Ich sitze zur Zeit an einem Versuch dran, quasi ein erweitertes RegOpenKeyEx zu erstellen, mit dem man zumindestens auch Leserechte auf Registryschlüssel erhält, bei denen die Zugriffsrechte das verbieten - ohne dabei die Rechte ändern zu müssen.
Ich brauche so etwas für den Antimalwarebereich, um bestimmte RootKits auszuhebeln.
Wenn das klappt, besteht Interesse an einer PCU für die Geschichte für XProfan?
Sollte man solche Sachen überhaupt veröffentlichen?
Registry: Lesen ohne Rechte
-
-
-
Unbedingt! Alles was Remote-Ferkeleien eindämmt oder verhindert, ist gut!
Die dunkle Seite der Macht fragt uns erst garnicht... -
Hört sich auf jeden Fall sehr Interessant an.Ich verstehe dich richtig ,dass du versuchst eine neue Funktion zu schreiben um die IAT Hooks,oder allgemein Hooks auf RegOpenKeyEx zu umgehen?Wäre Interessant zu sehen wie sich die Zugriffe auf die Registry ohne WinApi regeln lassen.
-
Nein - das hab ich schon. Nutze ich schon etwas länger.
Es geht um die Zugriffsrechte auf Schlüssel. Nicht alles lässt sich mit Adminrechten lesen. -
Scheint zu klappen. Sollte man so was veröffentlichen oder sollte man das lieber sein lassen?
PS: Code wird es von mir dazu sowieso nicht geben. Wenn dann als PCU.
Ich bin mir im Augenblick sogar ziemlich sicher, dass man auch schreiben könnte - nicht nur lesen. Müsste ich aber noch ausprobieren. -
Dann hat M$ es aber wieder mal gründlich verbockt...
-
Nein, ist absichtlich was offen gelassen worden. Das nutze ich da.
-
Du: OK.
Darth (In-)Vader: Nein danke! -
Wie gesagt, ich möchte mal eine Meinung von jemandem, der versteht was ich da mache, ob man das veröffentlichen sollte oder nicht.
-
Das du den Code nicht veröffentlichen wirst ist klar,dass wäre ja en offenes Türchen.Aber könntest du wenigstens erläutern wie die Rootkits da vorgehen? Nur aus Neugier,man lernt ja nie aus.
-
Sie verbieten Schreib und Leserechte auf ihren Starteintrag - meist an einer ganz bestimmten Stelle. Bei einem Scan mit OTL zum Beispiel sieht man dann den Starteintrag nicht.
-
Nun gut soweit hatte ich auch schon gedacht.Meine Frage war aber eher auf die Mechanismen bezogen. Darf man eigentlich Fragen ,woher du dein Wissen beziehst?
-
Zitat von AHT;971684
Wie gesagt, ich möchte mal eine Meinung von jemandem, der versteht was ich da mache, ob man das veröffentlichen sollte oder nicht.
Ob ich was davon verstehe oder nicht, sei mal dahin gestellt. Ich denke eher, weniger. Aber ich denke, es reicht, daß man hier weiß, daß Du sowas hast. Wer's wirklich braucht, kann sich dann an Dich wenden. Da kommt dann keiner in Versuchung, mal zu sagen: "Cool, jetzt kann ich endlich machen, was ich eigentlich nicht darf."
Nicht, daß ich hier einem der "Stammrunde" was unterstellen will, aber hier kann jeder mitlesen.Gruß Volkmar
-
Die Mechanismen (RootKit):
In der Regel werden aus dem Security Descriptor eines Registryschlüssel bis auf die Rechte für den lokalen System-Account System allen Accounts die Lese- und Schreibrechte entzogen. Vererbung wird für den Schlüssel abgeblockt. Aktuell gibt es da zwei Stellen im System, wo das sehr effektiv ist und zur Zeit von Rootkits auch durchgeführt wird (hab in der letzten Zeit hier einige davon gehabt). Welche Stellen das sind, möchte ich hier ebenfalls nicht sagen.
Möglich wäre auch das Setzen von Verboten - das habe ich aber in freier Wildbahn noch nicht gesehen. Erlaubnisse zu entziehen, ist da auch effektiver und einfacher. -
Kleines Beispiel was geht:
Versucht man Regedit als Adminitrator folgenden Schlüssel auftzurufen (Vista) HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
geht das natürlich nicht.
Folgendes XProfan Proc:Code$U RegEx.PCU = RegistryEx. RegistryEx.InitRegEx(1) RegistryEx.KeysToList("HKEY_2", "SAM\SAM\Domains\Account\Users\Names") RegistryEx.InitRegEx(0) EditBox("Keys in HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names", 1)
Listet bei mir folgende Unterschlüssel des Keys:Zitat
Administrator
Andreas Hötker
Eingeschränkt
Gast
W7FirewallControl -
Zitat von Volkmar;971699
Da kommt dann keiner in Versuchung, mal zu sagen: "Cool, jetzt kann ich endlich machen, was ich eigentlich nicht darf."
Die Befürchtung habe ich irgendwie auch. Um das anzuwenden braucht man aber was - das hat man in der Regel nicht als Gast oder normaler Benutzer.
Wie gesagt, das Besondere an der Sache ist, dass man die Zugriffsrechte auf Schlüssel gar nicht ändern muss, wenn die Zugriffsrechte einem den Zugriff nicht erlauben. Man erhält den Zugriff (und ein Handle auf den Schlüssel) trotzdem. Ist ideal für Scanvorgänge. -
Sachen so auszulesen scheint für den Antimalwarebereich weit interessanter zu sein, als ich erst gedacht habe. Mal schauen, was man damit zaubern kann...
-
Nicht breittreten bitte, die Black Community stellt sich bliztartig auf neue Schweinereien um...
-
Wie es da abgeht, weiß ich ja. Das die sich großartig um mich kümmern, glaube ich deshalb nicht.
Mir ist es viel wichtiger, andere Leute, die in dem Bereich Interesse haben etwas zu schreiben, auf eigene Ideen zu bringen. Je mehr Sachen unterwegs sind, umso schwerer haben es diese Leute, sich auf alle Sachen einzustellen oder diese zu kennen - und umso einfacher ist es, Sachen zu finden, die eigentlich nicht gefunden werden sollen.
im Juni 2012 habe ich wieder gemerkt, dass Leute die Malware schreiben andere, die sich im Internet kostenlos mit Malwareerkennung beschäftigen, scheinbar für komplette Vollidioten halten.
Bekommt man mehr Leute mit etwas Ahnung und Durchblick im Bereich Programmierung in den Bereich Malwarerkennung, gräbt man diesen Leuten schnell das Wasser ab. Das ist meine Ansicht der Sache. -
...desweiteren wäre es nicht schlecht, Leute, die sich mit Malwareerkennung beschäftigen, generell etwas Ahnung von Programmierung zu verschaffen. Gerade dafür wäre unsere Sprache ja gar nicht schlecht....
In dem Bereich wissen scheinbar viele Leute gar nicht, wie die Tools intern eigentlich funktionieren, die sie nutzen. Wer nicht weiß, wie etwas funktioniert, das er nutzt, kann nicht beurteilen, wie er es in bestimmten Fällen einsetzen muss und unter welchen Voraussetzungen es nicht mehr so funktioniert, wie man es vielleicht erwartet.
Programmiert man selbst, sieht man das - denn wenn man sich mit Systemprogrammierung beschäftigt, stößt man laufend auf diese Probleme und muss sich darauf einstellen. -
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!