Beim Machen bin ich schon (wie gesagt, wie Nachtschicht gerade Pause). Es geht nur darum, ob und wie ich das veröffentliche.
Malwaresuche Hilfedateien?
-
-
-
Das stimmt absolut, sowas ist immer schwer abzuschätzen...
Jeder hier hat irgendwo eine Grenze und wenn diese überwunden wird, dann kommt es auf das eigene Gewissen an und auch darauf, ob man gewisse Konsequenzen in Kauf nimmt oder nicht.
@AHT
Ich würde schauen wen man vertrauen kann. Schicke den Leuten einfach eine PN mit den Infos. -
Da fehlen noch ein paar Sachen - so weit bin ich bislang:
Spoiler anzeigen
Grundbegriffe zum Verständnis von Vorgängen in Windows Betriebssystemen- Der Begriff Prozess
- Der Begriff Thread
- Der Begriff API oder Application Programming Interface
- Der Begriff Access Token
- Der Begriff Zugriffsrechte
- WOW64 - 32Bit Scanner unter 64Bit
- Der Begriff Virtueller Speicher
- Die Registryhives
- Registrywerte und Registryschlüssel
- Was ist ein Injektor?
- Alternate Data Streams
- Reparse Points oder Symbolische Verknüpfungen im NTFS-Dateisystem
- Mandatory Integrity Level
- Privilegien
- Protected Process
- Was ist eine DLL?
- Was sind Resourcen?
- Was sind Signaturen?
Einfache Autostartschlüssel in der Registry zum Starten von Programmen
- Der RunOnceEx Registryschlüssel
- Die Run Autostartschlüssel
- Der RunOnce Registryschlüssel
- "DOS" Load und Run Werte
- Run Schlüssel unter den Gruppenrichtlinien
Spezielle Autostartschlüssel in der Registry zum Starten von Programmen
- "Shell" Wert im Winlogon Schlüssel
- "Userinit" Wert im Winlogon Schlüssel
- Wert "Autorun" zum Starten von Anwendungen mit der Eingabeaufforderung
- Der Wert "Debugger" unter "Image File Execution Options"
Dienste und Treiber
- Was ist ein Dienst - was kennzeichnet Dienste?
- Was ist ein Treiber?
- Wie sehen Starteinträge für Dienste und Treiber aus?
- SVCHOST - DLLs als Dienste in einem Prozess
- SVCHOST - ein weiterer Schlüssel wird hier wichtig!
- Einige kleine Anmerkungen
- Werden die dort aufgeführten Treiber und Dienste im abgesicherten Modus gestarten?
- Welche Rechte benötigt Malware für einen solchen Autostarteintrag?
Der Tasks- oder Aufgabenplaner
Autostarts zum Laden von DLLs- Der "AppInit_DLLs" Registrywert
- Wert "Windows" im Schlüssel SubSystems
- Der Registryschlüssel AppCertDLLs
- LSA "... Packages" Registrywerte
- Der Registryschlüssel ShellServiceObjectDelayLoad
- Der Registryschlüssel SharedTaskScheduler
- Der Registryschlüssel Telephony\Providers
- Layered Service Provider - NameSpace_Catalog5
- Layered Service Provider - Protocol_Catalog9
- Der Wert VerifierDlls in den Unterschlüsseln von Image File Execution Options
Rundll32.exe
- Was tut die?
- Probieren geht über Studieren
Windowskomponenten zum Ausführen von Scripten
- CMD.EXE zum Ausführen von Batch Dateien
- WSCRIPT.EXE und CSCRIPT.EXE zum Ausführen von Javascript und Visual Basic Script Dateien
- Powershell zum Ausführen von Powershell Scripten
Native API Funktionen der NTDLL und deren Bedeutung bei der RootKitsuche
- Die NTDLL.DLL - was tut die eigentlich?
- NtQuerySystemInformation / ZwQuerySystemInformation
- NtEnumerateValueKey / ZwEnumerateValueKey
- NtEnumerateKey / ZwEnumerateKey
- NtOpenKey / ZwOpenKey
- NtCreateKey / ZwCreateKey
- NtCreateFile / ZwCreateFile
- NtOpenFile / ZwOpenFile
- NtQueryDirectoryFile / ZwQueryDirectoryFile
- NtQueryValueKey / ZwQueryValueKey
Malwareaktionen ohne installierte Malware
- NameServer und DhcpNameServer Einträge unter TcpIp
- Proxyserver Einträge unter "Internet Settings"
- Einträge unter dem Registryschlüssel "ManualProxies"
Autostartllose und dateilose Malware über WMI
DLL Hijacking - Malware ohne Starteintrag starten
Die Autostartordner, Prinzip der CLSIDs und die Browser fehlen noch - das dauert noch etwas, bis ich das veröffentlichen werde. -
Kann sich jemand was darunter vorstellen, was hier im Spoiler steht?
Müsste da noch was zwingend rein? -
Hallo AHT,
Kann sich jemand was darunter vorstellen, was hier im Spoiler steht?
Nix Neues für mich.
Müsste da noch was zwingend rein?
Nicht wirklich.
Aber Windows schützt sich ja auch selbst -ASLR und DEP-, das könnte man erwähnen.Ist aber nur mein wirrer Gedanke.
Tschau
-
Nix Neues für mich.
1. Schön. Bring mal Beispielcode in Powershell per PM für das hier,,...
Autostartllose und dateilose Malware über WM
...um damit die Funktionalität von Farbar zu Testen. Wie viele Möglichkeiten kennst du da, über die WMI was zu starten?
Welche Möglichkeiten, die Malware da hat, werden von Farbar genau gelistet?2. Wofür kann Malware Hooks auf diese API nutze:
ZitatNtQuerySystemInformation
3. Was sind Hooks? Wie funktionieren die?
4 Was ist besonders an 32Bit Prozessen, die unter 64Biit laufen? Was können die, was können die gar nicht, was können die unter bestimmten Bedingungen und wann?5. Kann WScript auch Dateien mit der Endung .ini oder .exe als Scripte ausführen? Wenn ja, wann und wie?
6. Es gibt da die Registryschlüssel RunOnce und RunOnceEx - sind beide gleich aufgebaut? Gibt es da Unterschiede?Um solche Sachen geht es da.
Sachen wie unter 1. braucht man, um Analysetools austesten zu können.
Sachen wie unter 2. braucht man, um LOGs von Rootkitscannern richtig verstehen zu können.
Sachen wie unter 3. braucht man, um verstehen zu können, warum und wann es dazu kommen kann, das Malware verhindert, das man sie findet.
Sachen wie unter 4. braucht man, um überhaupt zu Wissen, für was man 32Bit Programme unter 64Bit zum Auslesen von Infos gebrauchen kann - und was man eventuell tun muss, damit die verlässliche Daten liefern, wenn sie das könnten.
Sachen wie unter 5. braucht man, um überhaupt bestimmte Malware erkennen zu können.
... -
Hallo AHT,
viele Fragen auf einmal.
Was sind Hooks?
Ich komme aus der Borlandecke, da gab es seit Turbo Pascal für Windows 1.5 immer Demos wie man Hooks nutzt.
Tschau
-
Dann dürfte das wirklich alles nicht sehr neu sein - manchmal sogar etwas ungenauer, als du das kennst. Hauptsächlich für Nichtprogger geschrieben.
Ich komme aus der Borlandecke
Delphi? Da saßen mal die besten Progger überhaupt. Geniale Leute.viele Fragen auf einmal.
Ein ganz kleiner Auszug von dem, um was es da geht. Ich muss auch des Öfteren mal was nachschlagen.
-
Hallo AHT,
Delphi? Da saßen mal die besten Progger überhaupt. Geniale Leute.
meinste Anders Hejlsberg?
Tschau
-
Ich weiß nicht mehr, wie die alle hießen - ist zu lange her. Die waren damals an sehr vielen Systemsachen dran und für alles interessiert.
Der eine war an den Hooksachen dran, ein anderer kümmerte sich gerade um Debuggingsachen und native APIs.
Mit solchen Leuten macht proggen richtig Spaß.
In anderen Programmierforen war dagegen tote Hose.
Das waren alles Leute aus Deutschland. Tolle Progger! -
Hallo AHT,
dann kam das Chaos.
Früher gab es alles in Büchern.
Ich habe hier ca. 10m Dokumente von Windwos und den APIs.
- Alles wertlos.Mein Junior ist Physiker und träumt vom 100GHz Prozessor, weil die Transistoren 0,8THz erreicht haben.
Sein Fachgebiet sind aber die OLEDS, soweit zu Träumen.
Tschau
-
Nein, dann kam 64Bit...
-
Hallo AHT,
Nein, dann kam 64Bit...
Bitburger gibt es immer noch a 20 Flaschen pro Kiste.
Das Chaos begann mit 32Bit.
https://www.zdnet.de/2131612/micros…aos-aufraeumen/Tschau
-
Aber Windows schützt sich ja auch selbst -ASLR und DEP-, das könnte man erwähnen.
Ist bei der Malwaresuche eher nicht so wichtig - sind aber auch sehr interessante Themen.
Ist ja unter anderem (zusammen mit der UAC und anderen Sachen) ein Grund dafür, dass sich die Arbeitsweisen von Malware stark gewandelt haben und das System eigentlich fast kaum noch komplett unterwandert wird, weil das gar nicht mehr so einfach und umfangreich machbar ist.
Mit dem richtigen Konzept ist das vielleicht aber auch gar nicht nötig, das komplett zu unterwandern. -
Autorun.inf müsste noch mit rein.
Mit den Browsern wird das etwas aufwendig - hab da erst einen halbwegs vorbereitet.
Wenn ich das hin bekomme, sollen die großen vier rein.Interessieren tut es mich grundsätzlich schon. Ich habe jedoch Zweifel, ob ich es verstehen werde. Aber schauen wir mal.
Es geht an manchen Ecken zusätzlich um Programmierung - also um Codes, wie bestimmte DLLs für bestimmte Bereiche genau geschrieben werden müssen, damit Leute, die in dem Bereich der Antimalwaretools proggen, Testdateien erstellen können. Da sind an zwei Stellen auch Codes mit dabei. Das kannst du definitiv nicht verstehen, ohne irgendeine Programmiersprache wirklich zu können..
Verstehst du von dem Rest irgendetwas nicht, habe ich was komplett falsch gemacht.
-
Da sind an zwei Stellen auch Codes mit dabei. Das kannst du definitiv nicht verstehen, ohne irgendeine Programmiersprache wirklich zu können..
Bin dann mal gespannt, ob ich das in der kurzen Zeit gebacken kriege.
-
Definitiv nicht. Da steht in der Datei aber nur an zwei Stellen so etwas. Leute, die DLLs proggen können, bekommen dann noch etwas mehr Durchblick durch die Sache. Das dürfte aber auch ohne Verständnis der Codes verständlich sein, was da steht.
-
Also ohne jetzt auf weitere Details eingehen zu wollen, finde ich Deine Idee, sich an ein derartiges Projekt zu wagen, großartig. Aber ich befürchte auch, das nur die wenigsten und wenn dann wohl eher nur ein bestimmter Teil von Nutzern, also eher solche, die sich in derartigen Forenbereichen herumtreiben, sich dann für dieses Werk interessieren werden.
Wenn schon Fragen wie: „als was bist du denn angemeldet; Admin, Benutzer?“ mit einem Namen beantwortet werden, lässt dies das Desinteresse an der eigentlichen Funktionsweisen eines Systems und die Aussage: „dafür gibt es doch Programme“ an einer Eigeninitiative zur Problemlösung zweifeln.Zu Deiner Liste: wenn mit: „Privilegien“ auch die Benutzerrechte gemeint sind, find ich diese hoch interessant, auch wenn ich nicht wirklich bei allen Punkten auf dem Laufenden bin. Für meine bisherige Analyse und Fehlerbeseitigung von Systemen hat es aber bisher immer gereicht.
Und so wie es bisher aufgebaut ist, ist es auch durchaus für Einsteiger, die selbst mit den Grundlagen einer Fehler oder Malwaresuche nicht vertraut sind und dafür Interesse zeigen, ein sehr gutdurchdachter Ansatz. Es geht fast bei „NULL“ los und deckt eigentlich jeden Bereich ab, der als Angriffsmöglichkeit ausgenutzt werden kann. Das sich Spitzbuben und Spitzdamen ebenfalls dafür interessieren werden, wird nicht ausbleiben. Aber auch bei den „Großen“ wird ja immer erst einmal in den Vordergrund gestellt, das dies zum Wohle der Nutzer geschieht, wenn man Sicherheitslücken veröffentlicht.
Ich persönlich würde mir das EBook oder die Hilfe-Datei natürlich zulegen, da es ein derartig geballtes Wissen kaum in einem zentralen Projekt vereint gibt und man sich Stunden der Suche ersparen kann.Erweitert:
Auch für Leute die sich zukünftig mit Proggen beschäftigen wollen, währ dies eine lohnenswerte Lektüre! Hook's, Runtime, Dll's... -
Mit Privilegien meine ich das hier:
- https://msdn.microsoft.com/de-de/library/…6(v=vs.85).aspx
- https://docs.microsoft.com/de-de/windows/…ilege-constants
Ich persönlich würde mir das EBook oder die Hilfe-Datei natürlich zulegen, da es ein derartig geballtes Wissen kaum in einem zentralen Projekt vereint gibt und man sich Stunden der Suche ersparen kann.
Das erspart wirklich einiges an Suchen und auch des jahrelangen Nachlesens von anderen Sachen (deswegen mache ich das), wenn ich das vernünftig hin bekomme. Um überhaupt manche Sachen nur ansatzweise zu verstehen, die irgendwo auf irgendeiner Microsoft Seite im Netz stehen, ist in der Regel bei solchen Systemsachen ein recht großes Maß an Fachwissen nötig. Das ist meiner Ansicht nach auch der Grund, warum manche Sachen bei den Onlineanalysen schief laufen.
Es soll dabei aber vor allen Dingen ein Einstieg für Nichtprogrammierer in diese Systemsachen sein. Auch bei den Privilegien ist das so - man muss quasi verstehen und wissen, was das ist - ein Privileg (und wozu man das bei der Malwareanalyse braucht).
Zum Nachdenken und Ausprobieren sollte das (wenn es geht) auch anregen. Mir ist aufgefallen, dass die Funktionalität von Analysetools gar nicht ausreichend getestet wird. -
Jetzt merke ich erst, was von meinen Internen Beiträgen alles durch Umstellungen im Forum "zerschossen" worden ist .
Es wird auf jeden Fall besser sein, sich die Hilfedatei zu ziehen, als sich die internen Beiträge wirklich reinzuziehen.
Zum Glück bin ich jetzt angefangen, das auf diese Art zu machen.
In etwa einer Woche (vielleicht etwas länger) rechne ich damit, dass ich die erste Version des Crashkurses hier online Stellen kann. Die anderen Dateien folgen dann später im gleichen Link. Muss im Augenblick gleichzeitig noch einiges für meine Arbeitsstelle tun - da verzögert sich deshalb leider was.Die dickste Arbeit kommt noch bei den Browsern, au man...
Ich will hoffen, dass das wirklich irgendeinem außer mir was bringt.
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!