Malwaresuche Hilfedateien?

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • Erstes Update hochgeladen (Link ist im Startbeitrag):
      Im Crashkurs sind folgende Sachen hinzugekommen:
      • Der Wert "SCRNSAVE.EXE" unter "HKEY_CURRENT_USER\Control Panel\Desktop"
        • Der fehlte absolut noch, weil man zu Screensavern insgesamt noch Sachen wissen muss.
      • Der Wert "StubPath" in den Unterschlüsseln von "Active Setup\Installed Components"
        • Wer die REG-Datei ausführen möchte, um den Autostart zu testen, sollte sich unbedingt vorher die Hinweise durchlesen.
      • Weiterführende Links
        • In der Hilfedatei sind längst nicht alle Autostarts drin. An der Stelle gibt es unter anderem Links auf weitere Internetseiten, die im Bereich Autostarts Sachen gesammelt haben.
      Die Hilfedatei Scripte schreiben mit dem PPFScanner habe ich hinzugefügt.

      Eine Hilfedatei ist noch in Arbeit. Über Rückmeldungen zum Crashkurs würde ich mich sehr freuen.
      • Was fehlt noch an Erklärungen?
      • Korrekt und verständlich dargestellt?
      • Fehlen extrem wichtige Autostarts?
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

    • Hallo AHT,

      AHT schrieb:

      Eine Hilfedatei ist noch in Arbeit. Über Rückmeldungen zum Crashkurs würde ich mich sehr freuen.


      Was fehlt noch an Erklärungen?

      Korrekt und verständlich dargestellt?

      Fehlen extrem wichtige Autostarts?
      "Was ist Vakuum?
      - Ich habs im Kopf und komme nicht drauf"

      Für den virtuellen Speicher gibt es ein: :top:

      Bei Chip hatte ich da massig Probleme.
      Die Leute meinten dort es wäre die pagefile.sys. :-(

      Das Ganze ist verständlich dargestellt. :top:

      Ob alles korrekt ist kann ich nicht sagen, so kleine Fehler findet man immer. :pfeifend:
      -Gutenberg usw. ...

      Tschau
    • Oldi-40 schrieb:

      Ob alles korrekt ist kann ich nicht sagen, so kleine Fehler findet man immer.
      Auf jeden Fall. Sollte dir da was auffallen, gib Rückmeldung.
      Ganz korrekt ist manches sowieso nicht. Ich habe versucht, das so herunterzuschrauben, dass man das auch verstehen kann, ohne jahrelang im System herumprogrammiert zu haben. Es soll ein verständliches Bild von Sachen für Leute geben, die nicht aus dem Programmiersektor kommen.

      Bei vielen Sachen sind Beispiele für einen Autostarteintrag in Form einer REG-Datei oder in Form von Powershell Code mit dabei. Es wird auf jeden Fall sehr interessant, wenn man diese Testeinträge mal mit Analysetools austestet - aber bitte kein lauffähiges System damit zerschießen, was man noch braucht! Eventuell kommen dann manchmal Zweifel auf, ob man wirklich bei einer Analyse alles sieht...

      Mir ist aufgefallen, dass bei den Browsern noch was wichtiges fehlt. Bei Chrome fehlen die Suchmaschinen noch.
      Da kommt also noch was hinzu...
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Nochmals ein Update hochgeladen. In der Crashkurs Hilfedatei sind folgende Sachen hinzugekommen:
      • Suchanbieter in Chrome
        • Ganz grob angerissen, wo die (im Augenblick noch) problemlos auszulesen sind.
      • Eigene Forschungen im Bereich der Browser durchführen
        • Ich zeige da eine Möglichkeit auf, selbst im den Formaten SQL und JSON der Browserdatenbanken herumzustöbern und auch bei anderen Browsern darauf zu stoßen, wo da bestimmte Daten abgespeichert sind.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Beim Crashkurs fehlt jetzt noch einiges in Bezug auf die Erweiterungen der Explorer.exe. Vieles ist da schlecht dokumentiert - das wird etwas dauern, da ist aber was noch in Planung.
      Bislang enthalten ist da hier:
      Spoiler anzeigen


      Grundbegriffe zum Verständnis von Vorgängen in Windows Betriebssystemen
      • Der Begriff Prozess
      • Der Begriff Thread
      • Der Begriff API oder Application Programming Interface
      • Der Begriff Access Token
      • Der Begriff Zugriffsrechte
      • WOW64 - 32Bit Scanner unter 64Bit
      • Der Begriff Virtueller Speicher
      • Die Registryhives
      • Registrywerte und Registryschlüssel
      • Was ist ein Injektor?
      • Alternate Data Streams
      • Reparse Points oder Symbolische Verknüpfungen im NTFS-Dateisystem
      • Mandatory Integrity Level
      • Privilegien
      • Protected Process
      • Was ist eine DLL?
      • Was sind Resourcen?
      • Was sind Signaturen?
      Einfache Autostartschlüssel in der Registry zum Starten von Programmen
      • Der RunOnceEx Registryschlüssel
      • Die Run Autostartschlüssel
      • Der RunOnce Registryschlüssel
      • "DOS" Load und Run Werte
      • Run Schlüssel unter den Gruppenrichtlinien
      Spezielle Autostartschlüssel in der Registry zum Starten von Programmen
      • "Shell" Wert im Winlogon Schlüssel
      • "Userinit" Wert im Winlogon Schlüssel
      • Wert "Autorun" zum Starten von Anwendungen mit der Eingabeaufforderung
      • Der Wert "Debugger" unter "Image File Execution Options"
      • Der Wert "SCRNSAVE.EXE" unter "HKEY_CURRENT_USER\Control Panel\Desktop"
      • Der Wert "StubPath" in den Unterschlüsseln von "Active Setup\Installed Components"
      Dienste und Treiber
      • Was ist ein Dienst - was kennzeichnet Dienste?
      • Was ist ein Treiber?
      • Wie sehen Starteinträge für Dienste und Treiber aus?
      • SVCHOST - DLLs als Dienste in einem Prozess
      • SVCHOST - ein weiterer Schlüssel wird hier wichtig!
      • Einige kleine Anmerkungen
      • Werden die dort aufgeführten Treiber und Dienste im abgesicherten Modus gestarten?
      • Welche Rechte benötigt Malware für einen solchen Autostarteintrag?
      Der Tasks- oder Aufgabenplaner
      Autostarts zum Laden von DLLs
      • Der "AppInit_DLLs" Registrywert
      • Wert "Windows" im Schlüssel SubSystems
      • Der Registryschlüssel AppCertDLLs
      • LSA "... Packages" Registrywerte
      • Der Registryschlüssel ShellServiceObjectDelayLoad
      • Der Registryschlüssel SharedTaskScheduler
      • Der Registryschlüssel Telephony\Providers
      • Layered Service Provider - NameSpace_Catalog5
      • Layered Service Provider - Protocol_Catalog9
      • Der Wert VerifierDlls in den Unterschlüsseln von Image File Execution Options
      Die Autostartordner
      Rundll32.exe
      • Was tut die?
      • Probieren geht über Studieren
      Windowskomponenten zum Ausführen von Scripten
      • CMD.EXE zum Ausführen von Batch Dateien
      • WSCRIPT.EXE und CSCRIPT.EXE zum Ausführen von Javascript und Visual Basic Script Dateien
      • Powershell zum Ausführen von Powershell Scripten
      Native API Funktionen der NTDLL und deren Bedeutung bei der RootKitsuche
      • Die NTDLL.DLL - was tut die eigentlich?
      • NtQuerySystemInformation / ZwQuerySystemInformation
      • NtEnumerateValueKey / ZwEnumerateValueKey
      • NtEnumerateKey / ZwEnumerateKey
      • NtOpenKey / ZwOpenKey
      • NtCreateKey / ZwCreateKey
      • NtCreateFile / ZwCreateFile
      • NtOpenFile / ZwOpenFile
      • NtQueryDirectoryFile / ZwQueryDirectoryFile
      • NtQueryValueKey / ZwQueryValueKey
      Malwareaktionen ohne installierte Malware
      • NameServer und DhcpNameServer Einträge unter TcpIp
      • Proxyserver Einträge unter "Internet Settings"
      • Einträge unter dem Registryschlüssel "ManualProxies"
      Autostartllose und dateilose Malware über WMI
      • Ein weiteres Beispiel: Es geht auch ganz ohne Datei...
      DLL Hijacking - Malware ohne Starteintrag starten
      Internetbrowser
      • Firefox
        • "Datenbankformate", auf die wir hauptsächlich treffen werden
        • Wo fangen wir an??? Die Profilordner...
        • In FireFox geladene Addons
        • Über die Registry installierte FireFox-Addons
        • NPAPI Plugins
        • Installierte Suchanbieter und der als Standard eingestellte Suchanbieter
        • Cookies
        • Logindaten
        • Besuchte Webseiten
        • Weitere FireFox Einstellungsdateien: prefs.js und user.js
      • Edge
        • Edge Erweiterungen
        • Edge Einstellungen
      • Internet Explorer
        • IE Erweiterungen
          • Browser Helper Objekte
          • Explorer Leisten
          • Toolbars oder Symbolleisten
        • Einstellungen unter dem Schlüssel „Main“
        • Die Suchanbieter
      • Chrome
        • Die Profilordner von Chrome
        • In Chrome geladene Addons
        • Suchanbieter in Chrome
        • Logindaten von Chrome
      • Opera
        • Der Profilordner von Opera
        • In Opera geladene Addons
      • Eigene Forschungen im Bereich der Browser durchführen
      Weiterführende Links
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

    • Habe ein Update hochgeladen.
      • Die Hilfedatei Auswertung der Scanfiles.chm ist jetzt neu.
      • Den Crashkurs habe ich erweitert:
        • Das Thema Shell Extension Handler wurde hinzugefügt.
        • Das Thema Was sind Signaturen? wurde in Signaturen und Zertifikate umbenannt und stark erweitert.
      Der Downloadlink ist wieder im ersten Beitrag zu finden.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT