Neue Antwort erstellen

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

Neu erstellte Beiträge unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

Informationen
Frage Bitte beantworten Sie die untenstehende Frage bzw. lösen Sie die untenstehende Aufgabe.
Nachricht
Internet-Adressen werden automatisch erkannt und umgewandelt.
Smiley-Code wird in Ihrer Nachricht automatisch als Smiley-Grafik dargestellt.
Sie können BBCodes zur Formatierung Ihrer Nachricht nutzen.

Vorherige Beiträge 72

  • Hab noch einmal beim Crashkurs eine Kleinigkeit hinzugefügt und ein Update hochgeladen.
    Beim Thema WOW64 - 32Bit Scanner unter 64Bit habe ich unten noch einmal zusammengefasst, was bei 32Bit Analyseprogrammen unter 64Bit schief laufen könnte.
  • Noch einmal ein kleines Update für den Crashkurs hochgeladen:
    • Der Artikel Registryhives wurde ergänzt. Ich bin da noch einmal kurz auf den Schlüssel HKEY_CLASSES_ROOT eingegangen. Da dorthin viele CLSID Verknüpfungen laufen, ist wichtig zu wissen, woraus der besteht.
  • Beim Crashkurs fehlt jetzt noch einiges in Bezug auf die Erweiterungen der Explorer.exe. Vieles ist da schlecht dokumentiert - das wird etwas dauern, da ist aber was noch in Planung.
    Bislang enthalten ist da hier:
    Spoiler anzeigen


    Grundbegriffe zum Verständnis von Vorgängen in Windows Betriebssystemen
    • Der Begriff Prozess
    • Der Begriff Thread
    • Der Begriff API oder Application Programming Interface
    • Der Begriff Access Token
    • Der Begriff Zugriffsrechte
    • WOW64 - 32Bit Scanner unter 64Bit
    • Der Begriff Virtueller Speicher
    • Die Registryhives
    • Registrywerte und Registryschlüssel
    • Was ist ein Injektor?
    • Alternate Data Streams
    • Reparse Points oder Symbolische Verknüpfungen im NTFS-Dateisystem
    • Mandatory Integrity Level
    • Privilegien
    • Protected Process
    • Was ist eine DLL?
    • Was sind Resourcen?
    • Was sind Signaturen?
    Einfache Autostartschlüssel in der Registry zum Starten von Programmen
    • Der RunOnceEx Registryschlüssel
    • Die Run Autostartschlüssel
    • Der RunOnce Registryschlüssel
    • "DOS" Load und Run Werte
    • Run Schlüssel unter den Gruppenrichtlinien
    Spezielle Autostartschlüssel in der Registry zum Starten von Programmen
    • "Shell" Wert im Winlogon Schlüssel
    • "Userinit" Wert im Winlogon Schlüssel
    • Wert "Autorun" zum Starten von Anwendungen mit der Eingabeaufforderung
    • Der Wert "Debugger" unter "Image File Execution Options"
    • Der Wert "SCRNSAVE.EXE" unter "HKEY_CURRENT_USER\Control Panel\Desktop"
    • Der Wert "StubPath" in den Unterschlüsseln von "Active Setup\Installed Components"
    Dienste und Treiber
    • Was ist ein Dienst - was kennzeichnet Dienste?
    • Was ist ein Treiber?
    • Wie sehen Starteinträge für Dienste und Treiber aus?
    • SVCHOST - DLLs als Dienste in einem Prozess
    • SVCHOST - ein weiterer Schlüssel wird hier wichtig!
    • Einige kleine Anmerkungen
    • Werden die dort aufgeführten Treiber und Dienste im abgesicherten Modus gestarten?
    • Welche Rechte benötigt Malware für einen solchen Autostarteintrag?
    Der Tasks- oder Aufgabenplaner
    Autostarts zum Laden von DLLs
    • Der "AppInit_DLLs" Registrywert
    • Wert "Windows" im Schlüssel SubSystems
    • Der Registryschlüssel AppCertDLLs
    • LSA "... Packages" Registrywerte
    • Der Registryschlüssel ShellServiceObjectDelayLoad
    • Der Registryschlüssel SharedTaskScheduler
    • Der Registryschlüssel Telephony\Providers
    • Layered Service Provider - NameSpace_Catalog5
    • Layered Service Provider - Protocol_Catalog9
    • Der Wert VerifierDlls in den Unterschlüsseln von Image File Execution Options
    Die Autostartordner
    Rundll32.exe
    • Was tut die?
    • Probieren geht über Studieren
    Windowskomponenten zum Ausführen von Scripten
    • CMD.EXE zum Ausführen von Batch Dateien
    • WSCRIPT.EXE und CSCRIPT.EXE zum Ausführen von Javascript und Visual Basic Script Dateien
    • Powershell zum Ausführen von Powershell Scripten
    Native API Funktionen der NTDLL und deren Bedeutung bei der RootKitsuche
    • Die NTDLL.DLL - was tut die eigentlich?
    • NtQuerySystemInformation / ZwQuerySystemInformation
    • NtEnumerateValueKey / ZwEnumerateValueKey
    • NtEnumerateKey / ZwEnumerateKey
    • NtOpenKey / ZwOpenKey
    • NtCreateKey / ZwCreateKey
    • NtCreateFile / ZwCreateFile
    • NtOpenFile / ZwOpenFile
    • NtQueryDirectoryFile / ZwQueryDirectoryFile
    • NtQueryValueKey / ZwQueryValueKey
    Malwareaktionen ohne installierte Malware
    • NameServer und DhcpNameServer Einträge unter TcpIp
    • Proxyserver Einträge unter "Internet Settings"
    • Einträge unter dem Registryschlüssel "ManualProxies"
    Autostartllose und dateilose Malware über WMI
    • Ein weiteres Beispiel: Es geht auch ganz ohne Datei...
    DLL Hijacking - Malware ohne Starteintrag starten
    Internetbrowser
    • Firefox
      • "Datenbankformate", auf die wir hauptsächlich treffen werden
      • Wo fangen wir an??? Die Profilordner...
      • In FireFox geladene Addons
      • Über die Registry installierte FireFox-Addons
      • NPAPI Plugins
      • Installierte Suchanbieter und der als Standard eingestellte Suchanbieter
      • Cookies
      • Logindaten
      • Besuchte Webseiten
      • Weitere FireFox Einstellungsdateien: prefs.js und user.js
    • Edge
      • Edge Erweiterungen
      • Edge Einstellungen
    • Internet Explorer
      • IE Erweiterungen
        • Browser Helper Objekte
        • Explorer Leisten
        • Toolbars oder Symbolleisten
      • Einstellungen unter dem Schlüssel „Main“
      • Die Suchanbieter
    • Chrome
      • Die Profilordner von Chrome
      • In Chrome geladene Addons
      • Suchanbieter in Chrome
      • Logindaten von Chrome
    • Opera
      • Der Profilordner von Opera
      • In Opera geladene Addons
    • Eigene Forschungen im Bereich der Browser durchführen
    Weiterführende Links
  • Nochmals ein Update hochgeladen. In der Crashkurs Hilfedatei sind folgende Sachen hinzugekommen:
    • Suchanbieter in Chrome
      • Ganz grob angerissen, wo die (im Augenblick noch) problemlos auszulesen sind.
    • Eigene Forschungen im Bereich der Browser durchführen
      • Ich zeige da eine Möglichkeit auf, selbst im den Formaten SQL und JSON der Browserdatenbanken herumzustöbern und auch bei anderen Browsern darauf zu stoßen, wo da bestimmte Daten abgespeichert sind.
  • Oldi-40 schrieb:

    Ob alles korrekt ist kann ich nicht sagen, so kleine Fehler findet man immer.
    Auf jeden Fall. Sollte dir da was auffallen, gib Rückmeldung.
    Ganz korrekt ist manches sowieso nicht. Ich habe versucht, das so herunterzuschrauben, dass man das auch verstehen kann, ohne jahrelang im System herumprogrammiert zu haben. Es soll ein verständliches Bild von Sachen für Leute geben, die nicht aus dem Programmiersektor kommen.

    Bei vielen Sachen sind Beispiele für einen Autostarteintrag in Form einer REG-Datei oder in Form von Powershell Code mit dabei. Es wird auf jeden Fall sehr interessant, wenn man diese Testeinträge mal mit Analysetools austestet - aber bitte kein lauffähiges System damit zerschießen, was man noch braucht! Eventuell kommen dann manchmal Zweifel auf, ob man wirklich bei einer Analyse alles sieht...

    Mir ist aufgefallen, dass bei den Browsern noch was wichtiges fehlt. Bei Chrome fehlen die Suchmaschinen noch.
    Da kommt also noch was hinzu...