Direct Code Injektion - Paules-PC-Forum.de

**AHT** · 22.06.2009, 00:37

Ich denke, wie diese RootKit Technik funktuioniert, ist klar.
Gibt es bislang Tools, die das scannen können - oder wird es Zeit, das mal jemand was schreibt?

**AHT** · 22.06.2009, 01:07

Ja, scheint zu klappen...

Ähm - Jac? Testest du mal was für mich unter Vista64 Bit???

**AHT** · 22.06.2009, 17:14

Mmmmh, lecker...
Man kommt sogar an die Adresse des so injizierten Codes und kann sich den Opcode auslesen, der da injiziert wurde. Das macht Spaß, geht einfach und schnell - und ist, glaube ich, ganz sinnvoll.
Das mache ich jetzt mal an nächstes.

**Frabbing** · 22.06.2009, 17:47

Zitat:

...und kann sich den Opcode auslesen, der da injiziert wurde.

Der anstelle des Jumps gestanden hatte?

**AHT** · 22.06.2009, 18:06

Zitat:

Zitat von Frabbing

Der anstelle des Jumps gestanden hatte?

Die Technik dort funktioniert etwas anders. Ich meine den Code, der injiziert wurde - quasi den Malwarecode, der ausgeführt wird.

**Jac de Lad** · 22.06.2009, 18:28

Hi Andreas.

Es steht da "Öffne Prozess XY mit ...-Rechten..." und nach einigen Sekunden beendet es sich. Keine Ahnung ob das nun gut oder schlecht ist.

**Jac de Lad** · 22.06.2009, 18:29

Aha, und die andere Demo scheint zu funktionieren. So wie ich das verstanden habe.^^

**AHT** · 22.06.2009, 18:35

Ich schicke dir gleich einen Downloadlink per PM und sage dir, was du genau testen sollst (benötige einen Screenshot). Es geht um das Scannen solcher Sachen - also zu bestimmen, ob so ein RootKit auf einem System läuft.

**AHT** · 23.06.2009, 18:35

Grunbdgerüst ist fertig, RootKit wird erkannt. Bislang bei mir ansonsten kein Fehlscann - läuft bislang ganz gut.

**AHT** · 25.06.2009, 17:52

Kleiner Screenshot von der Entwicklung...

**AHT** · 26.06.2009, 20:09

Unter 2000 und XP kann es scheinbar zu Fehlscans kommen - da muss ich mir noch was einfallen lassen...

Wer hätte Lust das Ding zu testen, wenn es fertig ist?

**Frabbing** · 26.06.2009, 21:12

Weißt du ja.

**AHT** · 26.06.2009, 21:56

...ich würde mir den gefundenen Code von den Opcode-Zahlen ganz gerne in den entsprechenden Textausdruck umwandeln lassen. ibt es irgendwo eine möglichst komplette Liste mit den Opcodes?

**Frabbing** · 26.06.2009, 23:57

Natürlich. Hier ein genialer Link: http://www.masm32.com/board/index.ph...pic=63.0;id=58

**AHT** · 27.06.2009, 09:10

Besten Dank!

Das hier ist auch noch hilfreich:
Opcode Aufbau

22.06.2009, 00:37	#1 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Direct Code Injektion Ich denke, wie diese RootKit Technik funktuioniert, ist klar. Gibt es bislang Tools, die das scannen können - oder wird es Zeit, das mal jemand was schreibt? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

22.06.2009, 01:07	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Ja, scheint zu klappen... Ähm - Jac? Testest du mal was für mich unter Vista64 Bit??? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

22.06.2009, 17:14	#3 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Mmmmh, lecker... Man kommt sogar an die Adresse des so injizierten Codes und kann sich den Opcode auslesen, der da injiziert wurde. Das macht Spaß, geht einfach und schnell - und ist, glaube ich, ganz sinnvoll. Das mache ich jetzt mal an nächstes. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

22.06.2009, 18:28	#6 (Direktlink)
Jac de Lad Super-Moderator Registriert seit: 06.02.2009 Ort: Coswig Alter: 27 Beiträge: 1.159	Hi Andreas. Es steht da "Öffne Prozess XY mit ...-Rechten..." und nach einigen Sekunden beendet es sich. Keine Ahnung ob das nun gut oder schlecht ist. __________________ XProfan-Profi (XProfan X2+XPIA) http://jacdelad.bplaced.net http://jacdelad.square7.ch

22.06.2009, 18:29	#7 (Direktlink)
Jac de Lad Super-Moderator Registriert seit: 06.02.2009 Ort: Coswig Alter: 27 Beiträge: 1.159	Aha, und die andere Demo scheint zu funktionieren. So wie ich das verstanden habe.^^ __________________ XProfan-Profi (XProfan X2+XPIA) http://jacdelad.bplaced.net http://jacdelad.square7.ch

22.06.2009, 18:35	#8 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Ich schicke dir gleich einen Downloadlink per PM und sage dir, was du genau testen sollst (benötige einen Screenshot). Es geht um das Scannen solcher Sachen - also zu bestimmen, ob so ein RootKit auf einem System läuft. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

23.06.2009, 18:35	#9 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Grunbdgerüst ist fertig, RootKit wird erkannt. Bislang bei mir ansonsten kein Fehlscann - läuft bislang ganz gut. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

25.06.2009, 17:52	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Kleiner Screenshot von der Entwicklung... __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

26.06.2009, 20:09	#11 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Unter 2000 und XP kann es scheinbar zu Fehlscans kommen - da muss ich mir noch was einfallen lassen... Wer hätte Lust das Ding zu testen, wenn es fertig ist? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

26.06.2009, 21:12	#12 (Direktlink)
Frabbing Super-Moderator Registriert seit: 05.02.2009 Ort: Westliches NRW Alter: 44 Beiträge: 5.094	Weißt du ja. __________________ Gruß, Frank Webpage http://frabbing.bplaced.net mit Freeware - Tools, Spiele und Grafiken.

26.06.2009, 21:56	#13 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	...ich würde mir den gefundenen Code von den Opcode-Zahlen ganz gerne in den entsprechenden Textausdruck umwandeln lassen. ibt es irgendwo eine möglichst komplette Liste mit den Opcodes? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

26.06.2009, 23:57	#14 (Direktlink)
Frabbing Super-Moderator Registriert seit: 05.02.2009 Ort: Westliches NRW Alter: 44 Beiträge: 5.094	Natürlich. Hier ein genialer Link: http://www.masm32.com/board/index.ph...pic=63.0;id=58 __________________ Gruß, Frank Webpage http://frabbing.bplaced.net mit Freeware - Tools, Spiele und Grafiken.

27.06.2009, 09:10	#15 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Besten Dank! Das hier ist auch noch hilfreich: Opcode Aufbau __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (27.06.2009 um 09:30 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Direct X 10 - XP ?	Frag1	Windows XP	2	24.07.2008 17:24
Direct x 10 für XP?	metal4w	Windows XP	7	20.06.2007 10:07
Direct X 9.0c	Teufels Nachbar	Software - Allgemein	10	25.11.2006 23:03
Direct X	Chrissi	Windows XP	1	31.08.2006 13:26
direct X	JoBu740	Windows XP	1	12.09.2005 18:15