Selbstschutz mit AutoIT

    Hallo Community,

    ich habe nun viel gelesen, nichts gefunden und möchte trotzdem einen Versuch starten:

    Ich arbeite bei einem IT Sicherheitsunternehmen im Bereich Support und Consulting. Hauptsächlich supporte ich Produkte der KasperskyLab Business Security Suite, für welche ich Zusatztools entwickle um den tagtäglichen Umgang mit den Produkten für meine Kunden ein Stück zu optimieren.

    Dazu habe ich ein "Scantool" entwickelt, zugegeben, die Idee stammte nicht von mir. :)

    Jenes Scantool startet mit jedem Start des Betriebssystems und kommt 15 Minuten nach Start mit einer GUI hervor.

    Darüber kann der Benutzer bequem wählen, wann er einen Fullscan machen möchte ( Zusätzlich sind Dinge wie ein Zwangsscan ( wenn zu lange nicht gescannt wurde ) etc eingebaut.

    Der Sinn dahinter ist, dem Benutzer die Wahl eines Scanzeitpunktes so flexibel wie möglich zu gestalten und ungewünschte Performanceverluste während der Arbeitszeit weitestgehend zu verhindern.

    Nun zur Frage:

    Zwar habe ich die GUI mit all ihren Buttons so gebaut, dass sie nicht beendet werden kann. Allerdings ist mein Skript über einen Task Manager recht einfach zu beenden. Also dachte ich daran, einen Watchdog Prozess zu bauen und beide Skripte aufeinander aufpassen zu lassen. Da liegt aber das Problem, dass wenn Skript A Skript B startet, Skript B natürlich ein Subprozess von Skript A ist. Mit Process Explorer oder ein wenig Affinität zur IT also recht einfach zu beenden.

    Besser wäre es, wenn Skript A mit dem Start von Skript B einen eigenen Prozess startet, welcher eben nichts mit Skript A zu tun hat. So könnte einer der Prozesse weniger "Auffällig" benannt werden, um den Nutzer nicht auf sich aufmerksam zu machen. Ist so etwas möglich?

    Alternativ dachte ich daran, einen Kennwortschutz auf das Beenden des Prozesses zu setzen. Allerdings muss ich gestehen, dass meine Programmierkenntnisse so weit nicht reichen, denn ich sehe ein Problem darin, meinen Prozess bzw. das Ereignis "Kill Process" abzufragen im Verbund mit der PID für mein Skript.

    Da ich in vielen Foren zu solchen Fragen wie ich Sie nun stelle viele kritische Kommentare in Richtung "Willst du Malware programmieren?" gelesen habe, möchte ich klarstellen, dass mein Vorhaben keinen schadhaften Zweck hat! Ich möchte somit dem Kunden einfach nur eine "Garantie" geben können, dass regelmäßige Scans auf seinen Endpoints stattfinden und die Benutzer nicht einfach mir nichts dir nichts das Tool beenden können.

    Daher fallen für mich Dinge wie "Prozess verstecken" oder sonstige malwareähnliche Lösungsanätze definitiv raus! ( Okay, zugegeben, mit einem Watchdogprozess wäre ich ja schon nahe an letzterem dran... )

    Ich bin auf euer Feedback gespannt und sage im Voraus: Vielen Dank!

    Viele Grüße aus Trier!

    landy

    Ja es ist Möglich dein Code in einen anderen Prozess oder .dll zu "injizieren" (inject).

    Das benötigt aber ein bisschen Hintergrundwissen.
    Daher rate ich dir, wenn du es wirklich vorhast (was das rechtliche angeht kann ich dir nichts dazu sagen), aufgrund meiner genannten Wörter dich ein wenig ein zu lesen.

    Hallo Kaesereibe,

    danke dir für deine Antwort!

    Werds mir mal anlesen, mal schauen ob ich da weiterkomme.

    Rechtlich denke ich aber ist das Ganze nicht wirklich fragwürdig, ich möchte ja keinen vorhandenen Prozess bzw. eine andere Software manipulieren, sondern würde einen eigenen Prozess dazu nutzen.

    Der Gedanke war wie gesagt, statt 1 Prozess mit Subprozess, 2 Prozesse zu haben die zwar aufeinander achten, allerdings miteinander nichts zu tun haben. So könnte ich einen Prozess ein wenig "tarnen", um den Nutzer nicht aufmerksam zu machen das er diesen prozess killen muss.

    Viele Grüße!

    landy

    Du kannst das Ganze aber auch als "Dienst" oder "Aufgabenplanung" laufen lassen und somit es immer wieder starten wenn nicht vorhanden.

    Btw. wenn du bei "Usern" eine Antiviren-Software installiert hast und die über einen Server verwaltest, haben diese "User" nicht die Möglichkeit dieses Antivieren-Programm zu schließen oder den Scan-Task abzubrechen.
    Und dass das bei Kaspersky zu 100% so ist weiß ich, da wir es selbst mal im Einsatz hatten.

    Und inwiefern solch ein Support (in diesem Forum) hier gegen die Foren-Regeln verstößt, kann ich dir nicht sagen..

    2 Mal editiert, zuletzt von kaesereibe (16. Oktober 2015 um 16:16)

    Mich wundert es stark das Kapersky keine eigenen Planerroutinen hat. Wenn dies wirklich so ist solltest du dich besser mit dem Support von Kapersky auseinandersetzen anstatt eine vermeintlich sichere Lösung selbst zu stricken.

    Hi!
    Die Frage ist, wieso Kunden eines Sicherheitsunternehmens über den Taskmanager einen (DEN !! ) sicherheitsrelevanten Prozess beenden wollen....

    Zitat von landy

    Ich möchte somit dem Kunden einfach nur eine "Garantie" geben können, dass regelmäßige Scans auf seinen Endpoints stattfinden und die Benutzer nicht einfach mir nichts dir nichts das Tool beenden können.

    Du willst "Garantien" geben?! Na dann viel Spaß! Bei Kunden die sich weigern, Sicherheitsrelevante Prozesse durchzuführen, würde ich die Notbremse ziehen und meine Preise fürs Consulting vervielfachen! Denn das ist der einzige Zugriff, den du wirklich selbst beeinflussen kannst! Das "Problem" erledigt sich dann meist sehr schnell von selbst!
    "Garantien" kannst du nur geben, wenn du Prozesse beeinflussen kannst.
    Deine gestiegenen exorbitanten Preise begründest du vor der Geschäftsleitung des Kunden damit, dass du deine eigene Firma im Falle des Sicherheitstechnischen Supergaus beim Kunden absichern musst...

    Sehr geehrte Geschäftsleitung,
    wie bereits mehrfach in Ihrem Hause angesprochen werden von uns erstellte sicherheitsrelevante Programme von Ihren Mitarbeitern nicht genutzt bzw. unterbrochen und in Einzelfällen deren weitere Ausführung unterbunden.
    Um uns für die im Falle einer aus diesen Gründen erfolgten Schadcode-Infektion in Ihrem Hause nicht unsere im Branchenumfeld sehr gute Reputation für IT-Sicherheit zerstören zu lassen, müssen wir im Wiederholungsfall des Abschaltens unserer Sicherheitssoftware durch Ihre Mitarbeiter Konseqenzen ziehen und uns dahingehend versichern.
    Die dafür entstehenden Kosten iHv. 3.276.000,- Euro netto p.A. werden dann an Sie weiterberechnet.
    Wir möchten nochmals betonen, daß wir auch in Zukunft alles dafür tun werden, um die IT-Sicherheit in Ihrem Unternehmen weiter zu gewährleisten! Dies setzt das Bewußtsein ihrer Mitarbeiter voraus, dass nur eine funktionierende Analyse und Vorbeugung durch unsere Software die IT-Sicherheit in Ihrem Unternehmen sicherstellt.
    Mit freundlichen Grüßen
    blablub

    Das beste, was dir passieren kann, ist die Kündigung dieser Geschäftsbeziehung seitens des Kundens! Wenn bisher niemand in diesem Unternehmen sich dafür zuständig sieht, das offensichtlich firmenschädigende Verhalten einiger Mitarbeiter zu beenden, dann wird das auch in Zukunft nicht geschehen!
    Solche "Kunden" braucht kein Mensch...

    Hallo!

    Zunächst danke an alle eure Antworten!!!

    autoBert: Doch, es gibt natürlich durchaus Planungsmechanismen, eigentlich zu genüge. Allerdings sind die vorgegebenen mechanismen bezogen auf manche Kundennetzwerke zu statisch - nicht flexibel genug. Leider ist es so, dass manche Kunden sonderwünsche haben. Zum zweiten ist ein solches Tool durchaus ein weiteres Verkaufsargument wenn es bspw. um eine Wechsel meinetwegen von Trendmicro zu Kaspersky geht. Allgemein gab es eine vielzahl von Argumenten weshalb wir ein solches Tool entwickelt haben, die Verkaufszahlen bestätigen uns darin.

    Das Problem ist auch hier nicht mit dem Support zu lösen, ich habe ein sehr gutes Verhältnis zum Partner Support. Nur werden solche Feature Requests erst dann bearbeitet, wenn die Anfragen von einer gewissen ANZAHL Kunden kommt und auch dann nur, wenn die ANZAHL der LIZENZEN entsprechend ist... leider scheinen diese Verhältnisse noch nicht entsprechend zu sein, zumal es doch so ist, dass lieber neue Features eingepflegt werden um Konkurrenzfähig zu bleiben, anstatt bereits vorhandene Features sinnvoll zu überarbeiten. Leider...

    Andy: Daher habe ich ja das Wort Garantie in "" gesetzt ;)

    Eine Garantie kann man nie geben, wir reden über Technik - es gibt nichts 100%iges! So verhält es sich auch bei einer Endpoint Security... allerdings will ich mein Bestes dafür tun, das mein Tool eben nicht einfach abgeschossen werden kann.

    Was manche Kunden angeht gebe ich dir zum Teil Recht, ja. Das Problem sind nur in den Meisten Fällen - 99,9% - nicht die IT Leiter selbst, sondern die Nutzer im Verbund mit dem Management. Du, wenn's Management dem IT Leiter sagt er sol das und das machen, dann kann der IT Leiter entweder kündigen und woanders hin gehen, oder er setzt es eben um! Ist eben so. Und letzten Endes sind auch solche Kunden viel Wert, denn da kann über Dienstleistung wie du schon schreibst, viel gemacht werden.

    Zumal das wonach ich hier Frage, nicht mal eine Anregung eines Kunden ist, sondern eine Anforderung und Herausforderung die ich mir selbst auferlegt habe!

    kaesereibe: Diese Möglichkeit haben die Nutzer, kannst Gruppenaufgaben bspw. entsprechend zur Verwaltung freigeben. Wenn du mich fragst reicht das auch. Aber........ ;)

    Müsste mir aber beide Vorschläge von dir ebenfalls mal anschauen. Hatte mal mit Diensten rumgespielt, habs aber iwie nie richtig hingekriegt und es dann aus zeitlichen Gründen ganz gelassen. Über diesen Weg habe ich aber bspw. herausgefunden, dass ich die UAC mit einer GPO wunderbar übergehen kann - ist doch auch was :D

    Nochmals vielen Dank für eure Antworten!!

    Grüße aus Trier,

    landy

    Auch wenn deine Aussage glaubhaft erscheinen mag... Das Folgende sollte in einem normalen Programm niemals eingesetzt werden!

    Mit der undokumentierten Kernel-Funktion NtSetInformationProcess kannst du einen "fremden" Prozess zu einem Windows-Systemprozess machen. Bei Windows 7 und älter stürzt bei einem Beenden das System mit einem Bluescreen ab, bei moderneren Windows-Systemen warnt der Taskmanager einen davor und fährt den Rechner lieber runter, als den Prozess zu beenden. Damit ist es nahezu unmöglich, den Prozess zu beenden - bis du den Schutz aufhebst. Allerdings hat das in einer normalen Software - wie schon gesagt - nichts verloren. Auch du solltest dir noch einmal Gedanken machen, ob das wirklich notwendig ist.

    Ich persönlich nutze das Ganze, um eine Überwachungs-Software in unserer Schule vor dem Beenden zu schützen. Sonst kann der zuständige Lehrer ja nicht mehr eingreifen, sollte es nötig werden.

    Allerdings kann eine fertige und öffentliche AutoIt-Umsetzung sehr einfach missbraucht werden. Um das zu verhindern, würde ich dir die Umsetzung überlassen. Ansonsten kannst du dich auch per PN bei mir melden. Aber ich würde das ungern für alle lesbar veröffentlichen. Wer etwas "Gutes" damit bezwecken will, hat meistens genügend How-Know, um das selber umzusetzen.

    Zitat von landy

    Zum zweiten ist ein solches Tool durchaus ein weiteres Verkaufsargument wenn es bspw. um eine Wechsel meinetwegen von Trendmicro zu Kaspersky geht. Allgemein gab es eine vielzahl von Argumenten weshalb wir ein solches Tool entwickelt haben, die Verkaufszahlen bestätigen uns darin.

    Nimm mir das nun nicht übel, aber Trendmicro verfügt von Haus aus über genau solch eine Funktion. :P
    Bei unserer Trendmicro Lösung erscheint beim geplanten Zwangsscan ein Popup, welches dem Nutzer die Möglichkeit bietet den Scanstart um bis zu 12 Stunden zu verschieben. ;)

    Zu deinem Anliegen selbst...

    Ich sehe da eigentlich garkein Problem das Watchdog Script als unabhängigen Prozess zu starten. Bei der Installation deiner Software richtest du einfach zwei Aufgaben in der Aufgabenplanung ein, welche das Überwachungsscript und das eigentliche Script bei jeder Windows Anmeldung im jeweiligen Benutzerkontext starten (evtl. auch interaktiv mit erhöhten Rechten). So laufen beide Scripte unabhängig voneinander. Die Tasks können als weiteren Trigger auch auf eine EreignisID reagieren die das jeweils andere Script erzeugt wenn es das Beenden des anderen Prozesses bemerkt. So werden die Scriptneustarts durch Windows selbst und nicht durch deine Scripte durchgeführt. Eine direkte Verbindung gibt es also nicht.

    Ein wirklicher Schutz ist das aber natürlich nicht. Verbessern kannst du den Schutz evtl. wenn sich beide Prozesse gegenseitig überwachen und neustarten. Das würde zumindestens ein manuelles Beenden per Taskmanager verhindern, da man als Anwender nicht schnell genug beide Prozesse beenden kann. Aber ein script gestütztes Taskkill in einer Endlosschleife wäre wohl in der Lage beide Prozesse nahezu zeitgleich und schnell genug zu beenden. Avira hat (oder hatte?) da eine schöne Sicherheitslücke bei der Registry Überwachung. War man schnell genug und penetrant genug die Schlüssel zu verändern kam der Schutz nicht mehr hinterher und man hatte nicht nur den Schlüssel gesetzt, sondern auch noch Avira die Rechte zum lesen und schreiben des Schlüssels entzogen. :D

    Nun eine Bluescreen Lösung halte ich jedenfalls für nicht praktikabel. Das mag in einer Schule eine Lösung sein, aber nicht in einem ernsthaften Unternehmen.

    Wo wir bei Unternehmen sind... normalerweise haben Benutzer dort keine adminstrativen Rechte. Sie können also Prozesse anderer Benutzer weder im Taskmanager sehen noch beenden. Eine Lösung wäre also evtl. auch dein Überwachungsscript in einem anderen/administrativen Benutzerkontext laufen zu lassen.

    Ebenfalls sehr einfach machbar ist es den Zugriff auf den Taskmanager zu unterbinden (Gruppenrichtlinie oder Registryschlüssel). Aber auch das bietet keinen Schutz vor anderen Taskkill Aufrufen.

    Einmal editiert, zuletzt von misterspeed (16. Oktober 2015 um 23:20)

    Da IT-Sicherheit ein Stützpfeiler unseres IT-Unternehmens ist hier mal ein paar grundlegende Fragen die alle durchaus ernst gemeint sind:

    1. Warum verwendet ein Sicherheitsunternehmen überhaupt Kaspersky? Nahezu jedes bekanntere Unternehmen in diesem Bereich nutzt professionellere AV-Systeme die eben nicht bloß Heimanwenderversion + Kannst du Zentral verwalten ist. Denn mehr ist die Businessreihe von Kapersky nicht.

    2. Welches unterirdische System läuft den Dort dass das zu merklichen Leistungseinbußen führt? Intern sind Übertrsgungsraten von bis zu 1GB/s mittlerweile Business-Standard. Extern ist die langsamste Leitung bei unseren Kunden bei einem Download von 100MB/s. Entweder habt ihr also dort eine extrem schlechte Hardware vorliegen, verdrehte Adern in der hoffentlich strukturierten Verkabellung oder aber der Kaspersky ist schlecht was und zu Frage 1 zurückführt oder aber falsch konfiguriert was zu Frage 3 führt.

    3. Was für ein IT-Sicherheitsunternehmen wollt ihr bitte sein? Ihr - vielmehr Du - versuchst AutoIt-Scripts klare Malware-Funktionalitäten zu verpassen. Jedes halbwegs brauchbare Antivirenprogramm listet AutoIt grundsätzlich Schonmal als potentiellen Virus - nicht nur wenn per UPX gepackt - und gerade wenn solche Dinge anfangen wie Prozess verstecken … Klarer Fall von Malware für jeden brauchbaren AntiVirus.

    Für mich ist klar: Du hast weder Ahnung von IT-Sicherheit, noch Ahnung davon welche Auswirkungen deine Änderungen haben würden. Und schließlich - und das ist der Hauptgrund warum ich jedem Rate dieses Thema zu ignorieren: Ist Kaspersky Business so dermaßen weit hinter den Wettbewerbern dass dieses zum einen kein Idle-Scan, Shadowscan und schon gar keinen geplanten Scan kann? Das bezweifle ich doch stark. Ebenso wie die Tatsache das Kaspersky nicht aus ihrer Dummheit lernt und im Gegensatz zu allen anderen Business - Antivirenprogramme überhaupt die Möglichkeit für den Normaluser lässt einen Scan zu stoppen. Und mal ab davon: Es ist ein mehr als lächerlicher Witz einen AV zu betreiben, der aus der Businessreihe stammt und dann dem Endnutzer der nicht ohne Grund dafür zahlt dass die IT-Systeme sicherheitstechnische überwacht werden ein Tool in die Hand zu drücken mit den Worten dass das Programm ja zu Performance-Verlust führt. Das ist nicht nur extrem grob fahrlässig und somit ein Armutszeugnis eines IT-Sicherheitsunternehmens das vertraglich die VOLLE Haftung übernehmen muss sondern schlicht schlecht informiert und offensichtlich kein Stück erfahren im Bereich der IT-Sicherheit.

    Gerne kannst du die it-sa besuchen und dich dort gehörig zu den Themen informieren. Dort findest du jede Menge Experten die dir schon zu der Toolidee einfach nur mit einem Facepalm antworten - sofern sie nicht zwischen Lachen und Heulen pendeln. Für mich hast du dir die Story nur ausgedacht um die Forenregeln umgehen zu können - denn selbst nach nur einem einzigen Workshop in dem Bereich weißt du, dass schon der Grundgedanke absurd ist. Wenn es wahr sein sollte dann sitzt du bloß in der Telefonzentrale und hast mit der It-Sicherheit nix zu tun.

    Es gibt Tage, da trete ich nicht ins Fettnäpfchen. Ich falle in die Friteuse.

    Mal zu den Forenregeln... es wurde hier schon öffters diskutiert wie man seine Software mehr oder weniger erfolgreich vor Beenden schützen kann. Das alleine ist für mich keine Schadsoftware, sondern eine berechtigte Frage bzgl. Programmierung. Wenn jemand fragt wie er Dateien löschen kann kommt auch niemand mit Forenregeln an und das kann sehr viel mehr Schaden anrichten als eine Software die sich nicht so einfach beenden lässt.

    So eine Frickellösung als Ergänzung für eine komerzielle Antivirensoftware halte ich aber auch für absoluten Unfug. Wenn ich IT Consultant bin und meinem Kunden eine Software empfehle die nicht das kann was er gerne hätte, dann hab ich meinen Job falsch gemacht. Ihn dann auch noch von einem Autoit Tool zu überzeugen, das die Nachteile der russischen Sicherheitssoftware wieder ausbügeln soll ist ehrlich gesagt ein Witz. Als Consultants wäre es eure Aufgabe dem Kunden die Nach- und Vorteile der einzelnen Lösungen auf dem Markt zu erläutern und ihm letztlich bei der Entscheidungsfindung zu helfen. Ansonsten seid ihr bestenfalls Vertriebspartner von Kaspersky.

    Zunächst vielen Dank für die zahlreichen weiteren Antworten!

    misterspeed: naja, dafür kannst du Trend recht einfach runterhauen - trotz PW Schutz. Steuer mal die "ntrmv.exe" mit Parameter -331 an. Ist dazu noch silent. Und ciao :P

    Finde aber deinen Vorschlag bislang am Besten, ist eine super Idee! Vielen dank!!!

    chesstiger : Danke, aber ich denke so eine Funktion nutze ich nicht. Ich möchte wie gesagt nichts manipulieren o.Ä.

    Was du da bzgl. Nutzerrechten sagst ... ja, so ist es. Macht nur !leider! kein Schwein. Treffe in den seltensten Fällen Kunden an, die das Prinzip einer Berechtigungsstruktur verstanden haben... :-/ Glaube da sollte ich mal Bioshade als Consulter hinschicken...


    ... und wo ich gerade daran denke:

    Hallo Bioshade,

    zunächst auch dir, vielen Dank für deine Ausführung.

    Dazu ein paar Anmerkungen...

    1.) Wir sprechen hier durchaus über die Business Variante: Die Kaspersky Business Security, eingesetzt mit dem Kaspersky Security Center als zentrales Management zur Verwaltung der Kaspersky Endpoint Security 10 SP1.

    Die Kaspersky Business Security enthält eine FDE, Patchmanagement, Device Control, Application Startup Control + gängige sowie proaktive AV Komponenten. Wäre mir neu, dass dies in Heimanwenderprodukten der Fall ist.

    Dazu aber noch eine Frage: Kennst du Kaspersky überhaupt aus dem Business Segment? Denn seltsamerweise, ist gerade Kaspersky in exakt diesem Segment aufgrund seiner Erkennungs-/Fehlerkennungsrate im Vormarsch und aktuell nicht schlagbar. Dazu mach dich doch auch mal schlau bezüglich des Kernels, den Trendmicro und co nutzen. Weisst du welcher das ist und wie es um seine Schwachstellen bestellt ist?

    2. ) Auch diese Frage bringt mich zum Schmuntzeln, denn du hast offensichtlich den Sinn des Ganzen nicht mal verstanden: Wir reden nicht über Up-/Downstream, sondern wir sprechen über I/O's! Wenn ein Scan auf Anforderung läuft, ist es defakto so, dass die HDD ein Flaschenhals darstellt - egal was für eine CPU oder wieviel RAM. Das man da auf SSD's wechseln kann ist mir klar, allerdings müsstest du das zunächst Mitarbeitern des jeweiligen Managements erklären - die Entscheiden über Budget, sonst keiner.

    3.) Bislang hat kein "brauchbarer" Anti Virus, auch nur ein einziges Skript unsererseits entdeckt, denn wir haben ein solches Scantool bereits auf dem Markt - mit anderer Funktionsweise bzw. Funktionsprinzip. Dieses wird weder von Kaspersky, noch von Trend, Symandreck und wie sie alle heissen als Malware erkannt.

    Und wie ich bereits mehrfach betont habe, möchte ich KEINE Malware schreiben und verzichte auf Funktionen, die mir zu "hart" sind. Also wäre es nett von dir, wenn du nächstes Mal erst einmal liest, dann denkst ( ganz wichtig! ) - und DANN schreibst!

    Was für mich klar ist:

    Was du denkst, wer wieviel Ahnung von IT-Sicherheit hat, interessiert mich in etwa so, wie wenn in China jemand auf einem Sack Reis sitzt, einen Schmetterling so feste gegen eine Felswand donnert, dass im tiefsten Kongo ein Kapuzineräffchen das Popeln unterbricht. -> 0

    Und GERNE können wir uns auf der nächsten IT-SA treffen ( 18.-20. Oktober 2016 ), auf der vergangenen war ich wie die Jahre davor auch. Was seltsam ist: KasperskyLab selbst war auch da! Wir als Partner dort auch. Aber, ich dachte die haben im Business Segment nichts zu suchen? Warum hat das denn niemand den Veranstaltern gesagt? :(

    Und nochwas: Ohja... hast mich enttarnt. Ich habe nichts besseres zu tun, als mir ne Story auszudenken und eine Lösung zu bekommen. In Wahrheit bin ich ein Malware programmierer - kann zwar Schadcode produzieren, aber ein solches problem kann ich nicht lösen...

    Merkst du was?

    Und wieder bin ich pro IQ Test zur Internetnutzung...

    Grüße aus Trier,

    landy

    Zitat von landy

    Besser wäre es, wenn Skript A mit dem Start von Skript B einen eigenen Prozess startet, welcher eben nichts mit Skript A zu tun hat. So könnte einer der Prozesse weniger "Auffällig" benannt werden, um den Nutzer nicht auf sich aufmerksam zu machen. Ist so etwas möglich?

    Ja möglich.
    Wirst allerdings bisschen brauchen um dich durch die entsprechenden API-Funktionen zu fitzen.
    Hier der Ansatz: Klickmich