Hat nicht schon mal ein Leser Microwaves Rootkit aktiviert und sich dann beschwert? Da war es also funktionsfähig insoweit, als er es erfolgreich auf den Rechner des Lesers gebracht hat.

Jup. Das klang aber auch ziemlich trollig. => http://www.trojaner-board.de/151164-...ml#post1302317

Das Usermode-Rootkit spielt in einer gänzlich anderen Liga.
Da wir hier keinen Treiber laden, kann uns der Signierungszwang von Microsoft (KMCS) so lang wie breit sein, denn noch(?) muss nur Kernelcode signiert sein, um ausgeführt werden zu können.
Deshalb kann das Rootkit einfach ohne Neustart im System verankert werden.

Zudem kommt dieses Rootkit ja inklusive Dropper.
Dafür beträgt die "Stärke" dieses Rootkits nur ein Bruchteil derjenigen des Kerneltreibers - wir haben "nur" Admin-Rechte.
Ausserdem wird der Dropper auch sehr gut erkannt, immerhin gebrauche ich ganz unverblümt OpenProcess(...,PROCESS_VM_OPERATION,...) und WriteProcessMemory gefolgt von CreateRemoteThread.

Den Testmodus schalte ich dir mit links ein, schrauber, das ist nicht das Problem.
Wesentlich höherer Fähigkeiten bedarf es jedoch, um zu verhindern, dass die Standard-Scanner (FRST64 & co.) den plötzlich aktivierten Testmodus anmeckern - ohne Verwendung von Hooks, meine ich jetzt.
Und ziemlich unmöglich ist es dann, die Tools auch in einer WinRE glauben zu machen, dass alles im Lot sei.
Allerdings darf man sich dennoch nicht sicher fühlen, denn mit einem gefälschten Zertifikat brauche ich keine Testsignierung und keinen verdächtigen Neustart, dann gibt's für die Tools auch nix mehr zu erkennen. Dass man Zertifikate klauen kann, hat Stuxnet ja bewiesen .


Grüsse - Microwave

Zitat:

Und ziemlich unmöglich ist es dann, die Tools auch in einer WinRE glauben zu machen, dass alles im Lot sei.

das meinte ich ja weiter oben. In der RE hat nichts ne Chance.

Zitat:

Zitat von schrauber

das meinte ich ja weiter oben. In der RE hat nichts ne Chance.

Ohne Zertifikat - ja, wie ich sagte.
Mit Zertifikat - Denke schon. Oder hast du gerade konkrete Tipps, wie man z.B. den $Extend-Ordner unter WinRE scannt, um herauszufinden, ob da was ist? FRST64 und co. werden dann nichts mehr anzeigen, weil in diesem WC-Szenario ja keine Testsignierung aktiviert wäre - also keinerlei Anhaltspunkte!
Weder autoruns noch FRST64 noch regedit noch weitere Tools zeigen den Eintrag an in der WinRE. Selbst RegDelNull wird nichts anzeigen, weil ja nicht das "\0-im-Schlüssel-Prinzip" angewendet wird.

Daher bleibe ich bei meiner Behauptung. Der installierte Treiber ist standardmässig nicht erkennbar, der Testsignierungs-Eintrag schon.
Wenn jetzt jemand viel mit Custom-µC-Brennern spielt (Hobbybastler), gibts vielleicht auch nicht immer für jeden Brenner einen signierten Treiber. So Leute stellen dann Beispiele dar, wo legitime Testsignierung doch noch vorkommt.
Auch wenn man am Boot-Design umherschrauben will, ist man ja gezwungen, wichtige Systemdateien zu patchen - also wieder Testmodus völlig legitim eingeschaltet..


Grüsse - Microwave

Zitat:

Der installierte Treiber ist standardmässig nicht erkennbar

In der RE? Gib mal her das Ding, halte ich für ein Gerücht. Und wir müssten dann noch die Definition von "standardmäßig" klären

Hier angehängt:
hxxp://www.kernelmode.info/forum/viewtopic.php?f=14&t=3461#p24775, Quellcode auf der nächsten Thread-Seite.

Standardmässig bedeutet mit Tools wie Regedit oder verschiedenen Scannern. Jedenfalls war das am 31.12.2014 noch so, vielleicht wurden mittlerweile essentielle Funktionen von FRST64 angepasst, dass ungültige Treiber-Einträge auch erkannt und angemeckert werden.

Aber:
Wenn FRST64 gescannt hat, ist die Registry iirc noch geladen und der Services-Schlüssel kann mit dem Regedit eingesehen werden. Dann kann man auch gerade den gesamten Services-Key exportieren und die .reg-Datei im notepad analysieren. Scrollt man dann ganz hinunter, sieht man meine Einträge. Manuell ist der Treibereintrag also erkennbar.
Er manifestiert sich als Schlüssel, der mit Z beginnt und der vorhergehende Schlüssel hat eine Menge Leerzeichen drin.
Nicht erkennbar ist jedoch die ausführbare Imagedatei (Das Command "more" kann jedoch deren Inhalt anzeigen, wenn man deren genauen Namen kennt...). Die Datei ist übrigens auch nicht ohne Akrobatik zu entfernen. ntfs.sys verhindert wirksam, dass diese jemand zu Gesicht bekommt, geschweige denn sie verändert - auch in der WinRE-Umgebung.


Grüsse - Microwave

Ich lade mal

Zitat:

Zitat von schrauber

Ich lade mal

Hat das Laden denn geklappt?
Ich verfolge diesen Thread mit Interesse und bin neugierig, wie er weitergeht.

habs noch nit versucht, zu viel um die Ohren im Moment. Da ich aber eh noch 4 neue VMs bauen muss ist das mit auf dem Zettel

Mach es lieber mit einem reellen System. Sonst wird noch gesagt, dass die VM irgendwas verfälscht oder so

Wenn die VM auch eine kbdclass.sys hat und Windows auf C:\Windows installiert ist, sollte es eigentlich gehen.
(Momentan noch unschön, ich arbeite mit hardkodierten Laufwerksangaben)

Grüsse -Microwave

Warum nimmst keine Umgebungsvariablen... %SYSTEMDRIVE% und/oder %WINDIR%

Afaik sind Umgebungsvariablen ein gerüttelt Mass mehr Highlevel als das, was ich mache. D.h. ich hab da gar keine Umgebungsvariablen.. (Und mir fällt gerade ein, dass theoretisch eigentlich nur der Laufwerkbuchstabe stimmen müsste.)

Grüsse - Microwave

Also , ähm aber was macht der Durchschnitts - Pfosten , wenn er grad nur ein Rechner hat und dann mitten in der Neuinstallation stecken bleibt und das System nicht mehr Internet fähig ist ?

Dann bliebe solchen Leuts wohl nur noch der Gang in nem PC Shop , wo sie ein vermutlich feierlich erklären , das sie es zum Sonderpreis von 35 ,- untersuchen und dir dann sagen , das die Festplatte kaputt ist , obwohl sie gar nicht kaputt ist (und der Typ aufgrund des Einfachheit des Fehlers zum weiter führen der Neuinstallation erahnt , das der Kunde ein Pfosten ist) und noch mal 250 daafür verlangt und natürlich den Gratis- Service das deine Daten weg sind und die Einstellungen .

Die meisten kenn ich auch nur über Inet , da extrem schüchtern , wüßte gar nicht , wen ich überhaupt mein Rechner tagelang überlassen könnte , sollte , der ja noch Ahnung haben muß davon .

Also , da geh ich lieber hier hin und lass es checken , ist schon mal viel , viel besser als gar nichts checken zu lassen oder damit leben zu müssen , das eine Suchmaschine deine Suche verändert und dich zu Tode spamt und weiß der Geier noch für Helferchen runter lädt und einfach gaar nix zu machen ist bis zum PUP , punktuell unausweichlicher Platten-tot und nicht mehr rückbildungsfähig .

Und den PC Läden trau ich nie so recht , da haben wir leider auch schon Sachen hingegeben haben , die angeblich kaputt waren , und als mein Vater es auseinander schraubte (was ich nicht für Anfänger empfehle , man muß schon Kenntnis haben , grad Röhrenbildschirme und Geräte mit Lasern , war ne Play Station die unreparierbar war angeblich) und alles prüfte und sich alles mögliche an Infos holte , stellte er fest , das ein kleines Bauteil durch gebrannt war .
Kostenpunkt des Bauteils über nen Bekannten , der Elektriker ist , belief sich auf 3 Cent !!!

Ganze 3 Cent , das muß man sich mal rein ziehen . Klaar , er hat für seine 1. Playstation 5 Wochen gebraucht (war ja kein Rentner) , aber danach machte er weiter , vorher nur Staubsauger , Toaster , Bohrmaschinen und so , jetZt aber kann der in weniger als 2 Stunden Gerät auseinander bauen , war nen Reciver mit ner Sollbruchstelle , bestimmte Komponenten auslöten (manche durch messen und manche die verändert aussehen oder typisch kaputt gehen) und lötet entsprechendes wieder rein .

Erst kürzlich mit dem Miele Waschmaschinen Fachmann per Telefon den Fehler auf der Schaltplatine entfernt in nur 1 einhalb Stunden . Hätte niemals geglaubt , das die so kulant sind und ein sagen , wo welcher Messwert (Geräte zum Stromspannung messen hat er ja reichlich) sein muß , um den Übeltäter zu finden .

Da lustige war , das er das Bauteil einem alten Röhrenmonitor entnommen hat . ^^
Er darf seine Bastelei aber nicht gewerblich nutzen und Garantie ist dann ntürlich auch pfutsch , aber Maschine heile zum Preis eines Telefonats .^^


Und bevor ich 5 Wochen an nem Rechner Problem tüftel , das mir min. 47 Level zu hoch ist , dann bin ich lieber hier , dann dauerts keine 5 Tage (je nach dem wie lange es dauert , bis mir ein Licht aufgeht) und weg ist es .