PPFScanner: Onlinedoku der Scriptingbefehle
-
AxT -
20. November 2014 um 17:23 -
Geschlossen
-
-
-
-
-
Startet ein Programm (optional mit Parametern) und macht sofort mit der Scriptausführung weiter.
Dieses Beispiel startet das Programm MILSTARTER, das den Scanner wiederum mit abgeschalteter MIC startet: -
Startet ein Programm mit Systemrechten und macht sofort mit der Scriptausführung weiter.Mit Starterprogramm_mit_Pfad ist das Programm StartPA.exe gemeint, das sich im PPFScanner Ordner befindet. Es kann quasi jedes Programm als System-Dienst starten.
Dieses Beispiel startet den Scanner mit Systemrechten:
-
-
Dieser Befehl listet alle Threads des Prozesses mit der ID Zu_prüfende_ProzessID und überprüft, ob evtl. versteckter Code angesprungen wird.
Wird bei Zu_prüfende_ProzessID nichts angegeben, werden alle die Threads aller laufenden Prozesse gelistet.
Der Befehl liest die Startadresse und Stackinhalte der Threads aus und überprüft dann, ob der Code, der auf diese Adresse verweist, auf ein geladenes Modul zeigt.
Da Windows die zwischengespeicherte Startadresse eines Threads unter bestimmten Voraussetzungen mit einem anderen Wert überschreibt, liefert diese Funktion nicht immer verlässliche Werte.Beispiele:
-
Dieser Befehl listet alle Threads des Prozesses mit dem angegebenen Prozessnamen auf und überprüft, ob evtl. versteckter Code angesprungen wird.Der Befehl liest die Startadresse und Stackinhalte der Threads aus und überprüft dann, ob der Code, der auf diese Adresse verweist, auf ein geladenes Modul zeigt.
Da Windows die zwischengespeicherte Startadresse eines Threads unter bestimmten Voraussetzungen mit einem anderen Wert überschreibt, liefert diese Funktion nicht immer verlässliche Werte.
-
Dieser Befehl listet alle Threads aller Prozesse, die von der angegebenen Datei erstellt wurden, auf und überprüft, ob evtl. versteckter Code angesprungen wird.Der Befehl liest die Startadresse und Stackinhalte der Threads aus und überprüft dann, ob der Code, der auf diese Adresse verweist, auf ein geladenes Modul zeigt.
Da Windows die zwischengespeicherte Startadresse eines Threads unter bestimmten Voraussetzungen mit einem anderen Wert überschreibt, liefert diese Funktion nicht immer verlässliche Werte.
-
Code
MEMORY_TO_FILE->Prozessname_oder_PID ->Adresse_ab_der_ausgelesen_werden_soll ->Anzahl_an_zu_lesenden_Bytes_oder_0_oder_-1 ->Ordner:in_den_gespeichert_werden_soll
Liest aus dem Prozessspeicher des angegebenen Prozesses ab der in Parameter zwei angegebenen
Adresse die in Parameter 3 angegebene Anzahl an Bytes aus und Schreibt in den in Parameter 4 angegebenen
Ordner eine Datei mit der Dateiendung .MEM, die folgendes Format hat:
Prozessname_PID_Startadresse_Bytes.MEMBeispiele:
Liest in allen iexplore.exe Prozessen ab dem Beginn der Speicherseite, die die Adresse 4194306 enthält, so viele
Bytes wie möglich aus.
Liest in allen iexplore.exe Prozessen ab der Adresse 4194306 so viele Bytes wie möglich aus.
Liest in allen iexplore.exe Prozessen ab der Adresse 4194306 300 Bytes aus.
Liest in allen Prozessen, auf die Zugriff besteht, bis Prozess-ID 5000 ab der Adresse 4194306 300 Bytes aus.%LOOP% muss groß geschrieben werden!
-
Code
MEMORY_BY_PID->PID ->Adresse_innerhalb_eines_Adressbereichs_dessen_Eigenschaften_ausgelesen_werden_sollen
Liest aus dem Prozessspeicher des Prozesses mit der an Parameter 1 angegebenen Prozess-ID
die Eigenschaften der Speicherseiten aus, in der die an Parameter 2 angegebene Adresse liegt.Beispiele:
Liest im Prozess mit der PID 500 die Eigenschaften der Speicherseiten aus, in denen
die Adresse 4194306 liegt.
Liest in allen Prozessen, auf die Zugriff besteht, bis Prozess-ID 5000 die Eigenschaften der Speicherseiten aus, in denen die Adresse 4194306 liegt.%LOOP% muss groß geschrieben werden!
-
Code
MEMORY_BY_NAME->Prozessname ->Adresse_innerhalb_eines_Adressbereichs_dessen_Eigenschaften_ausgelesen_werden_sollen
Liest aus dem Prozessspeicher der Prozesse mit dem an Parameter 1 angegebenen Prozessnamen
die Eigenschaften der Speicherseiten aus, in der die an Parameter 2 angegebene Adresse liegt.Beispiele:
Liest in allen iexplore.exe Prozessen die Eigenschaften der Speicherseiten aus, in denen
die Adresse 4194306 liegt. -
Code
MEMORY_BY_FILENAME->Dateiname ->Adresse_innerhalb_eines_Adressbereichs_dessen_Eigenschaften_ausgelesen_werden_sollen
Liest aus dem Prozessspeicher des Prozesses mit der an Parameter 1 angegebenen Prozess-ID
die Eigenschaften der Speicherseiten aus, in der die an Parameter 2 angegebene Adresse liegt.Beispiele:
Liest in allen Prozessen, die durch die Datei C:\WINDOWS\EXPLORER.exe gestartet wurden, die Eigenschaften der Speicherseiten aus, in denen die Adresse 4194306 liegt. -
Sucht in dem Prozessspeicher des angegebenen Prozesses nach versteckten DLLs.Beispiele:
Sucht in allen iexplore.exe Prozessen nach versteckten DLLs.
Sucht in allen Prozessen, auf die Zugriff besteht, bis Prozess-ID 5000 nach versteckten DLLs.%LOOP% muss groß geschrieben werden!
-
-
-
Setzt die Scanoptionen für den nächsten Scan.
Im Menü stehen hinter den einzelnen Menüpunkten, die durch das Scripting gesetzt werden können, in klammern Zahlen. Diese Zahlen können mit dem Befehl SET_OPTIONS (durch Kommas getrennt) verwendet werden, um die Menüpunkte anzusprechen. Ein Minus vor der Zahl bedeutet, der Menüpunkt wird deaktiviert - andernfalls wird er aktiviert.Beispiele:
Deaktiviert den Menüpunkt scanne geladene Treiber (22) und aktiviert den Menüpunkt scanne versteckte Module (23). -
Fügt den nach LNK-Dateien zu durchsuchenden Autostartordnern einen Ordner hinzu, der ebenfalls beim Ausführen von Scan oder Scanlist nach LNK-Dateien durchsucht wird, hinzu.Beispiel:
-
Schaltet den RootKitmodus für die Registry ein oder aus. In diesem Modus ist es möglich, manche Usermode RootKits zu erkennen. Er ermöglicht das Lesen von und das Schreiben in durch Rechte gesperrte Registryschlüssel.
Ist Modus 1, wird der RootKitmodus eingeschaltet. Ist Modus 0, wird er ausgeschaltet.
-
Fügt der Liste der nicht zu durchsuchenden Schlüssel bei einer Rekursiven Registrysuche den Angegebenen Schlüssel hinzu oder löscht die Liste der nicht zu durchsuchenden Schlüssel.Beispiele:
Verhindert das Durchsuchen des Schlüssels SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide in allen ROOT-Schlüsseln.
Verhindert das Durchsuchen des Schlüssels Sam im ROOT-Schlüssel HKEY_LOCAL_MACHINE.
Löscht die Liste der zu durchsuchenden Schlüssel. -
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!