AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

API von Reg.exe

Offene Frage von "richard_boderich"
Ein Thema von Metal_Snake2 · begonnen am 15. Jun 2008 · letzter Beitrag vom 25. Jun 2008
Antwort Antwort
Seite 2 von 3     12 3      
Olli
(Gast)

n/a Beiträge
 
#11

Re: API von Reg.exe

  Alt 18. Jun 2008, 17:12
Zitat von Metal_Snake2:
@Olli

Ich hab dem Autor vom OSAM geschrieben aber er antwortet nicht. Naja warum jetzt reg.exe die versteckten Einträge findet ist klar
aber wie es OSAM schaft ist mir schleierhaft.

Hat jemand ne idee?
Warum kann es nicht der gleiche Grund sein?

Das einzige was ich bisher nicht begreife ist, dass eine injezierte DLL so wichtig sein soll, wenn doch der SSDT-Hook viel besser ist und man ohne eigenen Treiber nichts dagegen machen kann ...

Uebrigens koennte das OSAM-Programm ja schon nen Treiber haben. Huckepack, so wie ich es bspw. in meinem Hooktutorial erklaert habe.
  Mit Zitat antworten Zitat
Benutzerbild von richard_boderich
richard_boderich

Registriert seit: 21. Jun 2004
Ort: Berlin
1.067 Beiträge
 
Delphi 7 Architect
 
#12

Re: API von Reg.exe

  Alt 19. Jun 2008, 12:19
@Olli

Die Frage ist, was macht man, wenn das Rootkit via SSDT alle ZW Key Funktionen hookt. Dann kommt man doch um einen Driver gar nicht herum und dann ist doch auch die Frage welcher zuerst geladen wird? Der von der Malware oder der Eigene.
Außerdem müsste es doch auch Maßnahmen gegen DLL Injection geben oder etwa nicht?

PS:
Kann man sich dieses Hooktutorial irgendwo runterladen?

mfG Richard

@Metall Snake

Wie wäre es denn die Registry binär zu Öffnen und die Funktionen um auf Keys zu zugreifen selbst zu implementieren?
mfG Richard

Cimmams schrieb "das einzige was an ArmA gut ist, ist die Grafik bis 100m und der Rest ist so unreal wie unsere Demokratie."
  Mit Zitat antworten Zitat
Olli
(Gast)

n/a Beiträge
 
#13

Re: API von Reg.exe

  Alt 19. Jun 2008, 13:44
Zitat von richard_boderich:
@Olli

Die Frage ist, was macht man, wenn das Rootkit via SSDT alle ZW Key Funktionen hookt. Dann kommt man doch um einen Driver gar nicht herum und dann ist doch auch die Frage welcher zuerst geladen wird? Der von der Malware oder der Eigene.
Außerdem müsste es doch auch Maßnahmen gegen DLL Injection geben oder etwa nicht?
Syscalls passieren ueblicherweise nur aus dem Usermode heraus. Solange kein Hotpatching innerhalb der eigentlichen Funktion sondern nur in der SSDT stattfinden ist es nicht allzu kritisch. Allerdings koennte ein neu geladener Treiber sofort gepatcht werden. Das waere aber aeusserst komplex.

Zitat von richard_boderich:
Kann man sich dieses Hooktutorial irgendwo runterladen?
Bei Google suchenHook tutorial Assarbad

Zitat von richard_boderich:
Wie wäre es denn die Registry binär zu Öffnen und die Funktionen um auf Keys zu zugreifen selbst zu implementieren?
Schwer, weil die Hives normalerweise exklusiv geoeffnet werden. Wie man vom RootkitRevealer weiss, geht es - aber's ist schwer.
  Mit Zitat antworten Zitat
Metal_Snake2

Registriert seit: 19. Nov 2004
134 Beiträge
 
Delphi 7 Personal
 
#14

Re: API von Reg.exe

  Alt 19. Jun 2008, 17:00
hmm also das ist doch mal ne idee die hives binär einzulesen. Hat jemand nen link oder ne idee davon weil dan kann ich mir all
die Kernelmode spielereien sparen, die mit Delphi eh nicht zu machen sind ich von c/c++ und ddk oder wdk und co keine
ahnung habe.
  Mit Zitat antworten Zitat
Olli
(Gast)

n/a Beiträge
 
#15

Re: API von Reg.exe

  Alt 19. Jun 2008, 17:10
Zitat von Metal_Snake2:
hmm also das ist doch mal ne idee die hives binär einzulesen. Hat jemand nen link oder ne idee davon weil dan kann ich mir all
die Kernelmode spielereien sparen, die mit Delphi eh nicht zu machen sind ich von c/c++ und ddk oder wdk und co keine
ahnung habe.
Dreimal darfste raten wie der RootkitRevealer an die Hives im laufenden System rankommt ... ... obwohl VSS koennte es eventuell auch ermoeglichen. Allerdings ggf. nicht mit einem Abbild der echten Registry in dem Moment sondern eben einem aelteren ...
  Mit Zitat antworten Zitat
Benutzerbild von richard_boderich
richard_boderich

Registriert seit: 21. Jun 2004
Ort: Berlin
1.067 Beiträge
 
Delphi 7 Architect
 
#16

Re: API von Reg.exe

  Alt 19. Jun 2008, 21:00
@Olli

Danke erstmal für die Infos. Noch zwei Fragen

1. Ist es möglich ein Reload der NTDLL durchzuführen bzw. eine 2 Instanz zu Laden und diese anstatt der gehookten zu verwenden?

2. Könntest du nochwas zu möglichen Maßnahmen gegen DLL Injection ausführen?

mfG Richard
mfG Richard

Cimmams schrieb "das einzige was an ArmA gut ist, ist die Grafik bis 100m und der Rest ist so unreal wie unsere Demokratie."
  Mit Zitat antworten Zitat
Olli
(Gast)

n/a Beiträge
 
#17

Re: API von Reg.exe

  Alt 19. Jun 2008, 21:18
Zitat von richard_boderich:
1. Ist es möglich ein Reload der NTDLL durchzuführen bzw. eine 2 Instanz zu Laden und diese anstatt der gehookten zu verwenden?
Ich meine es sollte gehen, bin aber bei NTDLL nicht 100% sicher. Frag mal lieber brechi (Forenbenutzer hier).

Allerdings hilft das logischerweise nix gegen SSDT-Hooks, die zuvor ja im Gespraech waren.

Zitat von richard_boderich:
2. Könntest du nochwas zu möglichen Maßnahmen gegen DLL Injection ausführen?
Auch da waere brechi sicher der bessere Ansprechpartner.
  Mit Zitat antworten Zitat
Dezipaitor

Registriert seit: 14. Apr 2003
Ort: Stuttgart
1.701 Beiträge
 
Delphi 7 Professional
 
#18

Re: API von Reg.exe

  Alt 21. Jun 2008, 16:17
Und wie sieht es nun aus?
Christian
Windows, Tokens, Access Control List, Dateisicherheit, Desktop, Vista Elevation?
Goto: JEDI API LIB & Windows Security Code Library (JWSCL)
  Mit Zitat antworten Zitat
Benutzerbild von Die Muhkuh
Die Muhkuh

Registriert seit: 21. Aug 2003
7.332 Beiträge
 
Delphi 2009 Professional
 
#19

Re: API von Reg.exe

  Alt 21. Jun 2008, 16:18
Die werden sich schon melden, wenn sich was tut. Brauchst jetzt nicht jeden Thread aus der Senke holen
  Mit Zitat antworten Zitat
Benutzerbild von DeddyH
DeddyH

Registriert seit: 17. Sep 2006
Ort: Barchfeld
27.622 Beiträge
 
Delphi 12 Athens
 
#20

Re: API von Reg.exe

  Alt 21. Jun 2008, 16:18
Ist ja schlimmer als taktaky mit seinen Ressourcen damals.
Detlef
"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen." (Albert Einstein)
Dieser Tag ist längst gekommen
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 3     12 3      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:35 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz