|
Security-Suite mit der (ANGEBLICH) besten Verhaltens-Erkennung
(https://www.trojaner-board.de/163687-security-suite-angeblich-besten-verhaltens-erkennung.html)
Security-Suite mit der (ANGEBLICH) besten Verhaltens-Erkennung Hi TB-Community Ich bin wieder etwas Neues am Herumprobieren und wollte mir nun mal testweise einen Virenschutz installieren, um zu sehen, wie effektiv die (zumindest von den Herstellern) so hochgelobte Verhaltenserkennung/Heuristik tatsächlich ist. Insbesondere möchte ich versuchen, einen normalen Betriebssystem-Aufruf mit mehreren Aufrufen zu ersetzen, die jeweils nur immer einen kleinen Teil der Arbeit verrichten. Sprich, um in die Registrierung zu schreiben, kann man NtCreateKey/NtSetValueKey benutzen, ich will aber beispielsweise versuchen, NtCreateKey mit NtSaveKey & NtLoadKey zu ersetzen, schlicht und einfach um zu sehen, ob das immer noch als verdächtig erkannt wird. So gibt es zig weitere Beispiele, wie man bestimmte schädliche Einzelaktionen ausführen kann, indem mehrere unverdächtige Aufrufe miteinander zu einem Ganzen kombiniert. Und übrigens können auf 64-Bit-Betriebssystemen aufgrund von PatchGuard nur ein kleiner Teil der Aktionen erkannt werden: Physikalisch ist es z.B. unmöglich, NtWriteVirtualMemory (Schreiben in fremde Prozesse) zu erkennen, geschweige denn zu blockieren, weil Microsoft schlicht und einfach keine Filtermöglichkeit dafür vorgesehen hat. Gesucht ist also konkret eine Schutzeinrichtung (Also offenbar Security-Suite, da ich den Hintergrundwächter brauche) mit Echtzeit-Verhaltenserkennung, die nicht nur dateibasiert (statisch) ist, sondern vorallem auch darauf reagiert, wie sich ein ausgeführtes Programm in Echtzeit verhält (dynamisch), ob es bis dato unbekannte Prozesse startet oder zu öffnen versucht, und dergleichen mehr. Und da ja viele Tests die Ergebnisse passend zurecht biegen und eigentlich das Blaue vom Himmel lügen, frage ich lieber bei denen nach, die da am ehesten Ahnung und vorallem Erfahrung haben (und unabhängig sind). Benutzbarkeit und Performance ist mir dabei völlig egal. Wichtig sind einfach diese zwei Punkte: - Fortschrittliche dynamische Laufzeit-Verhaltenserkennung - Darf nur etwas kosten, wenn funktionsfähiger Hintergrundschutz für wenigstens ein paar Tage trotzdem GRATIS konfigurier- /verwendbar. (Bspw. Emsisoft 30 Tage-Test oder Kaspersky 30 Tage-Test...) Namen von Security-Suiten, die mir in dem Sinn kommen: - Kaspersky - Malwarebytes Antimalware (die bluffen auch irgendwie recht, erscheint mir..) - Emsisoft, (bei denen soll es glaub 100% geben, gut, in Sachen AntiVirus gibts schnell mal bei den meisten Herstellern >=100%) - Avast, bei vielen installiert, Millionen Fliegen können nicht irren... ;) - Avira, das macht ne Menge Fehlalarme.. bei mir dann vielleicht berechtigte? :blabla: Welche Suite soll ich wählen - oder gibts noch weitere? Bitte um (objektive) Aufklärung. Grüsse Microwave |
jedes AV hat nen Echtzeitschutz. Und wenn man genau lesen würde verspricht Emsi keine 100%, das ist lediglich ein Artikel dass bei einem 4monatigen Dauertest 100% der verwendeten Samples, Urls und Co geblockt wurden. UNd ich würde mal die Frage von M-K-D-B im andern Thema beantworten ;) Edit: sehe das hast Du schon gemacht :) |
Meiner Meinung nach sind die Suiten unnötig es genuegt ein AV-Scanner plus die Windows Firewall. |
logo, aber das war hier nit die Frage. |
Sorry Microwave, es sieht so aus als wenn Du die Eierlegende Wolfsmilchsau suchst. zu Emsi: Neu seit 2014 Emsi IS = Behavior Schutz Alt Online Armor(wird aber noch verkauft und gepflegt) = HIPS läuft komplett anders wie Behavior Schutz könnte man mit Emsi Antimalware Kombinieren. Aber ob Hips und Behavior Schutz zusammen gut laufen? Malwarebytes Antimalware: Ist keine Security-Suiten, sondern ein Antimalware. Avast: Hat vieles, aber auch vieles was man nicht braucht. Avira: Avira hat in der Vergangenheit gerne Nebenprodukte installiert(z.b:Toolbar) Dr.Web Security Space: hat z.b Zusätze wie Dr.Web SelfPROtect den schränkt den Zugriff böswilliger Objekte und Registry ein. Und ermöglicht ein Automatisches Wiederherstellen von Programm-Modulen. Kaspersky: Mein letzte Erfahrung damit ist 10 Jahre her, da kann ein anderer User sich besser zu äußern. Hitman AlertPro3: mit Exploit Schutz, zur zeit noch in Beta unterwegs. Neuber Security Task Manager: mit SpyProtector. Und so weiter.....:stirn: Manche deiner Experimentierte die Du machen möchtest, wirst Du nur mit Programmen wie Process Hacker sehen können. Ob die Security-Suite mit den Verschiedenen Hintergrundwächtern(auch verschiedenen Techniken) erkennen und abwehren können? Aber ich würde mich freuen wenn Du das Experiment gemacht hast, hier die Ergebnisse sehen zu können ;) |
Zitat:
|
Was ist im Speziellen nicht Korrekt Tom? Code: Bei (OnlineAmor) HIPS Firewall ist es nicht notwendig ständig nachzubessern |
Zitat:
Zitat:
|
Okay, dann hatte ich falsche Informationen, oder die Informationen falsch verstanden :) Nur bei OA plus EAM, wurde mein Rechner zur Schnecke.... mit EIS läuft er schön Rund....auch wenn man nicht ganz soviel einstellen kann, wie bei der OA. |
Zitat:
Zitat:
|
Danke für die Antworten. Da das Grundkonzept steht, beliebigen Code von lsass.exe ausführen zu lassen (wenn auch nur als Admin), werde ich wohl mal schauen, was Emsisoft full-fledged dazu meint. Gemäss kürzlichen Nachforschungen sollen direkte Betriebssystemaufrufe (Intel "syscall"-Befehl) nämlich von vorneherein als verdächtig erkannt werden, auch wenn keinerlei API-Namen (Importe) im Programm vorkommen. Auf Windows 8.1 (meinem Testsystem) sollen AV-Dienste ja geschützt gestartet werden können (protected process), möglicherweise lässt sich der Schutz mittels lsass irgendwie aushebeln so dass ich zumindest nach einem Neustart die Antivirensoftware abschiessen könnte, vorausgesetzt die Software hat keinen kernelbasierten Schutz. Mal schauen. Grüsse - Microwave |
Liste der Anhänge anzeigen (Anzahl: 1) Hi Leute, oder schrauber: Habe nun endlich das neueste Emsisoft Antimalware installiert und angetestet. Leider habe ich übersehen, dass Emsisoft Online Armor wohl noch stärker wäre, allerdings geht das Neuinstallieren jetzt vermutlich nicht mehr, obwohl ich es nicht probiert habe. Irgendwie muss ja auch gewährleistet sein, dass ich nach 28 Tagen nicht einfach ein anderes Produkt von Emsisoft gratis darüberinstalliere und so umsonst zu kostenpflichtigem Virenschutz komme, die werden sich wohl schon was dabei gedacht haben... Jedenfalls ist auf meinem Rechner Windows 10 TP, Build 9926 in der amd64-Version installiert, mit Internet Explorer wird gesurft und der Windows Defender ist registrierungsmässig deaktiviert. Zusätzlich habe ich durch einen Trick lokales Kerneldebugging installiert, was es mir (und anderen) erlaubt, unbemerkt von einem elevated ausgeführtem Usermode-Programm auf Kernel-Speicher zuzugreifen und dort beliebigen Code im Kernelmodus auszuführen. Die Installation erfolgte natürlich so, dass weder im Regedit noch in einem FRST64-Scan inkl. Addition.txt auch nur die kleinste Auffälligkeit zu sehen wäre. Der erste Eindruck von Emsisoft war eine saubere und aufgeräumte Programmerscheinung. Habe sogleich alles an Schutz aktiviert, was man so aktivieren kann, der Paranoid-Modus wurde ebenfalls eingeschaltet, Scannen der Dateien bereits beim Lesen, usw. Interessant wurde es dann gleich: Würde erkannt werden, dass auf dem Rechner etwas nicht stimmt? Ein vollständiger Virenscan mit direktem Disk-Zugriff und Anti-Rootkit-Unterstützung förderte dann aber nichts zutage und selbst nach einem Neustart funktionierte die "Hintertüre" noch vollumfänglich. Auch die Kontaktaufnahme zum Geräteobjekt des Kerneltreibers wurde nicht geblockt oder beanstandet. Der nächste Test bestand darin, einfach mal unverblümt ein bändesprechendes "NtOpenProcess" als Administrator aufzurufen, um so Schreibrecht auf das Memory der lsass.exe zu erhalten. (Gelänge dies, hätte ich automatisch alle tollen Systemprivilegien wie "SeTcbPrivilege", "SeLockMemoryPrivilege" und weitere). Meinen Versuch beanstandete Emsisoft dann jedoch in schönem Rot. Der Schutz war aber schnell ausgehebelt: Bereits beim ersten Versuch, einen direkten Systemaufruf (Intel syscall instruction 0F 05) auszuführen, um die lsass.exe im Speicher zu öffnen, erlaubte sich Emsisoft Antimalware einen ganz groben Patzer und brachte keine einzige Warnung. Der Beweis ist unten angehängt. Ich weiss jetzt nicht, ob es am neuen Windows 10 liegt, dass Emsisoft den Versuch nicht meldet. Vielleicht gibt es auf älteren Betriebssystemen einen zusätzlichen Schutz mit den ObRegisterCallback-Routinen und PsSetCreateProcessNotifyRoutine / PsSetCreateThreadNotifyRoutine, der auf Windows 10 sicherheitshalber noch nicht funktioniert, weil es zu neu ist. Dann bin ich persönlich aber der Meinung, dass man den Benutzer warnen soll, dass nicht der ganze Schutz aktiviert werden konnte. Wenn ich mich jetzt dämlich stelle, suggeriert die Emsisoft-Übersicht, dass alles in Ordnung und der PC super geschützt sei, obwohl dem definitiv nicht so ist. Dabei habe ich gerade die offensichtlichsten Methoden gewählt. Es geht erwiesenermassen noch so viel tausendmal subtiler, Vollzugriff auf lsass.exe (und damit den Computer) zu erhalten!!! Ich weiss halt einfach, warum ich den Dingern nicht vertraue..nichts für ungut ;) Kann ich jetzt einfach Emsisoft via Systemsteuerung deinstallieren und Kaspersky installieren, oder muss ich etwas spezielles beachten dabei? Grüsse - Microwave |
ein AV programm auf einem "verseuchten" system zu installieren is schwachsinn ;). schon versucht zu erst emsi zu installieren, dann deinen dropper? und zwar doppelklick auf den dropper, nicht noch per hand modifikationen machen die die malware nie elbst machen würde? und win10 wird eh nicht supportet, aber egal :) einfach deinstallieren reicht. :) |
Hi schrauber, warum bietet mir das Programm denn im Zuge der vier Installationsschritte an, einen Scan durchzuführen? Oder gilt dieser nur für PUPs? Dass die leicht zu erkennen sind, ist mir soweit bewusst... Ich bin gerade daran, einen Dropper zu entwerfen, der den Kerneldebugger installiert, während Emsisoft am Laufen ist. Ich setze natürlich voraus, dass der "Dropper" mit Adminrechten ausgeführt wird - ich weiss, dass es zwar UAC-Exploits gibt und ich auch mit beschränkten Rechten Code ausführen könnte, aber das ist hier erstmal nicht das Ziel. Was das Prozesse öffnen angeht - Ich gehe davon aus, dass Emsisoft danach nur noch wenig entgegensetzen kann, weil das Öffnen des Prozesses das auffälligste Merkmal darstellt, wie Emsisoft ja auch folgerichtig erkennt. Nur geschieht die Erkennung offenbar bloss über Hooks und nicht im Kernel, weshalb ich mit diesen "rohen" syscalls den Schutz einfach umzirkeln kann. :) Ist dies einmal geschehen, kann ich ja auch lsass.exe bestimmte Aktionen für mich durchführen lassen - was dann ohnehin wieder als legitim erkannt werden würde. Ich kann also auch lsass meinen Kerneldebugger installieren lassen.. :crazy: Übrigens sind diese Modifikationen nicht wirklich solche, wenn du die syscalls meinst. Ich führe nämlich einfach vordefinierten Code in meinem eigenen Prozess (dem Dropper) aus: Code: typedef NTSTATUS(*PNT_OPEN_PROCESS)(PHANDLE pProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId);Grüsse - Microwave |
Zitat:
ein av ist immer vor dem Befall auf dem Gerät. Ein AV zu testen, in dem ich es auf einem verseuchten System installiere und dann scanne, ist absoluter Schwachsinn. Ich wiederhole mich gerne: Ein AV Programm braucht keine Scan und Removalfunktion. |
Ok, verstehe jetzt, was du meinst! Wenn man ein AV installiert, ist das System in der Regel sauber, und zwar so wie bei einem Neuaufsetzen, das macht soweit Sinn. Was ich aber nicht verstehe, warum bittet mich die Installationsroutine vor der ersten Inbetriebnahme, dennoch einen Scan durchzuführen? Also verstehst du, worauf ich hinaus möchte? Also wenn das System sauber sein sollte (weil man die AVs ja in der Regel von Anfang an auf dem sauberen System installiert), weshalb soll man dann trotzdem einen Scan durchführen? Was soll dabei herauskommen? Das betrifft jetzt nicht nur Emsisoft, auch Microsoft zeigt nach der Erstinstallation an, dass man möglicherweise gefährdet sei, nur weil man noch keinen Scan getätigt hat. Deshalb meinte ich: Wenn das Teil schon unbedingt gerade losscannen möchte, dann soll ja auch etwas vorhanden sein, nachdem man suchen kann. Vielleicht aber auch nur meine einsame Meinung.. ;) Grüsse - Microwave |
Zitat:
|
Zitat:
|
Es kommt aber oft genug vor das Leute ihre AV's wechseln wie die Unterhose :P Und somit ist es wiederum oft genug der Fall das ebendiese nicht auf einer sauberen Neuinstallation installiert werden und somit gibt es schon gute gründe direkt nach der Installation zu scannen. |
genau, sowas zB. Ausserdem ist der Satz "nen reinen On-Demand-Scanner braucht kein AV" meine persönliche Meinung ;). Ist die Malware schon drauf isses eh schnuppe. Wir zb (Emsisoft) schreiben bei Funden auf dem System gerne auch mal ins Log "Bitte bei Forum/Support melden zum Entfernen". KEIN AV entfernt Malware richtig. |
Zitat:
|
http://www.google.com/url?sa=i&rct=j...25370354756675 Spaß beiseite, das Thema hatten wir hier schon tausend mal. Und bevor es (ich :D) wieder eskaliere, lassen wir das ;) |
Zitat:
|
Steht dir schon der Angstschweiß auf der Stirn? :blabla: |
Wenn immer gleich eine Neuinstallation gemacht werden sollte wären ja Foren wie diese Sinnfrei. Klar können Schrauber und Co. Nicht immer 100% Sicherheit gewährleisten aber meistens Können sie es einschätzen. Wenn die Jungs meinen man sollte lieber gleich neuinstallieren dann sagen sie es auch. |
Genau, und die sehen mit Tools wie FRST und anderem auch Systemveränderungen, die ein Virenscanner nicht sucht oder anzeigt. |
und wir sehen auch noch verdammt geil aus dabei :blabla: |
In der Tat. :kaffee_reboot: |
Zitat:
|
nicht schon wieder :D |
Zitat:
|
|
Du kennst Stargate nicht :D |
|
Zitat:
Aber wieso das denn (nicht) :rofl: |
Zitat:
Ne, Spass beiseite, ich habe versucht einen PoC zu entwerfen, der mit reinen "syscalls" funktioniert, ohne die einzelnen syscall-Nummern jedoch vorzudefinieren. Damit wäre der PoC unabhängig von Änderungen der Interfaces auf jedem 64-bit-System ab Windows Vista/7 lauffähig und vorallem auch in jeder kommenden Windowsversion (obwohl keine mehr kommt). Leider schlug der Ansatz fehl, da beim Durchprobieren aller Nummern von 0 bis 500 alle möglichen und unmöglichen Dinge passierten, wie z.B. das Anhalten meines eigenen Programms. Ich probiere demnächst wohl einen gemischten Ansatz, mal sehen. Grüsse - Microwave EDIT: Hier gehts ja heiss zu und her |
Zitat:
|
Meine Güte, was ist eigentlich in die AV-Industrie gefahren: Emsisoft überwacht fast gar nichts an Systemschnittstellen, avast! Biegt alle möglichen und unmöglichen Systemroutinen um... Code: .text C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 0000000076f51360 5 bytes JMP 0000000100040460und bringt 8(!!!!) Kerneltreiber mit (Man denke bloss an die x-fach vergrösserte Angriffsfläche!) und beide übersehen wichtige Dinge wie NtGetNextProcess/NtGetNextThread/NtCreateUserProcess und Weiteres. Und eines darf man mir mal ganz rational erklären: Weshalb um alles in der Welt überwacht man NtQueueApcThreadEx, aber NtQueueApcThread nicht??? Beide sind bis auf unwichtige Parameter gleichwertig! Was soll zudem dabei rumkommen, das Öffnen von Events zu registrieren? Naja.. was rege ich mich überhaupt auf.. ich benutze die Dinger ja nicht. Kopfschüttelnde Grüsse - Microwave |
avast = schmeiss weg emsi = top & so ein support findest nirgends wieder |
Nutzte früher Avast, aber Qualität hat sehr stark nachgelassen. Nun bin ich bei 360 Security und bin hocherfreut. Es arbeitet mit 3 Viren-Engines, hat ne Sandbox, nen History Cleaner und läuft flüssiger als Avira. |
...und kommt aus China, hat keine deutsche Version, geschweigedenn deutschen Support, nein ehrlich, sowas mag ich nun garnicht. Ne Software deren genauen Ursprung ich nicht weiß, gerade als Anti-Virus ist für mich keine gute Wahl. |
Und was soll das bedeuten, dass Qihoo aus China kommt? Qihoo ist bei den Tests immer vorne dabei, und mit ein bisschen Schulenglisch kann man Qihoo ganz leicht einstellen. Und Avast kommt aus Tschechien, Bitdefender aus Rumänien usw.....das bedeutet gar nichts. |
Kannst du sagen was die damit alles anstellen... CHina ist nicht grad bekannt für konformen Umgang. Privacy Issues With China's Qihoo 360 Technology, Which Provides Free Antivirus Software, Are Becoming More Public; But Qihoo Strongly Rebuts Accusations |
Das ist doch leeres Geschwätz, diese Frage könnte man ja bei jeden Scanner stellen. Außerdem wird das Programm seit Jahren regelmäßig geprüft. Das würde ja jeden Scanner mit Cloud-Anbindung betreffen. |
Leeres Geschwätz.. hast du dich mal informiert.... Diese Frage stellt sich mir sowieso generell bei Software aus China. |
Zitat:
Zitat:
|
Oh bitte. Es liegen doch Welten zwischen diesem Pseudo-NSA-gelaber und reellen fakten. |
... und ich hab keinen Bock auf sinnlose Diskussionen (nur mal so pro forma) |
Könnte eng werden. Einige User hier haben ja schon nachgewiesen dass ihr lebensmotto "leeres geschwätz" ist...... |
So oder so, ich bin der Meinung man kann Qihoo durchaus empfehlen. Allerdings habe ich auch keine Lust auf sinnlose Diskussionen..... |
Aha. |
Zitat:
Ich war bisher noch nie so zufrieden mit einem AV wie mit Emsisoft . Hab von meinem vorherigen AV ein Angebot bekommen, nach dem sie nach so ca 5 Monaten gemerkt haben, dass ich nicht mehr ihr Kunde bin :blabla:. Ich werde ganz bestimmt nicht mehr wechseln, selbst wenn ich das andere AV gratis bekommen würde. Emsisoft ist sein Geld wert . |
Ich habe schon seit 15 Jahren kein Geld für einen AV-Scanner ausgegeben und bin trotzdem virenfrei, aber jeder wie er will. Es würde sogar ohne Scanner gehen wenn man einiges beachtet. |
Zitat:
Ich mach's ja vor. Keine unnötigen Fehlalarme, ich bin alleiniger Herr über den PC, flüssiges System, keine unnützen Diskussionen, keine Kosten, etc. Grüsse - Microwave |
Zitat:
aktuelle Programme eingeschränktes Benutzerkonto keine cracks, patches etc.. Browsererweiterungen No-script, Ghostery, Adblock Plus Nicht auf alles klicken was schön blinkt und aufleuchtet nur die notwendigsten Programme installieren 1 Mal im Monat das System mit einer Rescue-CD scannen |
Geht auch noch einfacher, zu Ubuntu konvertieren und Windows nur noch für eins, zwei Programme virtuell in Virtualbox ohne Internet betreiben :D Spaß beiseite, ist wirklich so, wenn man kein Gamer ist, ist das genau so umsetzbar, ich habe es vorgemacht. Habe die Karre so gegen die Wand gefahren und gesagt, nicht nochmal mit mir. Bin jetzt dank Cosinus stressfrei und merke gerade wie vielfältig so ein offenes OS ist. :heilig: |
Lol. Geht auch mit Admin-Account, Windowsupdates alle 3..4 Monate mal, Programmupdates generell nie, ne Menge Programme, ohne irgendwelchen komischen Browser-Erweiterungen..und vorallem mit IE. Habe keinerlei "Schutz"-Addons installiert, nur 5 gezielte Einträge in der Hosts-Datei. Aber immerhin hast du das mit dem Virenscanner schon mal raus. RescueCDs sind hingegen unter meiner Würde, wenn schon, dann ein komplettes Windows 7, das direkt von der USB-SSD läuft, mit dem kriegste alles wieder in's Lot. Grüsse -Microwave |
@Microwave Sehr kreativ dein Beitrag.... |
Zitat:
Könnte glatt vom Supercoder stammen :rofl: |
Als Linux-Derivate empfehle ich mal Ubuntu LTS, Mint oder Debian. Viele Anwender werden damit ein Problem bekommen. Nicht weil es unsicher wäre oder kompliziert. Sie nutzen Anwendungen, die nur unter Windows laufen (z.B. Spiele und MS Office). Aber so als einfaches Surfsystem kann man ruhig mal einen 10 Jahre alten Rechner weiterverwenden, um neben mal über den Tellerrand zu schauen. Hatte gedacht hier würden IT-Profis mitlesen. Da man keinen Virenscanner installiert kann man die Zeit damit verbringen sich mal ernsthaft mit dem GNU-Projekt und freier Software zu beschäftigen. Denn PCs bestehen aus weit mehr als dem allgemeinen Windows-Mainstream wie Office, Virenscanner und Malware. |
Zitat:
|
Zitat:
|
Haha, und das beste ist, meine halbe Familie war davon betroffen :D Durfte das wieder in Ordnung bringen. Meine Mutter und Mein Bruder hatten beide den Panda Cloud druff. |
Tja! Mit Linux wär das wohl nicht passiert! :blabla: :rofl: |
Es gibt da auch noch die Comodo Secruity Suit. :glaskugel: Hatte Sie mir damals mal angeschaut und fand sie garnicht mal so schlecht. :Boogie: |
Zitat:
|
Zitat:
Zitat:
Für den gelegentlichen Scan nach statischem Schadcode hat mir Schrauber schon Malewarebytes angeraten. |
Ich würde dir Avast Free empfehlen: https://www.avast.com/de-de/index |
Ich empfehle immer Emsisoft |
Danke! |
Gern Geschehen :) |
Und für was hast du dich jetzt entschieden? |
Bis jetzt noch gar nicht. Ich klick halt nicht blindlings auf alles dran, hab die Win7Firewall einegschaltet, AdBlock und NoScript im Fox -und für den unwahrscheinlichen Fall eines Infekts ein Backup vom System, das mit Schraubers großartigem Beistand frisch gesäubert wurde. Wenn ichs richtig verstanden habe, nicht so sehr von ernstlich bösem Code, als eher von Setupprogrammen, in die potentiell lästige Spierenzchen eingebaut waren, und von meinen vorherigen Virenscannern (u.a.Avast) beim Download übersehen worden sind. |
Habe nun endlich die Zeit gefunden, um testweise einen allgemeinen (d.h. ohne 0F 05 syscalls) DLL-Injektor zu entwerfen, der Verhaltenserkennungen austricksen sollte. Von der injizierten DLL aus würden dann im Kontext von legitimen Systemprozessen die verdächtigen Aktionen ausgeführt, was dann wiederum unverdächtig erscheinen würde. Das Konzept des Injektors ist meiner Meinung nach ganz gut, immerhin umgehe ich die Erkennung von NtAdjustPrivilegesToken, NtAllocateVirtualMemory und NtWriteVirtualMemory. Voller Überzeugung habe ich dann Kaspersky Internet Security 2015 installiert (auf Windows 7 SP1 x64) und den Injektor ausprobiert. Leider ist mir Kaspersky um Längen voraus und bemängelt einen einzigen Aufruf der undokumentierten Funktion "NtGetNextProcess" (um den Opferprozess zu öffnen) gleich vier mal mit verschiedenen Meldungen. Damit hat hier die Verhaltenserkennung klar die Nase vorne. Werde nun versuchen, sogenanntes "Process Hollowing" zu implementieren. Nimmt mich Wunder, ob das auch erkannt wird... Grüsse - Microwave |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board