Falschen Prozesspfad vorgaukeln

Der hier angebotene Testdownload soll unter WindowsNT, Windows2000, Windows2003, WindowsXP und Vista den unter anderem über die API GetModuleFileNameEx ermittelbaren Pfadnamen des Prozesserzeugers (also des ausgeführten Programmes) ändern und egal wo sich dieses kleine Programm auf der Festplatte befindet immer svchost.exe aus dem Windows-Systemverzeichnis als Prozesserzeuger zurückgeben. In der neueren Version wird nun auch die Rückgabe der Kommandozeile nach dem Start des Programmes geändert.
Im Prinzip bedeutet das, dass das laufende Proggie Windows vorspielt, sich in einem ganz anderen Ordner zu befinden, als es sich in Wirklichkeit aufhält.
Das Programm ist kein Virus und erzeugt keinerlei Registryeinträge. Die Änderung erfolgt durch direkte Speicherzugriffe und Zugriffe auf undokumentierte Native-API Funktionen unter NT-basierenden Windowssystemen.
Testen lässt sich dies mit jedem "Taskmanagertool", das zu einem Prozess (also einem momentan ausgeführten Programm) auch den dazugehörigen Pfad liefert.
Interessieren würde mich bei diesem Testprogramm, welche Anwendungen noch den richtigen Pfad anzeigen und ob jemand eine Möglichkeit kennt, im Usermode trotzdem noch den richtigen Pfad zu ermitteln.

Impressum