Layerd Service Provider DLLs - versteckter Irrsinn

[p. specht]

Gerade hatte sich meine Aufregung über Microsofts versteckte Alternate Data Streams (X) im NTFS-Dateisystem halbwegs gelegt, da entdecke ich den nächsten Irrsinn:

Layered_Service_Provider (X) sind DLL, die sich in den TCP-Stack einhooken und diverse Dienste wie Abzweigen von Informationen und übersenden derselben an Dritt-URL übernehmen können.
Wird auch heftig benutzt: Von Spyware und Adware, siehe SecurityFocus.

Jetzt reichts mir bald wirklich: Ich steig um auf auf Linux. Man kann heute einfach niemandem mehr trauen - schon gar nicht Microsoft.

[markusg]

du kannst auf pfad 32 umformatieren dann hast du das problem der ads niht, die es übrigens auch in linux gibt.

[p. specht]

Gibt es Software, mit der ich sehe was sich da alles fremdes in den TCP-Stack eingehookt hat? Und mit dem ich das dann möglichst auch rauslöschen kann, ohne den Socket gleich komplett zu zerschießen? Vielleicht etwas, das neue Einhackversuche überwacht bzw. möglichst gleich blockiert?

[markusg]

sorry, ein direktes programm zum überwachen kenne ich nicht dieses hier kannst du mal probieren:
LSPFix 1 in Netzwerk - IT-Profi-Tools - Windows | Downloads | ZDNet.de - 96k -
aber eine av-software sollte keine Probleme haben diese dll's aufzuspüren.

[iF_]

Ich habe noch nie so recht verstehen können, warum man von einer ungesicherten Verbindung abverlangt, dass diese "sicher" ist.

So ein bisl als wenn ich auf die Strasse gehe und von meiner Umwelt abverlange, zu leugnen, mich gesehen zu haben.

*unverständlich*

[AHT]

Zitat:

Zitat von markusg

du kannst auf pfad 32 umformatieren dann hast du das problem der ads niht, die es übrigens auch in linux gibt.

FAT32 - machst du Witze? Vom Regen in die Traufe .

[markusg]

also ich hab noch pc's auf pfad 32 es funktioniert alles perfekt. es ging ja nur um die ads, die hat man verhindert damit. man kann auch ne andere formatierung wählen, ich glaub die funktionieren nur bei ntfs

[markusg]

ADS sollten auch von den meisten av-herstellern erkannt werden

[AHT]

Zitat:

Zitat von markusg

also ich hab noch pc's auf pfad 32 es funktioniert alles perfekt. es ging ja nur um die ads, die hat man verhindert damit. man kann auch ne andere formatierung wählen, ich glaub die funktionieren nur bei ntfs

Ich gehe mal davon aus, du meinst FAT32. Im Prinzip schaltest du dein NT-Sicherheitssystem damit aus.

[p. specht]

Und da geht es noch nicht mal um Layerd Service Provider DLLs, die gibts auch bereits in FAT32. War ja eine Winsock2.0-Neuerung. Erhebt sich die Frage: Was wurde uns bis dato noch alles von Microsoft namens Pentagon und NSA untergejubelt? (Aus einem Interview mit US-Verteidigungsminister Caspar Weinberger stammt der Satz "We protect you [gemeint: Microsoft], you protect the USA." Das US-Wirtschaftsspionagesystem Echelon allein bringt's jedenfalls nicht. Nennt es Verfolgungswahn, aber: Daß Kazaa ebenso wie ICQ von den Israelis stammt, ist ja inzwischen hinreichend bekannt (Kazza ist die Bezeichnung von Agentenführern im Mossad). Das Kasperky-Labs russisch sind, auch. Und der selbstlosen Stiftung, die angeblich hinter AVIRA steckt, trau ich auch nicht so ganz über den Weg - dann lieber gleich dem selbstlosen BND . Ok - Privatmeinung.

[AHT]

Zitat:

Zitat von p. specht

Daß Kazaa ebenso wie ICQ von den Israelis stammt, ist ja inzwischen hinreichend bekannt (Kazza ist die Bezeichnung von Agentenführern im Mossad). Das Kasperky-Labs russisch sind, auch.

Ist schon etwas übertrieben. Die Leute, die Ahnung von Systemprogrammierung haben, sitzen weder in Amerika noch in Deutschland, sondern oft in Russland - das ist zur Zeit so. Wenn ich für meine Zwecke nach Lösungen suche, haben diese Lösung meist intelligente Menschen aus Russland parat. In anderen Programmiersprachen beginnt sich das Blatt zur Zeit zu drehen und immer mehr Leute begreifen, das die Zeit von Windows98 schon lange abgelaufen ist - das geht aber nur sehr langsam von statten. Viele programmieren weiter wie unter Windows98 und wollen im Prinzip von anderen Sachen nichts wissen.

Zitat:

Zitat von p. specht

Und der selbstlosen Stiftung, die angeblich hinter AVIRA steckt, trau ich auch nicht so ganz über den Weg - dann lieber gleich dem selbstlosen BND .

Ich glaube nicht, das Avira absichtlich irgendetwas tut, was gegen die Sicherheit ist. Was unabsichtlich oder im Glauben es sei gut und richtig geschieht, ist was anderes. Auch AntiVir schleust ein unsichtbares Modul in den Kernel ein - das die da was ausspionieren, glaube ich aber eher nicht.

Zitat:

Zitat von p. specht

Erhebt sich die Frage: Was wurde uns bis dato noch alles von Microsoft namens Pentagon und NSA untergejubelt?

Ich glaube nicht, dass es um irgendwelches "Unterjubeln" geht. Aufgrund besserer Bedienbarkeit und Funktionsumfangs hat M$ meiner Ansicht nach sehr lange auf wirkungsvolle Sicherheitskonzepte verzichtet. Aufgrund dessen hat es in den letzten Jahren eine Virenschwemme gegeben, der eigentlich nicht mehr anders Herr zu werden ist, als dieses Konzept "Funktionsumfang vor Sicherheit" (mit XP als letztem dieser Reihe) komplett in die Tonne zu klopfen - das geschieht zur Zeit.

[p. specht]

Also wenn wer sieht, was da drin so alles abläuft, dann Du (dank deiner Neugier). Daß man einstens die Bezeichnung "NSA-Key" in gewissen Modulen gefunden hat, mag auch Zufall sein. Aber daß man sagen könnte, da passiert garnix, so blauäugig bin ich bestimmt nicht.

Was ist z.B. mit diesem eigenartigen svchost.dll. Kein Mensch weiß, welches Drittprogramm sich da der offenen Tore von Microsoft bedient...

[markusg]

ja und ich meine fat 32
naja wenn du microsoft nicht traust, dann verwende linux oder ein anderes bs

und in unabhängigen tests hat avira bewiesen, dass es eine gute software ist, ich möchte damit aber nicht bestreiten das das programm seine schwächen hat. kaspersky ist auch nicht zu verachten. und kazaa ist eine virenschleuder.

[Frabbing]

Zitat:

und kazaa ist eine virenschleuder.

Selbst schuld, wer Internet-Tauschbörsen benutzt.

[AHT]

Zitat:

Zitat von markusg

ja und ich meine fat 32.

Da in einer FAT32 Partition Dateien und Ordnern kein Security Descriptor zugeordnet ist, kann quasi jeder ohne irgendwelche Rechte mit deinen Daten tun, was er will - das ist dir doch klar, oder?

Zitat:

Zitat von markusg

...und in unabhängigen tests hat avira bewiesen, dass es eine gute software ist...

Auf jeden Fall - doch zum Scannen nach RootKits reicht AntiVir bei weitem nicht aus. AntiVir erkennt keine versteckten Module (was recht einfach zu realisieren wäre -> Erfahrungswert).
Hier ist zum Beispiel das versteckte Modul, das XPIA im Prozessspeicher erzeugt, damit man überhaupt ASM Code in Profan ausführen kann:

Antivir kümmert sich auch nicht um versteckte Treiber. Beides wird aber zur Zeit genutzt, um Viren auf einem Rechner recht wirkungsvoll zu tarnen (siehe ntos.exe, der Konten leerräumte -> versteckte Module in Taskmanager und smss.exe).
Im Prinzip sollte man für manche Sachen selbst was schreiben, das ist der sicherste Weg. Da manches nicht nur für Viren genutzt wird, werden "normale" RootKit Scanner viele Bereiche einfach auslassen und dort gar nicht scannen.