Trickserei: Programmpfad ermitteln

[AHT]

Es gab noch einen Fehlscan bei der nvsvc.dll.
Code ist unterwegs.

[horsthorn]

Jo, jo...

[profanfan]

Sagt einmal, könntet ihr diese Unterhaltung nicht über Mail weiterführen.
Hier geht es doch um eine reine private Unterhaltung, was und wie ein Programm etwas machen soll, was den User hier glaube zur Zeit nicht interessiert.

mfg

[AHT]

Zitat:

Zitat von profanfan

Sagt einmal, könntet ihr diese Unterhaltung nicht über Mail weiterführen.
Hier geht es doch um eine reine private Unterhaltung, was und wie ein Programm etwas machen soll, was den User hier glaube zur Zeit nicht interessiert.

mfg

Es geht eher um einen öffentlichen Test einer Testdatei die hier zum Download steht und darum, das es ein Update dieser Testdatei und des Quelltextes gegeben hat, der dahinter steckt, weil sich bereits einige Leute an diesem Test beteiligt haben.

[AHT]

...vor einiger Zeit habe ich mal von einem Profaner hier etwas Quelltext und eine EXE zugeschickt bekommen. Beim Ausführen der EXE kam folgendes Popup:

Das Bild sieht sehr unscheinbar aus, was da geschieht, hat es aber in sich:
Es wird ein Programm gestartet und dessen Code komplett durch den Code eines anderen Programms ersetzt. Alle Daten des gestarteten Prozesses (Pfad zur EXE, Dateigröße...) verweisen nun nicht mehr auf das wirklich laufende Programm, sondern auf die EXE, deren Code dort vorher stand.
Derjenige, der mir das kleine Testprogramm zugeschickt hat, hielt diese Technik für sehr gefährlich (besonders in Verbindung mit Profan) und meinte, da müsse man was tun - und ich glaube, er hat recht.
Desweiteren gibt es da auch noch diese Sache, die es quasi jedem Programm ermöglicht, den Pfad zu von ihm geladenen DLLs zu verschleiern (siehe ModRenamer von meiner Homepage).
Da muss man natürlich was tun, besonders weil es scheinbar nichts gibt, was solche Sachen überhaupt erkennt - Horst und ich haben uns deshalb noch einmal zusammengesetzt und etwas an Path-Scout gebastetel.
Nochmals Dank an Horst Horn, der zu dem Programm mal wieder die meiste Arbeit von uns beiden beigetragen hat und den meisten Stress hatte .
Hier ein Screenshot der neuen Version:

Im Screenshot laufen drei Programme mit veränderten Pfadangaben (rotes Warndreieck). Im Prozess Notepad.exe wurde hier der Pfad einer geladenen DLL auf die DLL wininet.dll umgebogen.

Jetzt will mal hoffen, dass wir da etwas einigermaßen brauchbares zusammengefummelt haben und zu viele Macken drin sind (wer sich selbst noch keine eingebaut hat, hat auf jeden Fall noch nicht programmiert ).

PS: Den Namen desjenigen, der mir die Testdatei zugeschickt hat, möchte ich hier erst mal raushalten. Wenn er möchte, kann er gerne einen Link zur EXE der Testdatei posten, die er mir zugeschickt hat, damit die Scantechnik diesbezüglich getestet werden kann. Wenn er das nicht möchte, kann ich das auch sehr gut verstehen - er liest auf jeden Fall hier mit.

[horsthorn]

Nachtrag von mir
Im Moment "bastele" ich an der Version 1.01 - Dieter (Bangkok) hat mir gemailt, daß er, warum auch immer, mit der Darstellung Probleme hat.
Daher bin ich jetzt dabei, die Oberfläche zu ändern. Die eigentlichen Suchfunktionen werden nicht verändert.
Gebe hier Bescheid, wenn es so weit ist.
Perfekt wäre, wenn einige die jetzt auf meiner HP stehende Version runterladen und testen würden.
Vielleicht kommt noch einer mit dem Fehler, den Dieter monierte, an.

[AHT]

...ich bitte auch die Leute aus dem Malwarebereich einmal einen Blick darauf zu werfen. Ist das brauchbar? Was kann man verbesser? Hier nochmals der direkte Downloadlink.
Auf Anfrage gibt es von mir Links zu den Testdateien ModRenamer und EXE-Injector, mit denem man einiges simmulieren kann.

PS: Hier mal das, was der ProcessExplorer (nur ein Beispiel) bei einer Manipulation eines DLL-Pfades anzeigt (Pfad von USP.DLL wurde in notepad.exe auf WININET.DLL umgebogen)...

und hier das, was Path-Scout-2 meldet...


Path-Scout-2 überprüft hier aber nicht nur auf eine Art, ob dort Änderungen vorgenommen worden sind, sondern bedient sich hier mehrerer Überprüfungstechniken. Findet die erste nichts, macht PS2 mit der nächsten weiter. Das was hier angezeigt wird, ist sozusagen "Scanstufe 1".

[RGH]

Hallo AHT,

ich habe das Programm aufgerufen, gestartet .... und bekam bei den Anzeigen der Dateigrößen erst mal einen Schreck: Sie werden alle um den Faktor 1024 zu groß angezeigt:

PathScout 2 ist 1.129.929 Byte groß, was für ein XProfan-Programm mit etwas über einem Megabyte eine ganz normale Größe ist, aber im PathScout 2 wird die angegebene und reale Größe der Datei mit "1.129.929,00 kB" angezeigt, was über 1 Gigabyte wäre. Skype ist mit 22 MB schon eine sehr stattliche EXE, aber 22 Gigabyte für ein Programm, das wäre nun definitiv zu viel!

Gruß
Roland

[horsthorn]

@Roland
Da darfst du Andreas nicht für verantwortlich machen.
Der Fehler ist ein doofer Schreibfehler und liegt bei mir

Morgen im LAufe des Tages wird eine berichtigte und auch benutzerfreundlichere Version hoch geladen.
Die dann ungefähr so aussehen wird und an Stelle von Kb Byte stehen hat

Bis dahin Sorry

[AHT]

Hallo Roland...

Danke für deine Rückmeldung. We sieht es mit der Scanfunktion aus? Mal die zwei Programme für die RootKit-Simmulationen ausprobiert?

[RGH]

Zitat:

Zitat von AHT

Hallo Roland...

Danke für deine Rückmeldung. We sieht es mit der Scanfunktion aus? Mal die zwei Programme für die RootKit-Simmulationen ausprobiert?

Nein,
auf meinem Entwicklungsrechner vermeide ich derart systemnahe Spielerreihen, egal wie sicher sie sind oder vertrauenswürdig die Quelle.
Da momentan - wie viel zu oft - wegen des Hauptberufs meine Zeit etwas eingeschränkt ist, bleiben meine Test- und Spielrechner meist ausgeschaltet.
Ich glaube einfach mal, dass es funktioniert und lasse es laufen, um mich zu vergewissern, dass es nichts wirklich Kritisches auf meinem Rechner findet.

Gruß
Roland

[RGH]

Zitat:

Zitat von horsthorn

Morgen im LAufe des Tages wird eine berichtigte und auch benutzerfreundlichere Version hoch geladen.
Die dann ungefähr so aussehen wird und an Stelle von Kb Byte stehen hat

Sehr schön! Aber die Nachkommastellen (",00") bei den Bytes solltest Du dann auch weglassen. Es würde mich sehr wundern, wenn es Bruchteile von Bytes geben würde ...

Gruß
Roland

[horsthorn]

@Roland

Zitat:

Zitat von RGH

Sehr schön! Aber die Nachkommastellen (",00") bei den Bytes solltest Du dann auch weglassen. Es würde mich sehr wundern, wenn es Bruchteile von Bytes geben würde ...

Gruß
Roland

Irgendwann komme ich nach Nussloch und lade dich zu einem Frühschoppen bis in den späten Abend ein
Das ist dann meine Rache für deine ironischen Randbemerkungen
Allerdings hab ich mich schwarz geärgert über den mehrfachen Tippfehler im Code. - Danke für den Hinweis



@Für Alle
Die verbesserte und berichtigte Version von PATH_SCOUT-2 steht auf meiner Homepage zum Download bereit.
Meckern erwünscht - ich wachse am Gegner !

[Frabbing]

Zitat:

Meckern erwünscht - ich wachse am Gegner !

Ok, merk ich mir mal. Werd's heute abend testen.

[AHT]

Zitat:

Zitat von RGH

Nein,
auf meinem Entwicklungsrechner vermeide ich derart systemnahe Spielerreihen, egal wie sicher sie sind oder vertrauenswürdig die Quelle.

Das ist vernünftig. Im Prinzip wäre da aber ein älterer Zweitrechner nicht schlecht, mit dem man dann auch solche "Spielereien" (ich nenne sie selbst auf meiner Homepage so) mal testen könnte. Díese "Spielereien" demonstieren recht eindrucksvoll, mit welch simpelen Mitteln so ziemlich alle Sicherheitsprogramme über wirklich auf einem System ablaufende Vorgänge getäuscht und damit Trojaner sehr effektiv getarnt werden können.
Nur wenn du das gesehen hast, weßt du auch, wozu das Programm von Horst hier überhaupt gut ist und was es leistet.

PS: Als Funktionstest der Scanfunktion wäre es auch wichtig für uns zu wissen, ob irgendwelche Programme fäschlicherweise mit einem roten Warndreieck angemeckert werden.