| |
| |||||||
Diskussionsforum: Grundsätzliches - Laufendes System untersuchen sinnvoll?Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
 |
| |
11.03.2015, 02:35
| #1 |
 |  Grundsätzliches - Laufendes System untersuchen sinnvoll? Also viel Gebastel und Ausnahmen sind da nicht. Ausserdem handelt es sich bei der schärferen Variante (dem Keylogger) um einen sogenannten Kerneltreiber (dynamisch ladbares Kernelmodul) und nicht um eine DLL. Da gibt's auch keine grossartige Installation, vorausgesetzt, der sogenannte Testmodus ist aktiviert. Zudem muss man natürlich so hell sein, einen allfälligen Dropper mit Adminrechten auszuführen, da mindestens das SeLoadDriverPrivilege nötig ist. Problem ist hier wirklich hauptsächlich die Treibersignierung von 64-Bit Windows. Angenommen, diese sei aus einem Grund X deaktiviert, sind noch zwei auffallende Aktionen erforderlich: . - Entpacken des Treibers in ein Verzeichnis X (z.B. Temp/mybadrootkit.sys) --> Erstellen eines Registrykeys mit Name mybadrootkit und Werten "Type "und "ImagePath" darin --> Öffnen von fltmc.exe load mybadrootkit oder Aufruf von ntdll!NtLoadDriver Bzgl. Heuristik: Wenn das AV eine sogenannte LoadImageNotifyRoutine für Kernelmodule hat, helfen auch direkte Intel Syscalls (0F 05) nicht. (In diesem Fall könnte man den Treiber auch UsbDrv30.sys nennen zur Tarnung, dann denkt der Benutzer vielleicht, es sei legitim..) Verdächtige Dateioperationen kann man verhindern, indem man den Treiber nicht in System32/drivers kopiert, sondern z.b. auf den eigenen Desktop. Registry-Operationen kann man vielleicht mit NtSaveKey/NtLoadKey oder so ähnlich umgehen/unverdächtig aussehen lassen. Das und nicht mehr müsste ein Dropper können. Ist keine Testsignierung eingeschaltet, wird man nicht um einen Neustart kommen nach erfolgreicher Erstellung eines BCD-Eintrags "testsigning Yes". Der Neustart kann entweder irgendwann erfolgen, oder aber man erzwingt einen mit NtSetSystemPowerState oder einfach NtShutdownSystem. Möglicherweise können AV-Treiber aber Power-Callbacks registrieren.. Dann müsste man das auch wieder unverdächtig aussehen lassen. Zudem könnte man am Explorer schnell ein SetWindowsHooksEx ausführen und dann Mausereignisse abgreifen. Wenn sich nun die Maus 10Minuten lang nicht bewegt und die CPU-Last unter 10% ist, scheint der Benutzer "afk" zu sein und man kann einen Neustart durchführen..  So ungewöhnlich sind plötsliche Neustarts nicht, unter Windows..Und eben.. Von Hand muss man überhaupt nichts präparieren, man kann den Dropper nämlich auch die Testsignierung einschalten lassen. Momentan bin ich aber gerade anderweitig beschäftigt, einen Dropper gibts also wenn überhaupt, erst später. Atm bin ich eigentlich damit beschäftigt, ein kleines HIDS zu programmieren.. Grüsse - Microwave P.S. Quellcode des Kernel-Treibers sollte eigentlich auch auf km.info sein... |
|
| Themen zu Grundsätzliches - Laufendes System untersuchen sinnvoll? |
| allgemein, analyse, aufruf, diverse, forum, frage, hallo zusammen, infektion, jahre, nicht mehr, pcs, privat, programme, prozesse, scan, scanner, seite, setzt, speichern, system, systemstart, tools, virenscanner, voll, windows |
Hybrid-Darstellung
