Register Gästebuch Calendar Members List Team Members Frequently Asked Questions Search Go to the Main Page
HackBox Forum
Forum Linkliste Online Spiele Datenbank Forum Foto Galerie Chat Portalansicht des Forum

HackBox Forum » Computer & Co » Betriebssysteme » Trojaner unsichtbar » Hello Guest [Login|Register]
Last Post | First Unread Post Print Page | Add Thread to Favorites
Pages (2): « previous 1 [2] Post New Thread Post Reply
Go to the bottom of this page Trojaner unsichtbar 4 Votes - Average Rating: 8.504 Votes - Average Rating: 8.504 Votes - Average Rating: 8.504 Votes - Average Rating: 8.50
Author
Post « Previous Thread | Next Thread »
Tommy1000 Tommy1000 is a male
Routinier



[meine Galerie]


Registration Date: 14.05.2007
Posts: 400
Herkunft: Erfurt

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

aber wenn sie den RAM prüfen sind wir arm drann (aber lieber arm drann als bein ab LOL)

__________________
?- god(X).
X = green.
10.08.2007 21:03 Tommy1000 is offline Send an Email to Tommy1000 Search for Posts by Tommy1000 Add Tommy1000 to your Buddy List Add Tommy1000 to your Contact List
Schatten Schatten is a male
Routinier


images/avatars/avatar-45.jpg
[meine Galerie]


Registration Date: 24.07.2007
Posts: 356
Herkunft: Hessen

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

wenn....wenn das av gleich bei installation dein ganzes system platt macht dann haste eh keine sicherheitsprobleme mehr....dann kannst du deine freizeit auch endlich mit sinnvollen dingen verbringen...baumhaus bauen, rad fahren, inliner/skateboard fahren, mit freunden treffen...

__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
11.08.2007 01:13 Schatten is offline Send an Email to Schatten Search for Posts by Schatten Add Schatten to your Buddy List
DarkSquirrel DarkSquirrel is a male
Kaiser


images/avatars/avatar-54.jpg
[meine Galerie]


Registration Date: 02.07.2007
Posts: 1,102
Herkunft: ausm Ruhrpott

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

ein vierenscanner der nach jedem speicher schreibzugriff die geschriebenen daten auswerten will ... na hut ab für diese idee ... achwas ... kopf ab!


was glaubst du wieviele zugriffe er da denn prüfen muss? ... jeden schreibvorgang von der cpu in richtung ram (die daten landen bevor sie in den RAM kommen zwar noch im cache, aber das verkompilziert die situation nur unerheblich) ... es gibt auch noch sogenannte DMA zugriffe, die im normalfall (jaja, da gibts ausnahmen) von der CPU in auftrag gegeben werden und dann einiges an daten in den ram schaufeln ... die melden sich erst zurück wenn alle daten geschrieben sind... willst du daraufhin alle via DMA übertragenen daten auswerten? ... wer sagt dir das nur das laden einer datei von einem massenspeicher oder netzwerk interface das speicherabbild einer binary verändern können? ... was wenn die GPU den DMA angeordnet hat? (CPU wird weder über start noch über ende informiert, gedacht ist das für das schnelle übertragen von relevanten daten vom RAM zur grafik karte ... wer sagt das das nicht auch in anderer richtung funktioniert, wenn ich einfluss auf den programmablauf der GPU habe?) ... alles so lustige problemchen die man lösen muss wenn man den raminhalt auf malware überwachen will ...

problemchen interessieren aber nur am rande ... das große problem ist an dieser stelle dass eine solche prüfung sooft ausgelöst werden müsste, dass der rechner nahezu ausschließlich mit der speicherprüfung beschäftigt wäre und seine regulären aufgaben nicht länger erfüllen könnte ...

abhilfe könnte nur ein 2. prozessor schaffen, der einzig für diese aufgabe abgestellt ist ... aber auch dieses konzept (auch dual core macht hier keine ausnahme) hat ein problem ... bei heutigen prozessoren bewegt es sich in einer größenordung von bis zu 2 MB ... die prozessor L1 und L2 caches, die ausschließlich für einen prozessor, bzw teilweise auch einzelnen kern arbeiten, und von anderen prozessoren, respektive kernen bei allen mir bekannten architekturen nicht eingesehen werden können...

schreibe ich entsprechende malware cacheoptimiert, wird diese den hauptspeicher eigentlich nicht erreichen bevor die cachelines geschrieben werden müssen ... gut, man mag annehmen dass andere systemkomponenten das programm im cache mal überschreiben und somit das schreiben zum hauptspeicher unausweichlich wird, aber das kann mitunter einige sekunden dauern ... die chance bis dahin auf einem nicht ausgelasteten system wieder an der reihe zu sein (programmausführung der CPU ist nicht paralell, sondern sequenziell, auch wenn es wirkt als liefen da mehrere programme gleichzeitig, läuft auf kleinsten zeiteinheiten betrachtet immer nur eins, sekunden bruchteile später das nächste... das nächste ... reihum bis wieder das erste dran ist, um es vereinfacht darzustellen) ist allerdings recht groß, so das man in modernen cachekonzepten kaum rausgeworfen wird mit kleinem code ... bis es mal soweit ist, hat die malware im zweifelsfall die schadroutinen betriebsbereit gemacht, und ausgeführt...

wie man es auch dreht und wendet ... eine echtzeitabdeckung des raminhalts ist für die malware suche beim heutigen stand der technik defacto unmöglich ... (das gilt für den anwendungs fall ... laborumgebung ist da was anderes...)

__________________
Gräten auf dem Sofakissen wird man wohl entfernen müssen.
12.08.2007 01:34 DarkSquirrel is offline Search for Posts by DarkSquirrel Add DarkSquirrel to your Buddy List
Tommy1000 Tommy1000 is a male
Routinier



[meine Galerie]


Registration Date: 14.05.2007
Posts: 400
Herkunft: Erfurt

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

und wie funzt das in labor umgebung und was ist der unterschied zum anwendungs fall

__________________
?- god(X).
X = green.
12.08.2007 19:26 Tommy1000 is offline Send an Email to Tommy1000 Search for Posts by Tommy1000 Add Tommy1000 to your Buddy List Add Tommy1000 to your Contact List
DarkSquirrel DarkSquirrel is a male
Kaiser


images/avatars/avatar-54.jpg
[meine Galerie]


Registration Date: 02.07.2007
Posts: 1,102
Herkunft: ausm Ruhrpott

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

die JTAG schnittstelle heutiger CPUs ist im anwendungsfall für gewöhnlich ungenutzt ...

__________________
Gräten auf dem Sofakissen wird man wohl entfernen müssen.
12.08.2007 20:53 DarkSquirrel is offline Search for Posts by DarkSquirrel Add DarkSquirrel to your Buddy List
Tommy1000 Tommy1000 is a male
Routinier



[meine Galerie]


Registration Date: 14.05.2007
Posts: 400
Herkunft: Erfurt

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

naja egal das mit ram ich hab jetz einfach das tool avdevil genommen das klappt ganz gut bei einfachen kostenlosen oder schlecht gemachten av´s

PS: wie ist das mit der JTAG Schnittstelle bei nem "etwas älterem" AMD Duron mit 700 Mhz

__________________
?- god(X).
X = green.

This post has been edited 2 time(s), it was last edited by Tommy1000: 13.08.2007 07:10.

13.08.2007 07:08 Tommy1000 is offline Send an Email to Tommy1000 Search for Posts by Tommy1000 Add Tommy1000 to your Buddy List Add Tommy1000 to your Contact List
Schatten Schatten is a male
Routinier


images/avatars/avatar-45.jpg
[meine Galerie]


Registration Date: 24.07.2007
Posts: 356
Herkunft: Hessen

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

zum thema JTAG http://de.wikipedia.org/wiki/JTAG

wenn du dir das durchliest wirst du sehn, das du als norm. Benutzer die JTAG schnittstelle nie brauchen wirst...


naja egal bin erstma ne woche im urlaub bis denne

__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
13.08.2007 09:51 Schatten is offline Send an Email to Schatten Search for Posts by Schatten Add Schatten to your Buddy List
Tommy1000 Tommy1000 is a male
Routinier



[meine Galerie]


Registration Date: 14.05.2007
Posts: 400
Herkunft: Erfurt

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

pass auf pinguine sind sehr sonnen empfindlich^^

__________________
?- god(X).
X = green.
13.08.2007 14:42 Tommy1000 is offline Send an Email to Tommy1000 Search for Posts by Tommy1000 Add Tommy1000 to your Buddy List Add Tommy1000 to your Contact List
Schatten Schatten is a male
Routinier


images/avatars/avatar-45.jpg
[meine Galerie]


Registration Date: 24.07.2007
Posts: 356
Herkunft: Hessen

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

tja schlechte nachrichten...ich habs überlebt...und bin wieder da, jedoch die 2 seiten an neuen foreneinträgen der vergangenen woche pendeln in sachen niveau iwo zwischen "kann schon aufrecht gehn" und "ugh!"

naja ich hab jedenfalls die woche genutzt um mich in meiner "freizeit" in sachen c programmierung etwas weiterzubilden...markt+technik sei dank...

__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
17.08.2007 17:56 Schatten is offline Send an Email to Schatten Search for Posts by Schatten Add Schatten to your Buddy List
Tommy1000 Tommy1000 is a male
Routinier



[meine Galerie]


Registration Date: 14.05.2007
Posts: 400
Herkunft: Erfurt

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

und das nennst du dann urlaub???

__________________
?- god(X).
X = green.
17.08.2007 18:01 Tommy1000 is offline Send an Email to Tommy1000 Search for Posts by Tommy1000 Add Tommy1000 to your Buddy List Add Tommy1000 to your Contact List
Schatten Schatten is a male
Routinier


images/avatars/avatar-45.jpg
[meine Galerie]


Registration Date: 24.07.2007
Posts: 356
Herkunft: Hessen

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

ich war mit bruder und vater am bodensee...das kann man an sich nicht als urlaub bezeichnen Augenzwinkern

__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
17.08.2007 18:32 Schatten is offline Send an Email to Schatten Search for Posts by Schatten Add Schatten to your Buddy List
Tommy1000 Tommy1000 is a male
Routinier



[meine Galerie]


Registration Date: 14.05.2007
Posts: 400
Herkunft: Erfurt

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

ich kenn ein gutes lied über den bodensee das geht ungefähr so:

ich pflücke blumen und klee bis ich den boden see^^

__________________
?- god(X).
X = green.
18.08.2007 16:33 Tommy1000 is offline Send an Email to Tommy1000 Search for Posts by Tommy1000 Add Tommy1000 to your Buddy List Add Tommy1000 to your Contact List
Holiday Holiday is a female
König


images/avatars/avatar-95.jpg
[meine Galerie]


Registration Date: 23.04.2003
Posts: 833
Herkunft: Hessen

Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

um mal zum thema der Ueberschrift zurueckzukommen....

die meiste malware heutzutage verwendet memory-packer. Also packer die ein binary comprimieren und zur laufzeit decomprimieren. Dadurch wird die Signatur des Binary geaendert und matcht nicht mehr mit urspruenglichen Signatur. Gleiches gilt auch fuer binaeranalysen, die die Graphen des Programmablaufs analysieren, etc.

Daher wird jeder gute malwareanalyst erstmal checken op ein binary gepackt ist, um es vor der analyse zu entpacken. Gleiches macht auch der AV, sofern er in der Lage ist den Packalgo nachzubilden.

Du musst also div packer (wie z.B. UPX) mal ausprobieren, und schauen ob es dein AV erkennt.

Wer evtl. auf dem CCC Camp dem Vortrag von Sergio Alvarez gehoert hat, kann sich sicherlich daran erinnern, dass man mit speziell modifizierten "gepackten" binaries evtl. sogar den AV-Client abschiessen kann... aber das ist ja auch eigentlich nix neues Augenzwinkern
20.08.2007 18:13 Holiday is offline Send an Email to Holiday Homepage of Holiday Search for Posts by Holiday Add Holiday to your Buddy List
Pages (2): « previous 1 [2] Tree Structure | Board Structure
Jump to:
Post New Thread Post Reply

Alles Gute *Trojaner* (: Geburtstagskinder)   25.06.2019 06:14 HackBox-BOT   96 0   25.06.2019 06:14 HackBox-BOT  
Alles Gute *Trojaner* (: Geburtstagskinder)   25.06.2017 06:34 HackBox-BOT   559 0   25.06.2017 06:34 HackBox-BOT  
Alles Gute *Trojaner* (: Geburtstagskinder)   25.06.2016 09:15 HackBox-BOT   797 0   25.06.2016 09:15 HackBox-BOT  
Alles Gute *Trojaner* (: Geburtstagskinder)   25.06.2015 02:06 HackBox-BOT   1,270 0   25.06.2015 02:06 HackBox-BOT  
Alles Gute *Trojaner* (: Geburtstagskinder)   25.06.2014 02:37 HackBox-BOT   1,259 0   25.06.2014 02:37 HackBox-BOT  

HackBox Forum » Computer & Co » Betriebssysteme » Trojaner unsichtbar

Views heute: 6.658 | Views gestern: 10.167 | Views gesamt: 58.474.765


© • www.hackbox.de forum.hackbox.de
Forum Software: Burning Board 2.3.6 pl2, Developed by WoltLab GmbH
DB: 229.149s | DB-Abfragen: 72 | Gesamt: 0.260s | PHP: -88034.23% | SQL: 88134.23%