Registrierung Gästebuch Kalender Mitgliederliste Teammitglieder Häufig gestellte Fragen Suche Zur Startseite
HackBox Forum
Forum Linkliste Online Spiele Datenbank Forum Foto Galerie Chat Portalansicht des Forum

HackBox Forum » Computer & Co » Betriebssysteme » Trojaner unsichtbar » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | Thema zu Favoriten hinzufügen
Seiten (2): « vorherige 1 [2] Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Trojaner unsichtbar 4 Bewertungen - Durchschnitt: 8,504 Bewertungen - Durchschnitt: 8,504 Bewertungen - Durchschnitt: 8,504 Bewertungen - Durchschnitt: 8,50
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Tommy1000 Tommy1000 ist männlich
Routinier



[meine Galerie]


Dabei seit: 14.05.2007
Beiträge: 400
Herkunft: Erfurt

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

aber wenn sie den RAM prüfen sind wir arm drann (aber lieber arm drann als bein ab LOL)

__________________
?- god(X).
X = green.
10.08.2007 21:03 Tommy1000 ist offline E-Mail an Tommy1000 senden Beiträge von Tommy1000 suchen Nehmen Sie Tommy1000 in Ihre Freundesliste auf Fügen Sie Tommy1000 in Ihre Kontaktliste ein
Schatten Schatten ist männlich
Routinier


images/avatars/avatar-45.jpg
[meine Galerie]


Dabei seit: 24.07.2007
Beiträge: 356
Herkunft: Hessen

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

wenn....wenn das av gleich bei installation dein ganzes system platt macht dann haste eh keine sicherheitsprobleme mehr....dann kannst du deine freizeit auch endlich mit sinnvollen dingen verbringen...baumhaus bauen, rad fahren, inliner/skateboard fahren, mit freunden treffen...

__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
11.08.2007 01:13 Schatten ist offline E-Mail an Schatten senden Beiträge von Schatten suchen Nehmen Sie Schatten in Ihre Freundesliste auf
DarkSquirrel DarkSquirrel ist männlich
Kaiser


images/avatars/avatar-54.jpg
[meine Galerie]


Dabei seit: 02.07.2007
Beiträge: 1.102
Herkunft: ausm Ruhrpott

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

ein vierenscanner der nach jedem speicher schreibzugriff die geschriebenen daten auswerten will ... na hut ab für diese idee ... achwas ... kopf ab!


was glaubst du wieviele zugriffe er da denn prüfen muss? ... jeden schreibvorgang von der cpu in richtung ram (die daten landen bevor sie in den RAM kommen zwar noch im cache, aber das verkompilziert die situation nur unerheblich) ... es gibt auch noch sogenannte DMA zugriffe, die im normalfall (jaja, da gibts ausnahmen) von der CPU in auftrag gegeben werden und dann einiges an daten in den ram schaufeln ... die melden sich erst zurück wenn alle daten geschrieben sind... willst du daraufhin alle via DMA übertragenen daten auswerten? ... wer sagt dir das nur das laden einer datei von einem massenspeicher oder netzwerk interface das speicherabbild einer binary verändern können? ... was wenn die GPU den DMA angeordnet hat? (CPU wird weder über start noch über ende informiert, gedacht ist das für das schnelle übertragen von relevanten daten vom RAM zur grafik karte ... wer sagt das das nicht auch in anderer richtung funktioniert, wenn ich einfluss auf den programmablauf der GPU habe?) ... alles so lustige problemchen die man lösen muss wenn man den raminhalt auf malware überwachen will ...

problemchen interessieren aber nur am rande ... das große problem ist an dieser stelle dass eine solche prüfung sooft ausgelöst werden müsste, dass der rechner nahezu ausschließlich mit der speicherprüfung beschäftigt wäre und seine regulären aufgaben nicht länger erfüllen könnte ...

abhilfe könnte nur ein 2. prozessor schaffen, der einzig für diese aufgabe abgestellt ist ... aber auch dieses konzept (auch dual core macht hier keine ausnahme) hat ein problem ... bei heutigen prozessoren bewegt es sich in einer größenordung von bis zu 2 MB ... die prozessor L1 und L2 caches, die ausschließlich für einen prozessor, bzw teilweise auch einzelnen kern arbeiten, und von anderen prozessoren, respektive kernen bei allen mir bekannten architekturen nicht eingesehen werden können...

schreibe ich entsprechende malware cacheoptimiert, wird diese den hauptspeicher eigentlich nicht erreichen bevor die cachelines geschrieben werden müssen ... gut, man mag annehmen dass andere systemkomponenten das programm im cache mal überschreiben und somit das schreiben zum hauptspeicher unausweichlich wird, aber das kann mitunter einige sekunden dauern ... die chance bis dahin auf einem nicht ausgelasteten system wieder an der reihe zu sein (programmausführung der CPU ist nicht paralell, sondern sequenziell, auch wenn es wirkt als liefen da mehrere programme gleichzeitig, läuft auf kleinsten zeiteinheiten betrachtet immer nur eins, sekunden bruchteile später das nächste... das nächste ... reihum bis wieder das erste dran ist, um es vereinfacht darzustellen) ist allerdings recht groß, so das man in modernen cachekonzepten kaum rausgeworfen wird mit kleinem code ... bis es mal soweit ist, hat die malware im zweifelsfall die schadroutinen betriebsbereit gemacht, und ausgeführt...

wie man es auch dreht und wendet ... eine echtzeitabdeckung des raminhalts ist für die malware suche beim heutigen stand der technik defacto unmöglich ... (das gilt für den anwendungs fall ... laborumgebung ist da was anderes...)

__________________
Gräten auf dem Sofakissen wird man wohl entfernen müssen.
12.08.2007 01:34 DarkSquirrel ist offline Beiträge von DarkSquirrel suchen Nehmen Sie DarkSquirrel in Ihre Freundesliste auf
Tommy1000 Tommy1000 ist männlich
Routinier



[meine Galerie]


Dabei seit: 14.05.2007
Beiträge: 400
Herkunft: Erfurt

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

und wie funzt das in labor umgebung und was ist der unterschied zum anwendungs fall

__________________
?- god(X).
X = green.
12.08.2007 19:26 Tommy1000 ist offline E-Mail an Tommy1000 senden Beiträge von Tommy1000 suchen Nehmen Sie Tommy1000 in Ihre Freundesliste auf Fügen Sie Tommy1000 in Ihre Kontaktliste ein
DarkSquirrel DarkSquirrel ist männlich
Kaiser


images/avatars/avatar-54.jpg
[meine Galerie]


Dabei seit: 02.07.2007
Beiträge: 1.102
Herkunft: ausm Ruhrpott

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

die JTAG schnittstelle heutiger CPUs ist im anwendungsfall für gewöhnlich ungenutzt ...

__________________
Gräten auf dem Sofakissen wird man wohl entfernen müssen.
12.08.2007 20:53 DarkSquirrel ist offline Beiträge von DarkSquirrel suchen Nehmen Sie DarkSquirrel in Ihre Freundesliste auf
Tommy1000 Tommy1000 ist männlich
Routinier



[meine Galerie]


Dabei seit: 14.05.2007
Beiträge: 400
Herkunft: Erfurt

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

naja egal das mit ram ich hab jetz einfach das tool avdevil genommen das klappt ganz gut bei einfachen kostenlosen oder schlecht gemachten av´s

PS: wie ist das mit der JTAG Schnittstelle bei nem "etwas älterem" AMD Duron mit 700 Mhz

__________________
?- god(X).
X = green.

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Tommy1000: 13.08.2007 07:10.

13.08.2007 07:08 Tommy1000 ist offline E-Mail an Tommy1000 senden Beiträge von Tommy1000 suchen Nehmen Sie Tommy1000 in Ihre Freundesliste auf Fügen Sie Tommy1000 in Ihre Kontaktliste ein
Schatten Schatten ist männlich
Routinier


images/avatars/avatar-45.jpg
[meine Galerie]


Dabei seit: 24.07.2007
Beiträge: 356
Herkunft: Hessen

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

zum thema JTAG http://de.wikipedia.org/wiki/JTAG

wenn du dir das durchliest wirst du sehn, das du als norm. Benutzer die JTAG schnittstelle nie brauchen wirst...


naja egal bin erstma ne woche im urlaub bis denne

__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
13.08.2007 09:51 Schatten ist offline E-Mail an Schatten senden Beiträge von Schatten suchen Nehmen Sie Schatten in Ihre Freundesliste auf
Tommy1000 Tommy1000 ist männlich
Routinier



[meine Galerie]


Dabei seit: 14.05.2007
Beiträge: 400
Herkunft: Erfurt

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

pass auf pinguine sind sehr sonnen empfindlich^^

__________________
?- god(X).
X = green.
13.08.2007 14:42 Tommy1000 ist offline E-Mail an Tommy1000 senden Beiträge von Tommy1000 suchen Nehmen Sie Tommy1000 in Ihre Freundesliste auf Fügen Sie Tommy1000 in Ihre Kontaktliste ein
Schatten Schatten ist männlich
Routinier


images/avatars/avatar-45.jpg
[meine Galerie]


Dabei seit: 24.07.2007
Beiträge: 356
Herkunft: Hessen

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

tja schlechte nachrichten...ich habs überlebt...und bin wieder da, jedoch die 2 seiten an neuen foreneinträgen der vergangenen woche pendeln in sachen niveau iwo zwischen "kann schon aufrecht gehn" und "ugh!"

naja ich hab jedenfalls die woche genutzt um mich in meiner "freizeit" in sachen c programmierung etwas weiterzubilden...markt+technik sei dank...

__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
17.08.2007 17:56 Schatten ist offline E-Mail an Schatten senden Beiträge von Schatten suchen Nehmen Sie Schatten in Ihre Freundesliste auf
Tommy1000 Tommy1000 ist männlich
Routinier



[meine Galerie]


Dabei seit: 14.05.2007
Beiträge: 400
Herkunft: Erfurt

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

und das nennst du dann urlaub???

__________________
?- god(X).
X = green.
17.08.2007 18:01 Tommy1000 ist offline E-Mail an Tommy1000 senden Beiträge von Tommy1000 suchen Nehmen Sie Tommy1000 in Ihre Freundesliste auf Fügen Sie Tommy1000 in Ihre Kontaktliste ein
Schatten Schatten ist männlich
Routinier


images/avatars/avatar-45.jpg
[meine Galerie]


Dabei seit: 24.07.2007
Beiträge: 356
Herkunft: Hessen

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

ich war mit bruder und vater am bodensee...das kann man an sich nicht als urlaub bezeichnen Augenzwinkern

__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
17.08.2007 18:32 Schatten ist offline E-Mail an Schatten senden Beiträge von Schatten suchen Nehmen Sie Schatten in Ihre Freundesliste auf
Tommy1000 Tommy1000 ist männlich
Routinier



[meine Galerie]


Dabei seit: 14.05.2007
Beiträge: 400
Herkunft: Erfurt

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

ich kenn ein gutes lied über den bodensee das geht ungefähr so:

ich pflücke blumen und klee bis ich den boden see^^

__________________
?- god(X).
X = green.
18.08.2007 16:33 Tommy1000 ist offline E-Mail an Tommy1000 senden Beiträge von Tommy1000 suchen Nehmen Sie Tommy1000 in Ihre Freundesliste auf Fügen Sie Tommy1000 in Ihre Kontaktliste ein
Holiday Holiday ist weiblich
König


images/avatars/avatar-95.jpg
[meine Galerie]


Dabei seit: 23.04.2003
Beiträge: 833
Herkunft: Hessen

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

um mal zum thema der Ueberschrift zurueckzukommen....

die meiste malware heutzutage verwendet memory-packer. Also packer die ein binary comprimieren und zur laufzeit decomprimieren. Dadurch wird die Signatur des Binary geaendert und matcht nicht mehr mit urspruenglichen Signatur. Gleiches gilt auch fuer binaeranalysen, die die Graphen des Programmablaufs analysieren, etc.

Daher wird jeder gute malwareanalyst erstmal checken op ein binary gepackt ist, um es vor der analyse zu entpacken. Gleiches macht auch der AV, sofern er in der Lage ist den Packalgo nachzubilden.

Du musst also div packer (wie z.B. UPX) mal ausprobieren, und schauen ob es dein AV erkennt.

Wer evtl. auf dem CCC Camp dem Vortrag von Sergio Alvarez gehoert hat, kann sich sicherlich daran erinnern, dass man mit speziell modifizierten "gepackten" binaries evtl. sogar den AV-Client abschiessen kann... aber das ist ja auch eigentlich nix neues Augenzwinkern
20.08.2007 18:13 Holiday ist offline E-Mail an Holiday senden Homepage von Holiday Beiträge von Holiday suchen Nehmen Sie Holiday in Ihre Freundesliste auf
Seiten (2): « vorherige 1 [2] Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen

Ähnliche Themen
Thread Gestartet Hits Antworten Letzte Antwort
Alles Gute *Trojaner* (Forum: Geburtstagskinder)   25.06.2017 06:34 von HackBox-BOT   88 0   25.06.2017 06:34 von HackBox-BOT  
Alles Gute *Trojaner* (Forum: Geburtstagskinder)   25.06.2016 09:15 von HackBox-BOT   415 0   25.06.2016 09:15 von HackBox-BOT  
Alles Gute *Trojaner* (Forum: Geburtstagskinder)   25.06.2015 02:06 von HackBox-BOT   814 0   25.06.2015 02:06 von HackBox-BOT  
Alles Gute *Trojaner* (Forum: Geburtstagskinder)   25.06.2014 02:37 von HackBox-BOT   867 0   25.06.2014 02:37 von HackBox-BOT  
Sources für Viren/ Trojaner/ ..... (Forum: Programmieren)   15.07.2004 22:22 von Kurt   7.011 2   11.04.2013 17:31 von DrW3sk3r  

HackBox Forum » Computer & Co » Betriebssysteme » Trojaner unsichtbar

Views heute: 14.981 | Views gestern: 16.269 | Views gesamt: 49.665.575


© • www.hackbox.de forum.hackbox.de
Forensoftware: Burning Board 2.3.6 pl2, entwickelt von WoltLab GmbH
DB: 225.7s | DB-Abfragen: 71 | Gesamt: 0.236s | PHP: -95535.59% | SQL: 95635.59%