Zombie: Prozesshandle Test
Bei meinen Test zum RootKit Scanner ProcHunter bin ich einmal auf das Phänomen gestoßen,
dass ProcHunter bei zwei Scanmethoden auf manchen Rechnern unter XP extrem viele RootKits anzeigte, obwohl dort definitiv
keine vorhanden waren. Ich kam dann zu der Vermutung, dass es sich bei den dort gefundenen Fragmenten von Prozessen
um Prozess- und Threadobjekte handeln könnte, die nicht komplett aus dem Speicher gelöscht worden sind und damit Speicher verpulvern. Um dem nachzugehen,
habe ich Zombie geschrieben. Als Ursache des Phänomens stellte sich später ein fehlerhaft programmierter Treiber
des Virenscanners AntiVir heraus - der Bug wurde in Version 8 gefixt.
Was tut Zombie?
Zombie sucht auf recht einfache Art und Weise nach übriggebliebenen PIDs, denen kein laufender
Prozess mehr zugeordnet ist und die deshalb nicht im Taskmanager sichtbar sind.
Im Gegensatz zu den wirklich laufenden Prozessen zeigt Zombie
diese Fragmente nicht mit grünen, sondern mit blauen Dreiecken an. Die Infos zu den gefundenen Objekten werden im rechten Edit
gelistet und können mittels Rechtsklick in die Zwischenablage kopiert werden. Wenn der Verursacher kein Treiber ist, kann man in der
Regel sogar den Verursacher über das Programm auch ausfindig machen (Händleeigentümer).
Kommentare und Testberichte können hier durch einen Klick auf Kommentare abgegeben werden.
Impressum