Wireshark ist einer der besten Netzwerk Analyzer bzw. Netzwerk Sniffer den es gibt. Ideal um allen möglichen Internet Traffic mitzuschneiden. Aufgrund seiner Beliebtheit ist er aber auch vielen ein Dorn im Auge bspw. haben Malware Autoren ein großes Interesse daran das der Traffic nicht aufgezeichnet wird. Trojaner, DDOS Bots oder Password Stealer versuchen deshalb gerne Netzwerk Sniffer zu erkennen um sich nicht zu verraten und die Daten-Empfangsserver zu schützen.
Viele erfahrene Benutzer verwenden schon Virtual Machines (VMWare, VirtualPC, VirtualBox, usw.) um sich zu vergewissern das eine Datei nicht schädlich ist. Meist wird die Datei einfach in dieser sicheren Umgebung ausgeführt um den Internet Traffic mitzuschneiden. Da ist es natürlich fatal, wenn die schädliche Datei den Sniffer erkennt und deshalb auf stumm schaltet. Dieses Problem der Erkennung kann man aber in den meisten Fällen mit einfachen Tricks umgehen.
Die meisten benutzen eine dieser 3 Varianten zur Erkennung:
– Prozessliste nach verdächtigen Namen absuchen
– Alle Windows Fenster nach verdächtigen Namen absuchen
– Im Programme Ordner nach verdächtigen Namen suchen.
Wireshark modden
Um Wireshark (v1.2.X) nun vor diesen Erkennungs-Methoden zu schützen braucht man nur einen Hexeditor oder alternativ könnte man auch den Quellcode bearbeiten und neu kompilieren, meine Methode ist aber schneller. Ich verwende dafür den Freeware Hexeditor HxD http://mh-nexus.de/en/hxd/
Man öffnet einfach die wireshark.exe im Hexeditor und benutzt die Suchen -> Ersetzen Funktion. Man setzt das Häkchen noch bei Groß/Kleinschreibung beachten und sucht & ersetzt folgende Strings, dabei ist zu beachten, dass die ersetzten Namen gleich lang sind um die Datei nicht zu vergrößern. Ihr solltet natürlich eigene Namen ausdenken und nicht meine Beispiele benutzen, um bestmöglichen Schutz zu erhalten. Immer alle ersetzen.
Wireshark -> W1r3sh4rk
Network Analyzer -> Netw0rk 4n4lyzer
dumpcap -> du6pc4p
Jetzt das Häkchen bei Unicode setzen und mit diesen Strings fortfahren:
Wireshark -> W1r3sh4rk
wireshark.org -> w1r3shark.org
Danach abspeichern und die dumpcap.exe öffnen.
Wireshark -> W1r3sh4rk
Normal und mit Unicode Häkchen!
Danach auch abspeichern und nun die wireshark.exe umbenennen in was ihr wollt und die dumpcap.exe in du6pc4p.exe umbenennen. Mit dem Taskmanager könnt ihr euch nun vergewissern, dass alle Strings geändert wurden. Zum Schluss noch den Wireshark Ordner umbenennen und Verknüpfungen anpassen, dann seid ihr sehr gut gewappnet gegen die meiste Malware. Übrigens könnt ihr jetzt auch den JDownloader oder SFT Loader sniffen.
bei mir kommt wenn ich alles gemacht habe!! C:\Programme\W1r3sh4rk\dumpcap -D -Z none in child process: Das System kann die angegebene Datei nicht finden. (2)
habe ich was vergessen?
ganz dickes Dankeschön für den tollen artikel !
N0S hat es halt drauf… weiter so