4. Trojaner im Arbeitsspeicher erkennen

Trojaner im Arbeitsspeicher erkennen

  • M

    -Infected- schrieb:

    Klar gibt es etliche Rootkits, aber ich bin kein Experte, und wenn ein Rootkit gestartet wurde, gibt es (solange der Schreiber ordentlich war) _KEINEN_ Weg ein Rootkit mehr zu erkennen

    Das ist fast schon eine philosophische Frage. Ich würde sagen, es ist praktisch unmöglich, ein perfektes Rootkit zu schreiben, das man garantiert nicht entdecken kann, selbst wenn man weiß, wie das funktioniert. Das ist ein Wettrennen und im Zweifelsfall kann man zum Suchen spezielle Hardware verwenden, und zum Verstecken nicht 😉
    Ich finde grad keine Analyse des Zeus Trojaners, aber wenn ich mich recht erinnere, enthält er auch Stealth Funktionen. Wenn du den Prozess nicht siehst, wie willst du da mit ReadProcessMemory rankommen?

    0
  • M

    definition schrieb:

    -Infected- schrieb:

    Die meisten Rootkits sind einfach nicht ordentlich, und verstecken ihre Datei nicht

    Dann sind es keine Rootkits!

    Laut Wikipedia:

    Ein Rootkit (englisch etwa: „Administratorenbausatz“; root ist bei unixähnlichen Betriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird, um zukünftige Anmeldevorgänge („logins“) des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.

    Über den Wortlaut kann man sich natürlich streiten, aber die Definition von "Rootkit" beinhaltet sicherlich nicht, dass es UNMÖGLICH ist, ihn zu entdecken.

    0
  • -

    Mechanics schrieb:

    definition schrieb:

    -Infected- schrieb:

    Die meisten Rootkits sind einfach nicht ordentlich, und verstecken ihre Datei nicht

    Dann sind es keine Rootkits!

    Laut Wikipedia:

    Ein Rootkit (englisch etwa: „Administratorenbausatz“; root ist bei unixähnlichen Betriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird, um zukünftige Anmeldevorgänge („logins“) des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.

    Über den Wortlaut kann man sich natürlich streiten, aber die Definition von "Rootkit" beinhaltet sicherlich nicht, dass es UNMÖGLICH ist, ihn zu entdecken.

    Ja.

    Mechanics schrieb:

    Sorry, aber warum schreibst du ein "Sicherheitstool", wenn du keine Ahnung hast? Rootkits haben hunderte Möglichkeiten, sich zu verstecken. In der Hinsicht ist schon sehr viel erforscht worden, schau dir z.B. die Voträge der letzten Jahre bei Blackhat oder anderen Konferenzen an.

    👍

    @-Infected-

    Ich würde einfach deine ReadProcessMemory Funktion hooken! Was machst Du nun?
    Nein nein mein lieber so einfach ist das nicht, da musst du schon tiefer gehen!

    Ich denke Du verstehst schon ein bisschen was ein Rootkit ist, aber wieviele Methoden es gibt und noch gefunden werden, ganz ausgenommen wei man so etwas realisiert weist Du nicht. Denn du kratzt hier nur auf der Oberfläche herum!

    Beschäftige Dich ausgiebig mit der Materie! Bis dahin werden Jahre vergehen. 😉

    0
  • ?

    Hallo,

    ich versuch doch nichtmal Rootkits erkennen 😉 Sondern nur bestimmte nicht versteckte Trojaner. Und würde gerne wissen, wo im Speicher eines Prozesses charakterisierende Bytes sind.
    PS: Zeus versteckt sich _NICHT_ ;).

    mfg -Infected-

    0
  • M

    -Infected- schrieb:

    Und würde gerne wissen, wo im Speicher eines Prozesses charakterisierende Bytes sind.

    Die Frage ist doch genauso Quatsch 😉 Meinst du, bei jedem Trojaner steht an einer bestimmten Position im Speicher "TROJAN HORSE"? Du musst für jeden einzelnen Trojaner in jeder einzelnen Version und Ausprägung passende Signaturen erstellen. Also das, was die Antivirenhersteller machen. Nur haben sie wesentlich mehr Erfahrung und Manpower.

    0

  • ...

    0
  • ?

    Zeus is very difficult to detect

    heißt für mich nicht, dass er sich mit Rootkit-Funktionen versteckt... Da ich den Quellcode vorliegen habe, und keinerlei Hooks außer denen für Internet Explorer und Firefox gefunden. Auch habe ich keine Codeinjection gefunden, und keine Treiberdateien. Und auch bei kompiliertem Quellcode und gebuildetem Trojaner sind keinerlei Versteckspielchen zu finden.

    Mein Programm soll auch nicht dauerhaft laufen, sondern wie z.B. der DarkCometRemover nur eine bereits installierte Version entfernen

    mfg -Infected-

    0
  • -

    -Infected- schrieb:

    Zeus is very difficult to detect

    heißt für mich nicht, dass er sich mit Rootkit-Funktionen versteckt... Da ich den Quellcode vorliegen habe, und keinerlei Hooks außer denen für Internet Explorer und Firefox gefunden. Auch habe ich keine Codeinjection gefunden, und keine Treiberdateien. Und auch bei kompiliertem Quellcode und gebuildetem Trojaner sind keinerlei Versteckspielchen zu finden.

    Mein Programm soll auch nicht dauerhaft laufen, sondern wie z.B. der DarkCometRemover nur eine bereits installierte Version entfernen

    mfg -Infected-

    Und wo ist jetzt das Problem? Wenn er sich nicht versteckt hast Du ja einfaches Spiel! Ein paar Gleichungen und fertig.

    0
  • B

    @-Infected-:
    http://www.heise.de/security/artikel/Tatort-Internet-Eine-Reise-ins-RAM-1337160.html

    0
  • P

    Hallo 🙂

    Wenn Du die Wurzelschädlinge schon in der VM hast
    ist es bis zum DDK ja auch kein grosser Schritt mehr.

    Viel Spass 🙂

    0
Anmelden zum Antworten