| |
| |||||||
Diskussionsforum: Mini-Rootkit: Unsichtbarer KerneltreiberWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
04.08.2014, 12:46
| #1 |
 |  Mini-Rootkit: Unsichtbarer Kerneltreiber Hi Antitrojaner, Ich habe es endlich mal wieder geschafft, ein neues Spielzeug unter x64 zusammen zu basteln, nämlich einen unsichtbaren Treiber. Nach Laden des Treibers entlädt sich dieser wieder, (nicht ohne die Liste mit den "unloaded drivers" vorgängig zu manipulieren), der Code werkelt jedoch munter weiter im Hintergrund, bis der PC heruntergefahren ist. Auch ziemlich ausgeklügelte Anti-Rootkits können nicht aufdecken, dass etwas läuft, was genau das ist und vorallem, wer dafür verantwortlich ist. Da ich mit Datei- und Speicheroperationen, insbesondere NtCreateSection usw. noch nicht fit genug bin, wird die Treiberdatei derzeit noch nicht versteckt - das kommt dann in der Version 2.0. Wird diese gelöscht, ist das Rootkit verschwunden. Eine Steigerung wäre einzig noch die Verwendung von feinstem Direct-IO...vielleicht in V3.0 dann. Da das Kernelmodul auch im abgesicherten Modus gestartet wird, bleiben zur Enthüllung - (Starteinträge) nur eine Offline-Analyse oder ein exakt passendes Vorgehen, was das Prozesse-Abschiessen betrifft. Dass der Treiber "geladen" ist, lässt sich relativ leicht im Debug-Output (DebugView) erkennen.  Falls auch nach dem ersten Neustart nichts erkennbar ist, muss das Häklein bei "Enable Verbose Kernel Output" gesetzt werden. Nur soviel vorneweg: - Wir sind hier auf AMD64 - Hooks dürft ihr also vergeblich suchen. - Ausserdem wollte ich auch keine (gefakten) Geräteobjekte erstellen, daher werdet ihr Callbacks ebenfalls erfolglos suchen. - Die LoadImageNotifyRoutine ist zu bekannt, danach sucht ja eh jeder. Und doch scheint der Starteintrag perfekt? versteckt zu sein... Installation: 1.) Kernelmodul "PayLoad.sys" nach C: kopieren 2.) Im cmd-Fenster "bcdedit /set {current} testsigning YES" eingeben 3.) In der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services einen neuen Schlüssel "drvtriks" mit folgenden Werten erstellen: ImagePath - REG_EXPAND_SZ - \??\C:\PayLoad.sys Type - DWORD - 0x00000001 Start - DWORD - 0x00000001 Alternativ die beigelegte Registrierungsdatei (im Archiv) importieren. NICHT via Service-Manager "sc.exe" installieren, das wird nicht funktionieren. 4.) PC neustarten, ODER im cmd "fltmc load drvtriks" eingeben. 5.) PC immer wieder herunterfahren und neustarten und den Debug-Output kontrollieren... Getestet wurde auf Windows7 SP1 x64 und Windows 8.1 x64. Prinzipbedingt sollten auch Windows 7 SP0 und Windows 8 kein Problem darstellen. Viel Spass!  Für 100%ige Entfernung die PayLoad.sys-Datei löschen, oder den PC plötzlich abstürzen lassen (Z.B. im Taskmanager den kritischen Prozess "smss.exe" beenden). Grüsse - Microwave P.S. RAR-Passwort: ring0-kit |
| Themen zu Mini-Rootkit: Unsichtbarer Kerneltreiber |
| abstürze, abstürzen, amd, anti, beenden, code, folge, gelöscht, herunterfahren, hintergrund, laden, lädt, löschen, neustart, neustarten, plötzlich, problem, registry, services, smss.exe, suche, system, taskmanager, windows, windows 7 |
Baum-Darstellung