4. Code Injection erkennen

Code Injection erkennen

  • ?

    & /dev/null schrieb:

    Ich denke du hast auch nicht so viel Ahnung!

    🙄 trollig

    0
  • ?

    manche verkraften die warheit nicht... aber was solls

    0
  • ?

    zumindest im usermode sollte code injection durch wpm etc erkennbar sein.

    aber ansonsten ist natürlich klar dass es ein stetiges hin und her ist, wenn es darum geht malware/gamehacks zu erkennen.

    Code in fremden Anwendungen NACH DER INJEKTION zu erkennen (könnte ja sein, dass windows sich da was aufschreibt...)

    man sollte da schon alles berücksichtigen und nicht nur "nach der injektion".

    im endeffekt muss man sich wohl tief ins sys einnisten, am besten mittles kernel level programmen. dort geht der kampf dann wohl weiter.^^ aber aus sicht der user ebene hat man da keine chance.

    0
  • ?

    Du könntest Hash-Werte bilden auf die Dateien diese müssen aber vor dem Befall gebildet werden und dann um zu gugen ob Code injeziert wurde dann nochmal den Hashwert bilden und beide vergleichen.

    P.S Virenscanner erkennen nur 3-5% aller Viren die weltweit im Umlauf sind. Polymorphe Viren ändern nicht nur in bestimmten Intervallen ihren Code der verschlüsselt ist, sondern haben auch von Rechner zu Rechner unterschiedliche Signaturen der durch ein Alghorithmus erstellt wird da müssten die Virenscanner diesen alghorithmus kennen wenn dann noch die Signatur asymetrisch verschlüsselt ist dann bye bye. Zudem könnte die Signaturerstellung auch von extern kommen der nur die Signatur liefert und intern nur geprüft wird ob die signatur stimmt.

    0
  • ?

    Außerdem das was du beschreibst ist keine Code Injection. Code Injection ist wie bei einer SQL Injection. Der Angreifer schmuggelt Code ein der dann ausgeführt wird. Das was du beschreibst ist eine Virusinfektion Schadcode wird in die exe bzw den Prozess eingefügt von anderen Viren.

    0
  • ?

    AmonAmarth schrieb:

    Außerdem das was du beschreibst ist keine Code Injection. Code Injection ist wie bei einer SQL Injection. Der Angreifer schmuggelt Code ein der dann ausgeführt wird. Das was du beschreibst ist eine Virusinfektion Schadcode wird in die exe bzw den Prozess eingefügt von anderen Viren.

    😃 blabla - aber keine Ahnung wie sowoas wirklich abläuft.

    0
  • ?

    Immer diese dämlichen User die keine Antwort liefern keine Ahnung haben was man sagt aber trotzdem ihren Senf dazugeben wollen.

    Code Injection indem Fall genauer SQL Injection :
    Man hat eine Seite mit Username und Passwort als Eingabefelder daraus wird die Abfrage generiert. Der Angreifer schmuggelt was rein.

    In der Sql-Abfrage steht dann :
    SELECT * FROM tblAdmin WHERE user = [username] AND password = [Passwort];

    Normaler User :
    Username = willi
    password = 123456

    Dann steht da :
    SELECT * FROM tblAdmin WHERE user = "willi" AND password = "123456";

    Angreifer :
    Username = bla
    password = \" OR 1=1 #

    Dann steht da :
    SELECT * FROM tblAdmin WHERE user = "bla" AND password = "" OR 1=1#;

    # steht für Kommentar

    während eine Virusinfektion mit Schadcode so aussieht

    Assemblercode vor der infektion :

    LDAA #56
    LDAB 1894,D
    MUL
    ADDA 89
    STAD 4000
    BRA SP,1

    Assemblercode nach der infektion :

    ;Schadcode anfang
    ....
    TFR A,B
    ....
    ;Schadcode ende
    LDAA #56
    LDAB 1894,D
    MUL
    ADDA 89
    STAD 4000
    BRA SP,1

    natürlich steht da kein assemblercode sondern maschinencode nur zu Beispielzwecken

    0
  • -

    AmonAmarth schrieb:

    Immer diese dämlichen User die keine Antwort liefern keine Ahnung haben was man sagt aber trotzdem ihren Senf dazugeben wollen.

    Code Injection indem Fall genauer SQL Injection :
    Man hat eine Seite mit Username und Passwort als Eingabefelder daraus wird die Abfrage generiert. Der Angreifer schmuggelt was rein.

    In der Sql-Abfrage steht dann :
    SELECT * FROM tblAdmin WHERE user = [username] AND password = [Passwort];

    Normaler User :
    Username = willi
    password = 123456

    Dann steht da :
    SELECT * FROM tblAdmin WHERE user = "willi" AND password = "123456";

    Angreifer :
    Username = bla
    password = \" OR 1=1 #

    Dann steht da :
    SELECT * FROM tblAdmin WHERE user = "bla" AND password = "" OR 1=1#;

    # steht für Kommentar

    während eine Virusinfektion mit Schadcode so aussieht

    Assemblercode vor der infektion :

    LDAA #56
    LDAB 1894,D
    MUL
    ADDA 89
    STAD 4000
    BRA SP,1

    Assemblercode nach der infektion :

    ;Schadcode anfang
    ....
    TFR A,B
    ....
    ;Schadcode ende
    LDAA #56
    LDAB 1894,D
    MUL
    ADDA 89
    STAD 4000
    BRA SP,1

    natürlich steht da kein assemblercode sondern maschinencode nur zu Beispielzwecken

    Und jetzt soll man beeindruckt sein oder was? Dies zeigt überhaupt nichts...

    0
  • ?

    @lowbyte nein das war auf den Post darüber bezogen es tut mir leid das du es trotzdem nicht verstehst.

    0
  • -

    AmonAmarth schrieb:

    @lowbyte nein das war auf den Post darüber bezogen es tut mir leid das du es trotzdem nicht verstehst.

    Du bist mir ja einer...

    0
Anmelden zum Antworten