Ich denke, wie diese RootKit Technik funktuioniert, ist klar.
Gibt es bislang Tools, die das scannen können - oder wird es Zeit, das mal jemand was schreibt?
Direct Code Injektion
-
-
-
:lupe: Ja, scheint zu klappen...
Ähm - Jac? Testest du mal was für mich unter Vista64 Bit??? -
Mmmmh, lecker...
Man kommt sogar an die Adresse des so injizierten Codes und kann sich den Opcode auslesen, der da injiziert wurde. Das macht Spaß, geht einfach und schnell - und ist, glaube ich, ganz sinnvoll.
Das mache ich jetzt mal an nächstes. -
Zitat
...und kann sich den Opcode auslesen, der da injiziert wurde.
Der anstelle des Jumps gestanden hatte?
-
Zitat von Frabbing;711228
Der anstelle des Jumps gestanden hatte?
Die Technik dort funktioniert etwas anders. Ich meine den Code, der injiziert wurde - quasi den Malwarecode, der ausgeführt wird. -
Hi Andreas.
Es steht da "Öffne Prozess XY mit ...-Rechten..." und nach einigen Sekunden beendet es sich. Keine Ahnung ob das nun gut oder schlecht ist.
-
Aha, und die andere Demo scheint zu funktionieren. So wie ich das verstanden habe.^^
-
Ich schicke dir gleich einen Downloadlink per PM und sage dir, was du genau testen sollst (benötige einen Screenshot). Es geht um das Scannen solcher Sachen - also zu bestimmen, ob so ein RootKit auf einem System läuft.
-
Grunbdgerüst ist fertig, RootKit wird erkannt. Bislang bei mir ansonsten kein Fehlscann - läuft bislang ganz gut. :lupe:
-
Kleiner Screenshot von der Entwicklung... :cool:
[Blockierte Grafik: http://img523.imageshack.us/img523/8135/55509329.th.jpg] -
Unter 2000 und XP kann es scheinbar zu Fehlscans kommen - da muss ich mir noch was einfallen lassen...
Wer hätte Lust das Ding zu testen, wenn es fertig ist? -
Weißt du ja.
-
...ich würde mir den gefundenen Code von den Opcode-Zahlen ganz gerne in den entsprechenden Textausdruck umwandeln lassen. ibt es irgendwo eine möglichst komplette Liste mit den Opcodes?
-
Natürlich. Hier ein genialer Link: http://www.masm32.com/board/index.ph…opic=63.0;id=58
-
Besten Dank!
[Blockierte Grafik: http://img200.imageshack.us/img200/3180/12314785.th.jpg]
Das hier ist auch noch hilfreich:
Opcode Aufbau -
:lach: Etwas ausführlichere Version :lach:
-
Schade, bis XP funktioniert das Scannen auf diese Art nicht hundertprozentig - bei Systemprozessen kann es zu Fehlscans kommen.
http://www.postimage.org/image.php?v=Pq1UAEiA
Bei erneutem Scannen verschwinden die Fehlmeldungen dann aber wieder. -
Ist das nicht zu unsicher für eine Sicherheitssoftware?
-
Zitat von Frabbing;712504
Ist das nicht zu unsicher für eine Sicherheitssoftware?
Unter Vista klappt die Sache hundertprozentig - ob man damit unter XP etwas anfangen kann, kann ich erst sagen, wenn ich auf den ersten Virus stoße. Ich denke, erkennen werde ich den trotzdem. -
Laienmeinung: Könnte mir vorstellen, daß die Ursache für "Fehlscans" der Umstand ist, daß du da etwas "lebendes", das sich ständig ändert, ansehen willst...
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!