| |
| |||||||
Diskussionsforum: Kleines "Proof of Concept"-Rootkit (Usermode) für AMD64Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
26.03.2014, 01:18
| #2 |
 |  Kleines "Proof of Concept"-Rootkit (Usermode) für AMD64 Micro-Update:
__________________- Prozesse mit Präfix "R00tk!t" werden versteckt - Die DLL taucht nicht mehr mit korrektem Namen unter "unloaded modules" im WinDbg auf. Nun sind meiner Meinung nach keine Rückschlüsse mehr auf den "Urheber" möglich, da sich zu diesem Zeitpunkt im Speicher ja eigentlich ohnehin schon lange nichts mehr befindet, und "unloaded modules" sozusagen der letzte Beweis dafür war, das etwas nicht stimmt. Diverse String-Suchen mit Process Hacker nach Original- und Fakename lieferten keine brauchbaren Resultate. Um das Rootkit jetzt noch zu entdecken, kann man Process Monitor verwenden, dessen LoadImage-Notify-Routinen ziemlich schnell zeigen, wie das Rootkit tatsächlich heisst. Damit der Fake funktioniert, muss die DLL exakt "~FontCache.dat" heissen - AppInit_Dlls ignoriert die Endung und lädt die DLL trotzdem. Da hier mit einigen undokumentierten Strukturen und ohne Checks gearbeitet wird, sollte das Rootkit nur auf Windows 8.1 ausprobiert werden. Nun werde ich damit beginnen, 32-Bit-"Support" zu implementieren. Grüsse - Microwave P.S. hatte ein Beitrags-EDIT versucht, aber das gab es nicht (oder ich war zu dämlich, es zu finden) |
| Themen zu Kleines "Proof of Concept"-Rootkit (Usermode) für AMD64 |
| .dll, amd, bestimmte, c:\windows, dateien, diverse, dll, erkennung, erstellt, folge, hacker, hängt, löschen, malware, neustart, prozesse, regedit, rootkits, scan, schnell, suche, treiber, umgeleitet, version, versteckte |
Baum-Darstellung