Angekommen !
Trickserei: Programmpfad ermitteln
-
-
-
Zitat von horsthorn;699133
Angekommen !
Ich will hoffen, du kannst was mit der Sache anfangen. Es gibt Weltweit scheinbar nur eine handvoll Leute, die überhaupt mal was in der Richtung programmiert haben. Ich kann mir nicht vorstellen, dass es überhaupt eine Anwendung gibt, die auf diese Art und Weise den Prozesspfad ermittelt.
Mir hat's auf jeden Fall schon eine ganze Menge gebracht - hab als Abfallprodukt hier mehrere Möglichkeiten erhalten, wie man aus dem Handle einer beliebigen Datei den Dateinamen ermitteln kann - egal, in welchem Prozess sich das Handle befindet. :lupe: -
Zitat
Andreas
Vielleicht ist ja bei mir "Ladehemmung", aber was will das Tool eigentlich ???
Da werden alle aktiven Prozesse aufgelistet, aber ich sehe keinen Sinn darin.
Auch die Angabe "Prozesspfad speziell" ist die gleiche wie "Prozesspfad normal"
Siehe Sceenshot...
Um eine einfache Erklärung bittet
Ich stell das mal hier rein - ist ja keine dumme Frage.
Im Prinzip wollte ich mit dem ganzen Thread hier und diesem Programm hier auf eine Kleinigkeit Aufmerksam machen:
Es ist jedem Programm ohne irgendwelche Rechte möglich, dem User vorzugaukeln, es wäre ein ganz anderes Programm. Das ist eine ganz nette Sache für Viren, um sich zu maskieren: Der User denkt laut Taskmanager, ein Systemprogramm läuft - in Wirklichkeit steckt dahinter aber Malware. Dass das ganz einfach ist, sieht man daran, dass ich das mit meinem doch eher beschränkten Programmierwissen problemlos hinbekomme.
Es scheint kein Programm zu geben, was dem User anzeigt, wenn der Pfad zum Programm nicht der Pfad ist, aus dem das Proggie wirklich gestartet wurde, das möchte ich gerne ändern.
So einfach genug? -
Zitat
Es scheint kein Programm zu geben, was dem User anzeigt, wenn der Pfad zum Programm nicht der Pfad ist, aus dem das Proggie wirklich gestartet wurde, das möchte ich gerne ändern.
Ja, gute Erklärung. Solltest du so für dein Programm übernehmen.
-
Zitat von Frabbing;699464
Ja, gute Erklärung. Solltest du so für dein Programm übernehmen.
Das wird Horsts Programm werden, nicht meins. -
Auch gut, dann eben für Horsts Anleitung.
-
Ich glaube, da gibt es eine Sicherheitslücke unter Vista, die solch ein Tool für dieses OS unter Umständen sehr interessant werden lässt - ich schau mal, ob diese Sicherheitslücke in der Art besteht, wie ich das vermute 8O.
Edit: Ist, zum Glück, mit einer EXE nicht so einfach. M$ scheint das Problem da bei der Entwicklung erkannt zu haben und regelt das mit VirtualStore dementsprechend. :lupe: -
Hallo Horst...
Entwickelt sich gut, die Sache. Wir sollte vielleicht öfters mal was zusammen machen .
-
Es geht scheinbar mit dem Pfadscanner langsam in die Endrunde.
Horst: Wenn du möchtest, kannst du die hier als Aufhänger gepostete EXE deinem Proggie als Testprogramm beifügen.
-
Hab gerade den Testdownload für die Maskierung um eine weitere Datei erweitert (eine "rundll32.exe"). Die rundll32 läuft normalerweise im Account des eingeloggten Users, das würde noch weniger Verdacht erwecken.
Das ganze ist außerdem nun (bezüglich der Dateibeschreibung) auf den Taskmanager von Vista angespasst. Auch wenn es vielleicht so aussieht, beide Dateien kopieren sich nicht ins Windowsverzeichnis und überschreiben auch keine Systemdateien. Ist als eine kleine "Demonstration" gedacht, um die Gefahr zu verdeutlichen, die da besteht. -
Hier noch einmal ein Screenshot des Process Explorers.
Die Datei zum markierten Prozess mit der PID 4604 befindet sich eigentlich in C:\Eigenes\Falscher Prozesspfad und nicht in C:\Windows\System32.
Alle Daten (Hersteller, Beschreibung der Datei, Icon, Versionsnummer,..) holt sich der Prozess Explorer (wie jedes andere Tool auch) aus
C:\Windows\System32\rundll32.exe und nicht aus der eigentlich gestarteten Datei C:\Eigenes\Falscher Prozesspfad\rundll32.exe.
Gefährliche Sache...
[Blockierte Grafik: http://www.postimage.org/Pq29V0Zr.jpg] -
Sowas kann ich gerade gut gebrauchen !! Erstaunlich die Qualität der Beiträge hier.
-
Zitat von Unregistriert;702693
Sowas kann ich gerade gut gebrauchen !!
So wie es aussieht, steht die Beta in den nächsten Tagen wohl hier im Forum zum Download. Freu mich schon drauf. -
Und 1000 Scriptkiddies auch... Bitte Hinweise einbauen, wie man das Zeug los wird, ohne die falschen Dinge rauszulöschen!
-
Zitat von p. specht;702774
Und 1000 Scriptkiddies auch... Bitte Hinweise einbauen, wie man das Zeug los wird, ohne die falschen Dinge rauszulöschen!
Das Ding wird so ziemlich Idiotensicher sein - Horst hat sich da was zusätzliches einfallen lassen.
Wer Angst vor dem Tool hat, darf den Taskmanager von Windows auch nicht bedienen.
Insgesammt gilt: Umbennenen geht bei Verdacht immer vor löschen - .exe zum Beispiel in .ex_ . -
Hier ein Screenschot von einem MAL-Programm. Es stellt das Demo von Andreas Hötker als ausführenden Dienst dar
[Blockierte Grafik: http://www.postimage.org/aV20VfMS.jpg]
...und hier das gleiche Tool im von Andreas Hötker und meiner Wenigkeit entwickelten SCAN_SCOUT:
[Blockierte Grafik: http://www.postimage.org/aV20VEJi.jpg]
Da beide Kriterien nicht übereinstimmen - Pfad und Dateigröße - wird das Programm als verdächtig angezeigt
-
Eine erste BETA-Version von PATH-SCOUT kann jetzt hier von meiner HP runtergeladen weren:
Im Download-Paket (ca. 1 MB) ist auch das Demo-Tool von Andreas Hötker (SYCHOS.EXE)
Damit kann auf einem "sauberen System" (Glückwunsch) MALWARE-Befall simuliert werden !PS: Nur so am Rande: Meine HP hat auch ein Gästebuch
-
Hallo!
Sehr schön! Aber trotzdem möchte ich ein paar winzige Kritikpunkte anmerken:
Ich denke, es wäre besser, wenn die Pfade in Originalschreibweise wiedergegeben würden und nicht umgewandelt in Großbuchstaben. Ich verwende gerne gemischte Groß/Kleinschreibung, um sie Namen lesbarer zu gestalten, etwa "BilderApril2009". Durch die Umformung in Großbuchstaben wird die Leserlichkeit vermindert.
Ein zweites ist die verwandte Schrift: Ein schlichtes, sachliches, nicht fettes Arial (auf vielleicht etwas hellerem Hintergrund) fände ich für die Prozessliste besser lesbar. Aber das ist möglicherweise Geschmacksache.
Und dann sollte man vielleicht ein nicht in der Größe vergrößerbares Fenster verwenden. Derzeit kann man es am Rahmen noch groß- und kleinziehen, obwohl der Inhalt sich nicht anpasst. (Es gibt sicher einen passenden Windowstyle.)Gruß
Roland -
roland
Zuerst einmal Danke für deine BewertungZitatIch denke, es wäre besser, wenn die Pfade in Originalschreibweise wiedergegeben würden und nicht umgewandelt in Großbuchstaben.
Hier musste eine einheitliche Schreibeise genommen werden, da sich die EXE-Dateien leider einmal gemischt, gross oder klein schreiben in den beiden Pfaden schreiben. Dadurch ist eine Kontrolle der verschiedenen Pfade mit der Originalschreibweise nicht möglich.
So sähe es aus, wenn mit der Originalschrift getestet wird. Das Programm würde FEhler erkennen, wo keine sind !
[Blockierte Grafik: http://www.postimage.org/PqjusGA.jpg]ZitatEin zweites ist die verwandte Schrift:
Das kommt in der nächsten Version auch noch. Im Moment ist es eine BETA-Version, welche eine Mindestauflösung von 1024 x 768 Pixel verlangt. Die kommende Version soll aber eine Möglichkeit haben, bis runter zu 800 x 600 Pixel anzuzeigen. Dann ist das mit der fetten SChrift sowieso "gegessen"
ZitatUnd dann sollte man vielleicht ein nicht in der Größe vergrößerbares Fenster verwenden.
Fehler von mir. Wird geändert
Danke für den Hinweis ! -
Zitat von horsthorn;703587
Hier musste eine einheitliche Schreibeise genommen werden, da sich die EXE-Dateien leider einmal gemischt, gross oder klein schreiben in den beiden Pfaden schreiben. Dadurch ist eine Kontrolle der verschiedenen Pfade mit der Originalschreibweise nicht möglich.Das leuchtet mir nicht so ganz ein.
Was Du vergleichst und was Du ins Listview schreibst kann doch verschieden sein. Du musst doch nur für den Vergleich eine einheitliche Schreibweise haben. -
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!