Zombie: Prozesshandle Test

Bei meinen Test zum RootKit Scanner ProcHunter bin ich einmal auf das Phänomen gestoßen, dass ProcHunter bei zwei Scanmethoden auf manchen Rechnern unter XP extrem viele RootKits anzeigte, obwohl dort definitiv keine vorhanden waren. Ich kam dann zu der Vermutung, dass es sich bei den dort gefundenen Fragmenten von Prozessen um Prozess- und Threadobjekte handeln könnte, die nicht komplett aus dem Speicher gelöscht worden sind und damit Speicher verpulvern. Um dem nachzugehen, habe ich Zombie geschrieben. Als Ursache des Phänomens stellte sich später ein fehlerhaft programmierter Treiber des Virenscanners AntiVir heraus - der Bug wurde in Version 8 gefixt.

Was tut Zombie?
Zombie sucht auf recht einfache Art und Weise nach übriggebliebenen PIDs, denen kein laufender Prozess mehr zugeordnet ist und die deshalb nicht im Taskmanager sichtbar sind. Im Gegensatz zu den wirklich laufenden Prozessen zeigt Zombie diese Fragmente nicht mit grünen, sondern mit blauen Dreiecken an. Die Infos zu den gefundenen Objekten werden im rechten Edit gelistet und können mittels Rechtsklick in die Zwischenablage kopiert werden. Wenn der Verursacher kein Treiber ist, kann man in der Regel sogar den Verursacher über das Programm auch ausfindig machen (Händleeigentümer).



Kommentare und Testberichte können hier durch einen Klick auf Kommentare abgegeben werden.

Impressum