Direct Code Injektion

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • p. specht;712598 schrieb:

      Laienmeinung: Könnte mir vorstellen, daß die Ursache für "Fehlscans" der Umstand ist, daß du da etwas "lebendes", das sich ständig ändert, ansehen willst...

      Nein. Windows trickst da bis Vista (ab Viste nicht mehr) irgendwie rum. Ab Vista funktioniert die Sache.
      Das, was ich ansehe, ist normalerweise fix.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Ich hätte hier noch ein paar Hinweise an Andre Roland bezüglich seiner Überwachungsanwendung hier:

      Hallo Andre...
      Im Testprogramm für den Injektor wird das wohl zu Überwachung genutzte Prozesshandle auf prozess2.exe in Muttertier.exe nicht wieder geschlossen.
      Desweiteren muss auch das Handle auf den Thread wieder geschlossen werden, das Muttertier.exe offen hat, wenn es nicht mehr benötigt wird - siehe hier, damit kannst du testen.
      Bei jedem Versuch, prozess2.exe zu beenden, öffnen sich also in der Demo im Prozess Muttertier.exe zwei neue Handles (Speicherleck).

      Zu deiner angestrebten Diskussion möchte ich auch ganz gerne einen Beitrag leisten:
      Die Technik, die du dort nutzt, wird in ähnlicher Form auch von Viren verwendet - im Augenblick nutzen die aber eher DLLs als reinen Opcode, denn das lässt sich leichter erstellen und man benötigt keine ASM Kenntnisse. Lass es also am besten sein, solche Techniken in irgendeinem Anwenderforum zu erklären; die Wahrscheinlichkeit, dass damit Missbrauch getrieben wird, liegt bei 100%.
      Ich halte es nicht für verwerflich, solche Techniken (wie in deinem Fall) für Sicherheitsprogramme einzusetzen - ich habe mit ähnlichen Sachen vor ein paar Jahren auch schon herumexperimentiert. :-)
      Es fragt sich aber, in welche Prozesse man das in einer zu veröffentlichen Anwendung injizieren kann, damit eine Überwachung wirklich gewährleistet ist und das Programm beim Systemstart durch irgendeinen Zufall (oder zu wenig Rechte) doch nicht ausgeführt wird?
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Da man eigentlich nicht erkennen kann, was da für ein Gefahrenpotential schlummert, gehe doch jetzt mal etwas oberflächlich auf die Technik ein:

      Bei der "Direct Code Injection" wird Opcode im virtuellen Speicherbereich einer fremden Anwendung untergegracht und nachher diese fremde Anwendung dazu veranlasst, diesen injizierten Programmcode in einem eigenen Thread auszuführen.
      Diese Injektion und das Starten des Codes wird von einem auf dem jeweiligen Betriebssystem kurzzeitig gestarteten Programm durchgeführt - der eigentlich (Malware?-)Code läuft aber in der fremden Anwendung.
      Es wäre so zum Beispiel möglich, den Internetbrowser dazu zu veranlassen, Daten ins Internet zu senden und so munter an der Software-Firewall vorbeizutelefonieren. :-(
      Das fremder Code im Internetbrowser untergebracht wurde, würde gar nicht auffalen, denn dieser Code taucht nicht als geladene DLL auf.

      Sollte jemand denken, normale RootKit-Scanner wie Gmer, der RottkitRevealer oder RootKit-Scanner von AntiVir würden da helfen, muss ich den leider enttäuschen - denn die Dinger kümmern sich zur Zeit beim besten Willen nicht um solche Sachen.
      Wer jetzt glaubt, Viren verwenden solche Techniken nicht, dem muss ich jetzt leider das Gegenteil sagen - habe schon mal einen gekillt, der eine ähnliche Technik nutzte.
      Wer jetzt glaubt, er könne zumindestens den Injektor durch einfaches Untersuchen der Registry finden, dem muss ich leider sagen: Falsch gedacht, wohl nicht in jedem Fall!
      Wer jetzt denkt, er sei ab Vista vor solchen Techniken sicher, dem muss ich leider mitteilen: Für solche Techniken benötigt man Rechte, die über der UAC liegen, gar nicht!
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Hallo Andreas,

      habe dein Tool mal ausprobiert. Als ich es zum ersten Mal getestet habe lief der Rechner schon den ganzen Tag und ich hatte 3 rote Dreiecke. Die habe ich dann beendet. Es waren ein Nero-Programm, mein Desktopkalender und VSmon von Zonealarm. Nach einem Neustart habe ich sofort nochmals getestet und alle roten Dreiecke waren verschwunden, was kann das heißen. Die Dateien wurden demnach erst nach einer gewissen Laufzeit injektziert,
      VSMon (Zonealarm) ist jetzt wieder rot nachdem ich im Internet bin und den Browser gestartet habe, scheint damit zusammen zu hängen.
      Achso Windows XP sp3
      Er ist ein Mann wie ein Baum. Sie nennen ihn Bonsai.
      dieterzornow.gmxhome.de
    • Frabbing;713108 schrieb:

      Ich hab nur graue und grüne Dreiecke nach dem Scannen, das interpretiere ich mal als gut. :-D
      Du solltest in der Hilfe auch die grünen Dreiecke kurz erwähnen, hab nur was von orange und grau gelesen.


      Hört sich sehr gut an! Keine blauen Dreiecke in irgendeinem Thread?
      Rot und orange wären schlecht...
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Bangkok;713111 schrieb:

      Hallo Andreas,

      habe dein Tool mal ausprobiert. Als ich es zum ersten Mal getestet habe lief der Rechner schon den ganzen Tag und ich hatte 3 rote Dreiecke. Die habe ich dann beendet. Es waren ein Nero-Programm, mein Desktopkalender und VSmon von Zonealarm. Nach einem Neustart habe ich sofort nochmals getestet und alle roten Dreiecke waren verschwunden, was kann das heißen. Die Dateien wurden danach erst nach einer gewissen Laufzeit injektziert,
      VSMon (Zonealarm) ist jetzt wieder rot nachdem ich im Internet bin und den Browser gestartet habe, scheint damit zusammen zu hängen.
      Achso Windows XP sp3

      Unter XP sind Fehlscans möglich, wenn der Rechner länger läuft. Für XP also erst rebooten und sofort danach neu scannen, wenn rote Dreiecke gefunden wurden. Werden die roten Dreiecke nach dem Reboot erneut angezeigt, hat man mit großer Sicherheit Probleme...
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Ich verstehe nicht ganz, warum da kein blauer Bildschirm kommt: Normalerweise wacht doch Windows wie ein Schießhund darüber, daß Programme nicht ausserhalb ihres eigenen Speicherbereichs irgendwas tun können?

      8O Bedeutet das, daß sich künftig Programme auch im laufenden Betrieb regelmäßig auf Prüfsummen-OK testen müssen? Was, wenn da DLL-Module dazugeladen werden? Müssen die sich dann mit Führerschein ausweisen?
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • p. specht;713118 schrieb:

      Ich verstehe nicht ganz, warum da kein blauer Bildschirm kommt: Normalerweise wacht doch Windows wie ein Schießhund darüber, daß Programme nicht ausserhalb ihres eigenen Speicherbereichs irgendwas tun können?

      Da denkst du komplett falsch.

      p. specht;713118 schrieb:


      8O Bedeutet das, daß sich künftig Programme auch im laufenden Betrieb regelmäßig auf Prüfsummen-OK testen müssen?

      Deine "Prüfsumme" nutzt dir da gar nichts.

      p. specht;713118 schrieb:


      Was, wenn da DLL-Module dazugeladen werden?

      Das geschieht meist bei System oder Programmstart.
      Wie gesagt - die Viren sind zur Zeit so weit, dass sie diese DLLs unsichtbar laden - sie werden also beim Listen über zum Beispiel die Toolhelp Funktionen gar nicht als geladene DLL aufgeführt. Du hast also mit normalen Mitteln gar keine große Chance zu erkennen, was da vor sich geht. Der Vorteil ist, dass diese Sachen eben unsichtbar sind, und was unsichtbar ist, kann man oft mit Zaubertricks sichtbar und erkennbar machen.
      Schaust du ab und zu mal ab und zu auf meiner HP vorbei??? :-)

      p. specht;713118 schrieb:


      Müssen die sich dann mit Führerschein ausweisen?

      Soweit ich weiß nicht.

      Interesse, als Tester mitzuwirken?
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT