Wie programmiert man einen Exe-Blocker ?

cyan · Beitrag von **cyan** » 07.07.2007 20:07

in diesem einsatzbereich würd ich aber raten auf jeden fall einen rechtsanhalt zu befragen...

ohne gewähr auf richtigkeit, und wie weit das mit dem rechtssystem in der BRD übereinstimmt, hab ich mir mal in einer stammtischrunde von einem erzählen lassen, der kennt einen, der einen kennt, dessen bekannter in seiner firma auch ein blocking-tool für ChatProgramme installiert hat, ohne die mitarbeiter zu informieren... daraus resultierte dann eine klage von einem angestellten, weil er befürchtet hat, dass dieses programm evtl keylogger, oder andere mechanismen zum ausspähen privater daten etc enthält, und da er ja nicht darüber informiert wurde, was das blocking-tool genau macht, von wem es ist, und dass es überhaupt verwendet wird, hat er sich eben in seinen befürchtungen bestätig gesehen...
könnt natürlich nur gequatsche sein... aber sicher ist sicher

a14xerus · Beitrag von **a14xerus** » 07.07.2007 20:08

Also um mal deine Punkte abzuarbeiten:

>- Autostart-Funktion
Entweder in den Ordner "autostart" verknüpfen, oder in der Registry unter dem Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\" den Pfad als Wert eintragen.
>- Blocker.exe sollte versteckt laufen
also ohen Fenster oder wie meinst du das???
>- Nicht im Task-Manager zu löschen sein
Weiß ich keine Antwort drauf, aber SuFu könnte vll helfen
>- verschlüsselze Eintrags-Datei aufweisen
Es gibt verschiedene Verschlüsselungsmethoden hier im Forum, oder du packst die Datei einfach (zb mit der Packer-Lib (standardmäßig bei PB dabei))
>Ca. alle 100 ms sollte ein geöffnetes Program
>nach dem Fenstertitel abgefragt werden können.
>Wenn es in der Eintrags-Datei vorhanden ist,
>dann soll das Programm wieder geschlossen werden.
Einfach Endlosschleife mit 100ms delay
>Wenn im Internet-Explorer im Titel das Wort "eBay" auftaucht,
>dann sollte es auch erkannt werden können.
Siehe mein Code

milan1612 · Beitrag von **milan1612** » 07.07.2007 20:13

Natürlich entschuldige mich (hab mich in der Mitgliederliste verguckt) wenn du
etwas sinnvolles programmieren willst, aber wir hatten im englischen Forum schon
einige Leute die eben nichts sinnvolles entwickeln wollten.

Blitzer · Beitrag von **Blitzer** » 07.07.2007 20:22

für einen "NewBe" muss sich niemand entschuldigen...

Für die Rechtssicherheit ist gesorgt, da schriftliche Vereinbarungen getroffen wurden, die dieses Verhalten beim Serven unterbinden sollen. Nun hat das leider nicht immer funktioniert. Dieses Programm ist für die Mitarbeiter sinnvoll, da ansonsten eine Abmahnung anstehen kann.

Blitzer

milan1612 · Beitrag von **milan1612** » 07.07.2007 20:53

Also dann denk ich brauchen wir noch das Betriebssystem. Weil unter XP kann
man einen Prozess nur verstecken wenn man ihn als Service laufen lässt.
Dafür muss man aber einige Regeln beim programmieren beachten...

Blitzer · Beitrag von **Blitzer** » 08.07.2007 10:38

Ja, es geht ganz passabel mit dem Code von 'a14xerus', Danke.

Als erstes wird der Task-Manager in der blacklist aufgenommen. Das funktioniert sogar bei "Ausblenden, wenn minimiert".

Für das Internet wird die Liste wohl stetig anwachsen. Man denke an die Verschlagwortung unter "keywords" in der .html-Datei.

Wahrscheinlich werde ich auch eine whitelist benötigen. Hier würden nur die erlaubten Programme auf dem Arbeitsplatz-PC aufgenommen werden. Da die erlaubten Programme bekannt sind, habe ich hier eher Erfolg.

Mal sehen, wie pflegbar sich die ganze Sache herausstellen wird.

Blitzer

Kaeru Gaman · Beitrag von **Kaeru Gaman** » 08.07.2007 11:14

Blitzer hat geschrieben:Mal sehen, wie pflegbar sich die ganze Sache herausstellen wird.

viel erfolg

...ein erfahrungsbericht in einigen monaten ist willkommen,
interessiert bestimmt etliche kollegen.

real · Beitrag von **real** » 08.07.2007 12:36

Interessantes Thema...

Ich würde das ganze als Dienst laufen lassen. Damit kannst Du
1. den Autostart handhaben und
2. dafür sorgen, dass ein eingeschränkter User den Dienst/Prozess nicht beenden kann.

Ansonsten ist Deine Idee ja schon ganz ausgereift und lässt sich auch leicht in die Praxis umsetzen. Eleganter würde sicher ein Filter Driver (siehe z.B. Filemon von Sysinternals) sein, über den schon beim Zugriff auf die Datei die Blockierung erfolgen kann. Aber da kann ich leider nicht weiterhelfen, dass ist für mich noch zu "advanced".

Kaeru Gaman · Beitrag von **Kaeru Gaman** » 10.07.2007 04:07

thorax hat geschrieben:Um den Start einer EXE "abzufangen" kannst Du auch die Dateierweiterung (.exe) mit Deinem Programm verknüpfen. Du erhälst als CMD den Namen der "richtigen" EXE und kannst diesen Namen oder eine CRC Prüfen bevor Du dann selbst dieses Programm startest oder eben auch nicht.

nette idee... funktioniert das wirklich?

Thorium · Beitrag von **Thorium** » 10.07.2007 08:09

Kaeru Gaman hat geschrieben:
thorax hat geschrieben:Um den Start einer EXE "abzufangen" kannst Du auch die Dateierweiterung (.exe) mit Deinem Programm verknüpfen. Du erhälst als CMD den Namen der "richtigen" EXE und kannst diesen Namen oder eine CRC Prüfen bevor Du dann selbst dieses Programm startest oder eben auch nicht.
nette idee... funktioniert das wirklich?

Jepp und kann zu saumäßig ärgerlichen Problemen führen, wenn man das Programm deinstalliert und es entfernt sich nicht wieder aus der Dateitypenzuordnung. Der Bekannte SubSeven Trojaner konnte diese Technik nutzen um an Opfer-Dateinamen zu kommen.