Und über welchen Port funken Viruse?
Gibt es dafür ein cmd Programm oder kann man sowas auch einfach selber schreiben?

LG

Mit PC zugriff meine ich ein. Programm was installiert ist (Ganz normal und sichtbar kein. Virus)

Deine ganzen Themen, die Du so erstellst, lassen mich langsam etwas zweifeln.

Du weißt schon dass wir hier gegen Hacken und Co sind, und so Zeugs entfernen, oder?

Zitat:

Zitat von schrauber

Deine ganzen Themen, die Du so erstellst, lassen mich langsam etwas zweifeln.

Du weißt schon dass wir hier gegen Hacken und Co sind, und so Zeugs entfernen, oder?

Es soll kein hacken sein. Es ist so: Ich fang mir Viren ein und kuck was die so rumschicken und an wen.

Hacken ist Definitionsfrage. Fuer manche faengt Hacken bei jeglicher Zweckentfremdung jeglicher Ressourcen an. Ich stimme dem zu. Andere nicht.

Malware ist meist recht restriktiert in den Ressourcen. Von daher ist der erfolgversprechendere Ansatz, sich in Assembler/Machinensprache einzuarbeiten und ueber Disassembler/Debugger erstmal die grundlegenden Mechanismen zu verstehen. Bei modernerer Malware ist das reine Abfangen des Netzwerkverkehrs oftmals nicht so erfolgversprechend fuer das Verstaendnis.

Aber sicherlich oft sehr hilfreich fuer Erste-Hilfe-Masznahmen. Wenn ich die URL/Port/Protokoll kenne, dann kann ich die Kommunikation erstmal unterbinden. Und eventuell den Code fuer die Kommunikation einfacher finden.

Als zweiten Anlaufpunkt wirst Du wohl Anti-Debugging-Techniken anschauen muessen.
Seit Windows ist es auch sehr wichtig geworden, sich eine halbwegs brauchbare Arbeitsumgebung zusammenzustellen.

Irgendwie habe ich bis heute noch nicht den allseelig gluecklich machenden Debugger fuer mich gefunden. Bzw. wird ab und an die Entwicklung von brauchbaren Debuggern eingestellt.

Auf der anderen Seite kann man heute nicht einmal mehr den Arbeitsspeicher "von Hand" auf ungewoehnliche Sachen durchsuchen. Wenn zu Zeiten von 1MB Speicher 2-3h dafuer draufgegangen sind, kannst Du selbst ausrechnen, wieviel man fuer 8096MB brauchen wuerde.

Nachtrag: Solltest Du tatsaechlich in Assembler eintauchen, solltest Du Dir auch Gedanken machen, welche Architektur und welches Betriebssystem Dich am meisten interessiert. Die Unterschiede koennen recht gross sein.

Allein die Frage ist schon sehr dumm gestellt. Etwas Internetsuche am besten auf Englisch ergibt um einiges mehr an Antworten als in so einem Forum.

Aber so viel:

Der Schadcode will nach außen kommunizieren. Dumme Anwender glauben, dass eine Desktop-Firewall (entweder kostenlos von MS oder für viel Geld) was bringen würde. Das ist natürlich vollkommener Dummsinn. Und das wiederum beantwortet deine Frage. Der Schadcode nutzt oft normales HTTP (Port 80) oder HTTPS (Port 443) und wenn die Firewall schlau ist dann sogar über die Anwendung (z.B. Firefox). Denn das ist das Problem deiner Firewall-Konfiguration. Deinem Feuerfuchs willst du ja das Internet nicht verbieten. Das geht ja nicht. Das würde ihm ja nicht gefallen. Aber dem Schadcode gefällt es. Etwas schlauerer Schadcode ist dann auch noch proxyfähig falls deine Firma noch schlauer ist als du und glaubt ein Proxy-Server könnte das böse Internet sicherer machen. Aber auch das ist natürlich ein Irrglaube. Das größte Malwareproblem ist Windows. Steige auf Mac OS X oder Linux um. Dann wird es sehr ruhig.

Im Grunde hast Du recht, aber es gibt nit nur so "dumme" Firewalls.

Zitat:

Zitat von iceweasel

Allein die Frage ist schon sehr dumm gestellt. Etwas Internetsuche am besten auf Englisch ergibt um einiges mehr an Antworten als in so einem Forum.

Aber so viel:

Der Schadcode will nach außen kommunizieren. Dumme Anwender glauben, dass eine Desktop-Firewall (entweder kostenlos von MS oder für viel Geld) was bringen würde. Das ist natürlich vollkommener Dummsinn. Und das wiederum beantwortet deine Frage. Der Schadcode nutzt oft normales HTTP (Port 80) oder HTTPS (Port 443) und wenn die Firewall schlau ist dann sogar über die Anwendung (z.B. Firefox). Denn das ist das Problem deiner Firewall-Konfiguration. Deinem Feuerfuchs willst du ja das Internet nicht verbieten. Das geht ja nicht. Das würde ihm ja nicht gefallen. Aber dem Schadcode gefällt es. Etwas schlauerer Schadcode ist dann auch noch proxyfähig falls deine Firma noch schlauer ist als du und glaubt ein Proxy-Server könnte das böse Internet sicherer machen. Aber auch das ist natürlich ein Irrglaube. Das größte Malwareproblem ist Windows. Steige auf Mac OS X oder Linux um. Dann wird es sehr ruhig.

Ist die Antwort an mich? Klingt nicht so. Ich fange mir EXTRA Viruse ein und gucke dann alle Kommunikationen an.... Nur ich wollte fragen ob es dafür ein Script gibt was das dann alles loggt.

Deine Frage war:
Und über welchen Port funken Viruse?

Genau darauf habe ich geantwortet.

Die Mehrzahl von Virus ist nicht Viruse.......

Zitat:

Die Mehrzahl von Virus ist nicht Viruse.......

Anscheinend wird zur Zeit gerne der Port 22 angeklopft, vielleicht macht es Sinn, das mal zu loggen.

FinFisher als Beispiel:

hxxp://www.welivesecurity.com/deutsch/2014/10/15/wikileaks-samples-zum-finfisher-staatstrojaner-bringen-aufklarung-per-schnellanalyse/

Zitat:

Zu Tarnungszwecken findet die ausgehende Internet-Kommunikation über den Internet Explorer statt.

Zitat:

Port 22 angeklopft

Port 22 ist SSH und ist eher für Linux interessant.

Code: Alles auswählenAufklappen

ATTFilter

fgrep ssh /etc/services
ssh             22/tcp                          # SSH Remote Login Protocol
         

Zitat:

Zitat von iceweasel

Port 22 ist SSH und ist eher für Linux interessant.

Ich nehme mal an, dass das auch eher an den Router gerichtet ist.