureHook
      NtQuerySecurityObject
      RtlFreeHeap
      NtOpenKey
      wcscat
      wcscpy
      RtlAllocateHeap
      RtlCompareUnicodeString
      RtlInitUnicodeString
      RtlInitializeSid
      RtlLengthRequiredSid
      RtlSubAuthoritySid
      NtClose
      RtlSubAuthorityCountSid
      RtlGetDaclSecurityDescriptor
      RtlQueryInformationAcl
      RtlGetAce
      RtlImageNtHeader
      wcslen
      RtlUnhandledExceptionFilter
      RtlCopySid
      RpcServerUnregisterIfEx
      RpcMgmtWaitServerListen
      RpcMgmtSetServerStackSize
      RpcServerUnregisterIf
      RpcServerListen
      RpcServerUseProtseqEpW
      RpcServerRegisterIf
      I_RpcMapWin32Status
      RpcMgmtStopServerListening

      RSDS:
      svchost.pdb

      V S _ V E RSION_INFO
      StringFileInfo 040904B0
      CompanyName Microsoft Corporation
      FileDescription Generic Host Process for Win32 Services
      F i leVersion 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
      I n ternalName svchost.exe.
      L e g alCopyright©Microsoft Corporation. All rights reserved.
      O r iginalFilename svchost.exe
      P r oductName Microsoft® Windows® Operating System
      P r oductVersion 5.1.2600.2180D
      V a rFileInfo
      T r anslation

      Frage an die Spezialisten: Kann man sowas auch hooken / subclassen, um mal zu sehen was da eigentlich läuft?
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3