Layerd Service Provider DLLs - versteckter Irrsinn

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • Layerd Service Provider DLLs - versteckter Irrsinn

      Gerade hatte sich meine Aufregung über Microsofts versteckte Alternate Data Streams (X) im NTFS-Dateisystem halbwegs gelegt, da entdecke ich den nächsten Irrsinn:

      Layered_Service_Provider (X) sind DLL, die sich in den TCP-Stack einhooken und diverse Dienste wie Abzweigen von Informationen und übersenden derselben an Dritt-URL übernehmen können.
      Wird auch heftig benutzt: Von Spyware und Adware, siehe SecurityFocus.

      Jetzt reichts mir bald wirklich: Ich steig um auf auf Linux. Man kann heute einfach niemandem mehr trauen - schon gar nicht Microsoft.
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • Gibt es Software, mit der ich sehe was sich da alles fremdes in den TCP-Stack eingehookt hat? Und mit dem ich das dann möglichst auch rauslöschen kann, ohne den Socket gleich komplett zu zerschießen? Vielleicht etwas, das neue Einhackversuche überwacht bzw. möglichst gleich blockiert?
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • markusg;701135 schrieb:

      also ich hab noch pc's auf pfad 32 es funktioniert alles perfekt. es ging ja nur um die ads, die hat man verhindert damit. man kann auch ne andere formatierung wählen, ich glaub die funktionieren nur bei ntfs

      Ich gehe mal davon aus, du meinst FAT32. Im Prinzip schaltest du dein NT-Sicherheitssystem damit aus. :-D
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Und da geht es noch nicht mal um Layerd Service Provider DLLs, die gibts auch bereits in FAT32. War ja eine Winsock2.0-Neuerung. Erhebt sich die Frage: Was wurde uns bis dato noch alles von Microsoft namens Pentagon und NSA untergejubelt? (Aus einem Interview mit US-Verteidigungsminister Caspar Weinberger stammt der Satz "We protect you [gemeint: Microsoft], you protect the USA." Das US-Wirtschaftsspionagesystem Echelon allein bringt's jedenfalls nicht. Nennt es Verfolgungswahn, aber: Daß Kazaa ebenso wie ICQ von den Israelis stammt, ist ja inzwischen hinreichend bekannt (Kazza ist die Bezeichnung von Agentenführern im Mossad). Das Kasperky-Labs russisch sind, auch. Und der selbstlosen Stiftung, die angeblich hinter AVIRA steckt, trau ich auch nicht so ganz über den Weg - dann lieber gleich dem selbstlosen BND ;-). Ok - Privatmeinung.
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • p. specht;701157 schrieb:

      Daß Kazaa ebenso wie ICQ von den Israelis stammt, ist ja inzwischen hinreichend bekannt (Kazza ist die Bezeichnung von Agentenführern im Mossad). Das Kasperky-Labs russisch sind, auch.

      Ist schon etwas übertrieben. Die Leute, die Ahnung von Systemprogrammierung haben, sitzen weder in Amerika noch in Deutschland, sondern oft in Russland - das ist zur Zeit so. Wenn ich für meine Zwecke nach Lösungen suche, haben diese Lösung meist intelligente Menschen aus Russland parat. In anderen Programmiersprachen beginnt sich das Blatt zur Zeit zu drehen und immer mehr Leute begreifen, das die Zeit von Windows98 schon lange abgelaufen ist - das geht aber nur sehr langsam von statten. Viele programmieren weiter wie unter Windows98 und wollen im Prinzip von anderen Sachen nichts wissen.

      p. specht;701157 schrieb:


      Und der selbstlosen Stiftung, die angeblich hinter AVIRA steckt, trau ich auch nicht so ganz über den Weg - dann lieber gleich dem selbstlosen BND ;-).

      Ich glaube nicht, das Avira absichtlich irgendetwas tut, was gegen die Sicherheit ist. Was unabsichtlich oder im Glauben es sei gut und richtig geschieht, ist was anderes. Auch AntiVir schleust ein unsichtbares Modul in den Kernel ein - das die da was ausspionieren, glaube ich aber eher nicht. :-)

      p. specht;701157 schrieb:


      Erhebt sich die Frage: Was wurde uns bis dato noch alles von Microsoft namens Pentagon und NSA untergejubelt?

      Ich glaube nicht, dass es um irgendwelches "Unterjubeln" geht. Aufgrund besserer Bedienbarkeit und Funktionsumfangs hat M$ meiner Ansicht nach sehr lange auf wirkungsvolle Sicherheitskonzepte verzichtet. Aufgrund dessen hat es in den letzten Jahren eine Virenschwemme gegeben, der eigentlich nicht mehr anders Herr zu werden ist, als dieses Konzept "Funktionsumfang vor Sicherheit" (mit XP als letztem dieser Reihe) komplett in die Tonne zu klopfen - das geschieht zur Zeit.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Also wenn wer sieht, was da drin so alles abläuft, dann Du (dank deiner Neugier). Daß man einstens die Bezeichnung "NSA-Key" in gewissen Modulen gefunden hat, mag auch Zufall sein. Aber daß man sagen könnte, da passiert garnix, so blauäugig bin ich bestimmt nicht.

      Was ist z.B. mit diesem eigenartigen svchost.dll. Kein Mensch weiß, welches Drittprogramm sich da der offenen Tore von Microsoft bedient...
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • ja und ich meine fat 32
      naja wenn du microsoft nicht traust, dann verwende linux oder ein anderes bs :-)

      und in unabhängigen tests hat avira bewiesen, dass es eine gute software ist, ich möchte damit aber nicht bestreiten das das programm seine schwächen hat. kaspersky ist auch nicht zu verachten. und kazaa ist eine virenschleuder.
    • markusg;701200 schrieb:

      ja und ich meine fat 32.

      Da in einer FAT32 Partition Dateien und Ordnern kein Security Descriptor zugeordnet ist, kann quasi jeder ohne irgendwelche Rechte mit deinen Daten tun, was er will - das ist dir doch klar, oder? :lol:

      markusg;701200 schrieb:


      ...und in unabhängigen tests hat avira bewiesen, dass es eine gute software ist...

      Auf jeden Fall - doch zum Scannen nach RootKits reicht AntiVir bei weitem nicht aus. AntiVir erkennt keine versteckten Module (was recht einfach zu realisieren wäre -> Erfahrungswert).
      Hier ist zum Beispiel das versteckte Modul, das XPIA im Prozessspeicher erzeugt, damit man überhaupt ASM Code in Profan ausführen kann:
      [IMG:http://www.postimage.org/Pq1AqV1r.jpg]
      Antivir kümmert sich auch nicht um versteckte Treiber. Beides wird aber zur Zeit genutzt, um Viren auf einem Rechner recht wirkungsvoll zu tarnen (siehe ntos.exe, der Konten leerräumte -> versteckte Module in Taskmanager und smss.exe).
      Im Prinzip sollte man für manche Sachen selbst was schreiben, das ist der sicherste Weg. Da manches nicht nur für Viren genutzt wird, werden "normale" RootKit Scanner viele Bereiche einfach auslassen und dort gar nicht scannen.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Hi,
      seit version 7 erkennt avira bereits rootkits.
      bei 7 und 8 muss man die rootkitsuche selbst aktiviren, bei version neun ist sie schon aktivirt. Muss dir aber recht geben, daran muss noch gearbeitet werden.
      wegen dem umformatieren es ging mir oben um die ADS
    • markusg;701387 schrieb:

      Hi,
      seit version 7 erkennt avira bereits rootkits.
      bei 7 und 8 muss man die rootkitsuche selbst aktiviren, bei version neun ist sie schon aktivirt. Muss dir aber recht geben, daran muss noch gearbeitet werden.

      Dort wo AntiVir nach RootKits scannt, scannt er ganz gut. In manchen Bereichen scannt er aber gar nicht - und das sollte man wissen.

      markusg;701387 schrieb:


      wegen dem umformatieren es ging mir oben um die ADS

      Wer deswegen auf FAT32 umformatiert, kommt vom Regen in die Traufe, denn der entledigt sich seiner Sicherheit.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • markusg;701452 schrieb:

      also ich hab noch systeme auf fat32 und noch nie einen virus /trojaner.

      Du hast zu wenig Ahnung, um das zu verstehen. Du kannst mir da aber schon glauben. ;-)

      markusg;701452 schrieb:


      außerdem ist es bei Rootkits sowieso überlegenswert, den rechner mit einer bootfähigen cd zu scannen.

      Aua... Wie willst du etwas mit einer bootfähigen CD scannen, das als Virus noch gar nicht bekannt ist? :lol:
      NTOS.EXE hatte ich bereits am Tag der Infizierung vom Rechner meines Sohnes gefegt, AntiVir hat ihn erst zwei Wochen später erkannt. :-)
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT