Hallo, ich habe eine Möglichkeit gefunden wie man ohne weitere Probleme z.B. seine eigene VB.net anwendung als Trusted Installer ausführen kann. Mein frage ist nun ob das auch bei Viren und Trojaner bekannt ist, als kennt jemand Trojaner die als Tusted Installer arbeiten? Weil ich immer wieder sehe das Trojaner nur als Admin oder max. als SYSTEM laufen und diese Trojaner dann änderungen an der registry vornehmen um z.b. den Taskmanager zu deaktivieren. Allerdings gibt es möglichkeiten diese Viren ohne Probleme zu deaktivieren, zu entfernen und den Taskmanager wieder zu aktivieren. Eine Anwendung mit Trusted Installer rechten kann allerdings den Taskmanager komplett löschen und z.b. mit einer anderen Anwendung austauschen, also diese Anwendung kann dann jede änderung ohne Probleme vornehmen. Kennt jemand von euch einen Trojaner der so etwas kann?

Also ich gehe ma davon aus wenn DU im Inet gefunden hast wie man ein prog als zrusted installer ausführt, dann hat das mit sicherheit auch schon ein trojaner progger auch gefunden/wird das ein trojaner progger auch finden

btw wenn du auf dem weg den du gefunden hast ein prog als trustedinstaller ausführst, als was wird es dir im task,gr angezeigt?

Also ich kann den Taskmanager auch als Administrator löschen/ersetzen. Ich kann mich als Administrator auch zum Besitzer von Objekten machen, die vom TrustedInstaller erstellt wurden (und erhalte damit alle Zugriffsrechte). Selbes gilt dementsprechend auch für den System-Account.
Macht also absolut keinen Unterschied ob das Programm nun unter TrustedInstaller oder Administrator läuft.

Google mal nach Rootkits.

LG

Wieso den Taskmanager wirklich austauschen?
Meistens werden einfach nur ImageFileExecutionOptions benutzt (Die Debugger-Option ist eigentlich, na wie der Name sagt, zum Debuggen gedacht).
Austauschen wie von @Artentus gesagt, kann man einfach mit TakeOwnership,ersetzen und dann wieder dem TrustedInstaller geben.
Außerdem ist meistens eh alles vorbei, wenn man Adminrechte hat, danach sind SYSTEM Rechte auch nur noch ein Katzensprung.
Hmm, vielleicht kann man auch einen Prozess als TrustedInstaller laufen lassen, man bräuchte nur einen Prozess unter den Nutzer läuft und dann die Prozess Tokens kopieren...
Gibt es einen Prozess/Dienst der als User TrustedInstaller läuft?

Radinator schrieb:

btw wenn du auf dem weg den du gefunden hast ein prog als trustedinstaller ausführst, als was wird es dir im task,gr angezeigt?

Im taskmanager wir mir das Programm als SYSTEM angezeigt, allerdings hatte dieses Programm die Trusted Installer rechte , das wusste ich daher weil ich vorher als SYSTEM mit CMD versucht habe den Taskmanager zu löschen was jedoch nicht geklappt hatte. Als ich mir die rechte angeschaut habe konnte nur der Trusted Installer den Taskmanager löschen, was denn auch später funktioniert hat. Ja ich habe mal was von Rootkit gehört, sobald ich weiß haben die auch SYSTEM rechte wenn ich mich nicht irre, aber haben diese denn auch Trusted Installer rechte? Hier mal ein kleiner Bericht was Trusted Installer eig. bewirkt: praxistipps.chip.de/trustedinstaller-was-ist-das_9872

Du kannst das Windows System Debuggen also den DEP und UAC ausschalten und schau dir dann mal die Schnittstelle vom Windows-Testmodus an.

Da gibt es richtig gute "Hacks"..

Aber Achtung:
Dein Programm wird dann ganz ganz schnell von AntiViren detectet..

Sality = Frisst sich in jede Datei (mittlerweile aber veraltet)
Zeus.Bot = Schaltet die Firewall aus und lädt andere Trojaner nach


Zu deiner Frage:
Ja, es gibt sehr viele, die diese Technik ausnutzen.