AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Datei infizieren

Ein Thema von merovinger · begonnen am 25. Mär 2013 · letzter Beitrag vom 25. Mär 2013
Antwort Antwort
merovinger

Registriert seit: 31. Jan 2008
7 Beiträge
 
#1

Datei infizieren

  Alt 25. Mär 2013, 09:22
Hallo Community,

ich habe mich in letzter Zeit mit Viren, mit Augenmerk auf das Einnisten im System, beschäftigt.
Ich bin auf diversen Seiten fündig geworden. Einses der genannten Methode war, den Virus an eine Datei zu hängen. Dazu wird der eigendliche Zeiger auf das Programm umgelengt auf den Virus und anschließend zurück auf das eigenendlich Programm.
So weit zur Theorie.
Doch wie sieht es mit der praktischen Umsetzung aus?

Ich habe mir dazu folgende Gedanken gemacht:
Angesichts der Antwort von Daniel, habe ich diesen Teil entfernt.


Zu welchen Themengebieten, sollte man sich belesen, um diese Art von Infektion erfolgreich zu verstehen?

Ich freue mich auf eure Antworten
Gruß

Geändert von merovinger (25. Mär 2013 um 09:43 Uhr)
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#2

AW: Datei infizieren

  Alt 25. Mär 2013, 09:26
Wir können hier im Allgemeinen besprechen, wie Schadcode sich auf einen System verhält und welche Optionen er hat, sich an seinen Wirt zu binden. Was wir nicht tun können, ist hier eine konkrete Bastel-Anleitung für einen (trivialen) Virus zu erstellen.
Die Themen lassen sich nicht scharf abgrenzen, aber eine sachliche, fachliche Diskussion ist bestimmt spannend.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
merovinger

Registriert seit: 31. Jan 2008
7 Beiträge
 
#3

AW: Datei infizieren

  Alt 25. Mär 2013, 09:45
Wir können hier im Allgemeinen besprechen, wie Schadcode sich auf einen System verhält und welche Optionen er hat, sich an seinen Wirt zu binden. Was wir nicht tun können, ist hier eine konkrete Bastel-Anleitung für einen (trivialen) Virus zu erstellen.
Die Themen lassen sich nicht scharf abgrenzen, aber eine sachliche, fachliche Diskussion ist bestimmt spannend.
Das ist vollkommen nachvollziehbar. Dem entsprechend habe ich meine anfängliche Frage umformuliert, und grob niedergeschrieben Umsetzungsideen entfernt.
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#4

AW: Datei infizieren

  Alt 25. Mär 2013, 10:05
Das "Einzige" was du wissen musst, ist das "Portable Executable" Format (Spezifikation lässt sich hier finden)

Was genau willst du bezwecken? Wenn ich mir so deine Threads ansehe, geht es glaube ich eher um die Analyse von Viren. Heutzutage ist es jedoch so,
dass Viren (Virus per Definition) so nicht mehr existieren. Meist sind es Trojaner oder Würmer, die sich per 0-Day flächendeckend ausbreiten, wovor man
sich mit regelmäßigen Updates schützen kann.
Diese sind potenziell natürlich viel gefährlicher als nur destruktive Viren.

Es gibt da noch die Binder - die machen aus N Anwendungen 1 einzige. Meistens handelt es sich dabei auch wieder um Trojaner!
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG
  Mit Zitat antworten Zitat
Benutzerbild von cookie22
cookie22

Registriert seit: 28. Jun 2006
Ort: Düsseldorf
936 Beiträge
 
Delphi XE2 Professional
 
#5

AW: Datei infizieren

  Alt 25. Mär 2013, 10:48
Die Infecktionsmethode, die merovinger hier vorschlägt, wird in der Praxis ohnehin von jeder AV-Software abgefangen.
Gruß
Cookie
  Mit Zitat antworten Zitat
CCRDude

Registriert seit: 9. Jun 2011
678 Beiträge
 
FreePascal / Lazarus
 
#6

AW: Datei infizieren

  Alt 25. Mär 2013, 11:42
Oft sogar schon vorher vom Betriebssystem - seit Programme signiert werden, laufen sie einmal manipuliert nicht mehr. Somit ist "Anhängen" irrelevant, sobald es um die Infektion von Betriebssystemdateien oder solchen aus seriösen Quellen geht.
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#7

AW: Datei infizieren

  Alt 25. Mär 2013, 11:55
Oft sogar schon vorher vom Betriebssystem - seit Programme signiert werden, laufen sie einmal manipuliert nicht mehr. Somit ist "Anhängen" irrelevant, sobald es um die Infektion von Betriebssystemdateien oder solchen aus seriösen Quellen geht.
Hab hier auch ein Win7 64 Bit:
  • explorer.exe (64 Bit, 32 Bit): unsigniert
  • notepad.exe (64 Bit, 32 Bit): unsigniert
  • shell32.dll (64 Bit, 32 Bit): unsigniert
  • calc.exe (64 Bit, 32 Bit): unsigniert
  • wmplayer.exe (64 Bit, 32 Bit): unsigniert
You catch my drift? So einfach ist es nicht, wobei die genannten Dateien sicherlich durch den DLL-Cache geschützt sind, aber es gibt auch weniger wichtige Programme wie z.B. dxdiag.exe, die diesen Schutz evtl. nicht haben.

MfG Dalai
  Mit Zitat antworten Zitat
CCRDude

Registriert seit: 9. Jun 2011
678 Beiträge
 
FreePascal / Lazarus
 
#8

AW: Datei infizieren

  Alt 25. Mär 2013, 12:01
I catch your drift... you missed some details

Mag sein, dass der Explorer-File Properties-Dialog hier keine Signaturen anzeigt, weil diese Dateien nicht in der Datei selber signiert sind.

Gehst Du allerdings mal über die WinTrust.dll und prüfst mit der entsprechenden API, wirst Du staunen - sie sind's doch. Die Signaturen dazu liegen in Katalogdateien in C:\Windows\System32\catroot\.
  Mit Zitat antworten Zitat
Benutzerbild von Sherlock
Sherlock

Registriert seit: 10. Jan 2006
Ort: Offenbach
3.798 Beiträge
 
Delphi 12 Athens
 
#9

AW: Datei infizieren

  Alt 25. Mär 2013, 13:34
Und ganz einfach machen es einem die Sysinternals. Die erlauben es zu jedem laufenden Prozess mit Hilfe des Process Explorers die Signatur zu überprüfen (Properties, Image, Verify). Und schon stellt man fest, die erwähnten Dateien sind signiert.

Sherlock
Oliver
Geändert von Sherlock (Morgen um 16:78 Uhr) Grund: Weil ich es kann
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#10

AW: Datei infizieren

  Alt 25. Mär 2013, 14:38
I catch your drift... you missed some details
Hm, stümmt. Wusste nicht, dass MS da einen anderen Weg geht.

MfG Dalai
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:00 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz