RR:Blog - Windows

Gestern landete in den PN-Fächern von den (Super-)/Moderatoren des RR-Teams eine PN mit einem sehr interessanten Inhalt. Ein User bot den Moderatoren ein Programm an mit dem das Moderieren vereinfacht werden sollte. Es war aber nicht nur ein 0815 Text, sondern die PN war relativ gut geschrieben und vertrauenerweckend. Das Produkt wurde gut beschrieben und die Funktionen hörten sich sinnvoll an. weiter lesen…

Internes, Sicherheit, Windows Analyse, API, Assembler, Crypter, Debugger, Malware, Ollydbg, Virenscanner, Virustotal

Das AusweisApp wurde vor etwa einem Monat offiziell zum Download freigegeben und einige Tage später wieder vom Server entfernt wegen einer Sicherheitslücke. weiter lesen…

Sicherheit, Windows API, AusweisApp, CFF Explorer, Debugger, Decrypter, DLL Injection, Hook, Hooking, RCE

Wenn es um PE Header Infos auslesen und bearbeiten geht ist nach wie vor der CFF Explorer das beste Tool das man im Internet finden kann. Trotzdem habe ich mir für ein anderes Projekt (gibt es vielleicht bald im Blog) einen kleinen PE Info Viewer programmiert, der alle relevanten Infos in eine Textdatei schreibt und dabei die Namen der Structs dazu schreibt.  weiter lesen…

Programmiersprachen, Windows CFF Explorer, PE

Ich konnte mir eine neuere Version des TDL Rootkits besorgen und diese hat schon Unterstützung für 64-Bit Windows Betriebssysteme. Von dieser besonderen Version konnte man auch einiges bei News Seiten lesen (z.B. bei Computerbase), denn es ist in der Tat das erste massenhaft in Umlauf gebrachte Rootkit, das in der Lage ist die Rootkit Funktionen in einem 64-Bit Windows zu nutzen. Trotzdem sollte man sich nicht beirren lassen: 64-Bit Windows ist immer noch viel sicherer als das 32-Bit Pendant. Wer also die Wahl hat (ab 2 GB RAM und halbwegs aktuelle Hardware) sollte sich unbedingt für die 64-Bit Variante entscheiden! weiter lesen…

Sicherheit, Windows API, Debugger, Decrypter, Hacker, Hook, Malware, Ollydbg, RCE, Rootkit, TDL, TDSS, Windows

Der Trick mit der DLL

Nun wird es erst richtig spannend. Um noch mal zusammenzufassen: Die EXE kopiert sich ins Temp Verzeichnis und veranlasst spoolsv.exe diese EXE als DLL zu laden. Spoolsv.exe verwendet eine LoadLibrary Funktion um die DLL zu laden. Damit wir wissen was unsere Malware nun macht, müssen wir das emulieren bzw. vorgaukeln. weiter lesen…

Sicherheit, Windows API, Debugger, Decrypter, Hack, Hacker, Hook, Malware, Ollydbg, RCE, Rootkit, Windows

Ein Raid-Rush Board User hat mich darum gebeten eine Datei zu analysieren, die bei RR angeboten wurde. Er schilderte mir, dass sich auf seinem PC ständig Webseiten im Webbrowser öffnen seit er diese Datei ausgeführt hatte. Nach einem ersten Blick dachte ich zunächst, dass es sich um 0815 Malware handelte, aber nach genauerer Analyse stellte sich heraus, dass es sich um die zurzeit beste und gefährlichste Malware handelt mit dem offiziellen Namen TDL, auch bekannt als TDSS, Alureon oder Olmarik. weiter lesen…

Sicherheit, Windows API, Debugger, Decrypter, Hacker, Hook, Malware, Ollydbg, RCE, Rootkit, Windows

HijackThis ist ein gern eingesetztes Programm zur Bekämpfung von Malware aller Art, aber was macht dieses Programm so besonders? Selbst im RR Board wird dieses Tool von „Experten“ empfohlen zum Scannen des Computers auf schädliche Programme. Die Frage ist nur was kann dieses Tool wirklich. Hier ein kleiner Test. weiter lesen…

Sicherheit, Windows AutoRuns, HijackThis, Malware, Process Explorer, Sysinternals, Virenscanner

Der PE (Kürzel: Portable Executable) Crypter ist im Grunde nichts anderes als ein Verschleierungsprogramm.
Ich werde euch erläutern wie so ein Crypter funktioniert und was er macht.

Der Sinn eines PE Crypters ist es Programme vor Einblicken anderer (durch Disassemblierer z.B.) zu schützen und somit den Quellcode geheim zu halten. Sowas wird häufig bei größeren Firmen benutzt. weiter lesen…

Sicherheit, Windows Microsoft, PE, Sicherheit, Verschlüsselung, Windows

Für viele Truecrypt Benutzer (und natürlich auch andere Nutzer) ist wohl nach wie vor das sog. Bootkit ein Dorn im Auge. Wer es nicht mitbekommen hat: Auf der Black Hat 2009 wurde von Peter Kleissner (TV Total Auftritt) ein neues Bootkit vorgestellt (Stoned Bootkit). Das Besondere daran ist, dass es selbst noch funktioniert wenn die Systemfestplatte mit Truecrypt verschlüsselt wurde. Alter RR Thread weiter lesen…

Sicherheit, Windows Anti-Bootkit, Bootkit, MBR, Passwort, Truecrypt

Google kennt jeder und benutzt wohl fast jeder, aber ist Google wirklich noch die beste Suchmaschine? Neulich wurde ich darauf aufmerksam gemacht, dass die Microsoft Suchmaschine Bing sehr große Fortschritte gemacht hat und es mit Google locker aufnehmen kann. Leider ist die neue Bing Suchmaschine bisher nur in den United States verfügbar. Wann Bing auch in Deutschland zur Verfügung stehen wird, weiß noch keiner so genau. weiter lesen…

Netzwelt, Windows Bing, Google, Microsoft