 unbekannter ADS -> RDS : NSRL Reference Data Set? |
Willkommen, Gast ( Anmelden | Registrierung )
| Gast_Beobachter_* |
  30.12.2009, 13:02
Beitrag
#1
|
|
Gäste  |
Hallo Leute,
Ich habe heut bei meinem Windows7 System einen verdächtigen ADS entdeckt, der an "c:Windows" angehängt war. Bei upload bei Virustotal ergab als Hinweis dies MD5 : 529917fa550eea5a8cc0db00ca803e2b SHA1 : 0588a5c17d46c2b67fd4708adf9ad675cef15c71 SHA256: 1f783b232a5e1890dde9855defd2f58096b53dac28b3eac6cf588cd04c8f174f TrID : File type identification Unknown! ssdeep: 3:ol2Rvlt/:VJv PEiD : - RDS : NSRL Reference Data Set weitere Recherchen brachten mich zu dieser Seite http://www.nsrl.nist.gov/ kann mir jemand das mal erklären bitte? Ansonsten bin ich ganz schnell wieder bei XP. mfg Beobachter Der Beitrag wurde von Manu bearbeitet: 02.01.2010, 01:59 |
 |
 
|
 |
Antworten
| Gast_Beobachter_* |
02.01.2010, 12:21
Beitrag
#2
|
|
Gäste |
@dragonmale
Den ADS Stream habe ich gesichert. Momentan möchte ich ihn nicht veröffentlichen, da er mir unbekannte binäre Daten enthält. Ich bin derzeit mit Recherchen und Analyse beschäftigt. Sollte sich näheres ergeben werde ich es hier posten. Prüfsummen war falsch ausgedrückt, entschuldige bitte. Es sind eher Fingerprints die zur Kennzeichnung von Dateien/Softwareprodukten verwendet werden. Diese können von Ermittlungsorganen auch zur Identifikation von Installierten Softwareprodukten, oder zum Nachverfolgen(DistributionWayTracking) bestimmter Dateien z.B in Filesharingnetzten verwendet werden. Es geht also nicht um die Simple MD5 Sum des Streams. Ich möchte wissen warum und mit welchen Mitteln dieser auf meinem System angelegt wurde. Da dieser Stream bei euch allen nicht existiert bin ich natürlich besorgt, das mein System auf mir unbekanntem Wege kompromitiert worden ist. Software war eigentlich nicht viel drauf, momentan teste ich in einer VM. hier noch einige Interressante Links zu dem Thema http://www.forensicswiki.org/wiki/National...ference_Library Technical Specification http://www.nsrl.nist.gov/documents/Data-Fo...Data-Set-14.pdf mfG Beobachter Der Beitrag wurde von Beobachter bearbeitet: 02.01.2010, 12:32 |
|
|
|
|
02.01.2010, 18:51
Beitrag
#3
|
|
 Wohnt schon fast hier  Gruppe: Mitglieder Beiträge: 1.413 Mitglied seit: 17.11.2003 Mitglieds-Nr.: 4.706 |
@Beobachter,
ZITAT(Beobachter @ 02.01.2010, 12:20)  Prüfsummen war falsch ausgedrückt, entschuldige bitte. Es sind eher Fingerprints die zur Kennzeichnung von Dateien/Softwareprodukten verwendet werden. Diese können von Ermittlungsorganen auch zur Identifikation von Installierten Softwareprodukten, oder zum Nachverfolgen(DistributionWayTracking) bestimmter Dateien z.B in Filesharingnetzten verwendet werden. Es geht also nicht um die Simple MD5 Sum des Streams. der Begriff Prüfsummen war von mir auch nur als Oberbegriff gemeint/gewählt und der Begriff Fingerprint ist im IT-Bereich auch nichts anderes, als nur eine andere Bezeichnung für einen Hashwert. Mir war/ist auch schon klar, was Du damit meinst, bzw., worauf Du hinaus willst. Mir war, bzw. ist nur (immer noch) nicht ganz klar, wie Du zu Deinen entsprechenden Vermutungen kommst? -> Siehe z.B. meinen Hinweis hinsichtlich "RDS : NSRL Reference Data Set" .... Wenn der ADS z.B. aber selbst entsprechende (Tracking, Hash ... oder anderes in der Art.) Infos enthalten sollte, wodurch so gesehen der ADS also .z.B. eine Art Marker darstellen würde, sieht die Geschichte natürlich ganz anders aus ... aber ich denke mal, ZITAT(Beobachter @ 02.01.2010, 12:20) Den ADS Stream habe ich gesichert. Momentan möchte ich ihn nicht veröffentlichen, da er mir unbekannte binäre Daten enthält. Ich bin derzeit mit Recherchen und Analyse beschäftigt. Sollte sich näheres ergeben werde ich es hier posten. dass Du uns dann schon entsprechend aufklären wirst, wenn Du Deine Recherchen und Analysen entsprechend abgeschlossen hast. ZITAT(Beobachter @ 02.01.2010, 12:20) Ich möchte wissen warum und mit welchen Mitteln dieser auf meinem System angelegt wurde. Da dieser Stream bei euch allen nicht existiert bin ich natürlich besorgt, das mein System auf mir unbekanntem Wege kompromitiert worden ist. Dies ist sicherlich für jeden hier nachvollziehbar ... -------------------- "Alle Menschen werden als Original geboren,
doch die meisten sterben als Kopie" (Ernst Niebergall) |
|
|
|
Beiträge in diesem Thema
Beobachter unbekannter ADS -> RDS : NSRL Reference Data Set? 30.12.2009, 13:02
Beobachter hier noch was...
http://www.thefreelibrary.com/NI... 30.12.2009, 13:13 ahora2010 ist das nicht sowas wie dieses relevant knowledge,... 30.12.2009, 13:20 KHL64 Hallo Beobachter,
gib mal bitten den genauen Pfad ... 30.12.2009, 13:20 Beobachter Dieser ADS hängt direkt an meinem Systemverzeichni... 30.12.2009, 13:25 Ford Prefect Habe nur kurz mit Dir /r geschaut - da kann ich un... 30.12.2009, 13:49 Joerg Windows 7 32bit Home Premium: Kein ADS an C:... 30.12.2009, 13:50 Beobachter @Ford Perfekt zeigt der Dir Befehl den überhaupt A... 30.12.2009, 13:53
Ford Prefect ZITAT(Beobachter @ 30.12.2009, 13:52) @Fo... 30.12.2009, 14:41 Julian Bei mir unter Seven x64 ebenfalls nichts (*Überras... 30.12.2009, 15:47 dragonmale Hallo Beobachter,
jetzt mal abgesehen davon, woher... 30.12.2009, 19:12 Beobachter @All
ich habe hier etwas dazu gefunden, und das b... 30.12.2009, 21:35 Metabolit ZITAT(Beobachter @ 30.12.2009, 21:34) @Al... 30.12.2009, 23:11 blueX ZITAT(Metabolit @ 30.12.2009, 23:10) Solc... 31.12.2009, 00:20 SebastianLE ZITAT(Beobachter @ 30.12.2009, 21:34) Dar... 31.12.2009, 12:38 Metabolit Mach Dir doch dein System mit Windows 7 neu und sc... 30.12.2009, 22:34 Catweazle Hä, was leuft noch besser für welche "schnüff... 30.12.2009, 22:44 Gregor Bei mir ist auch nix von ADS zu sehen... 31.12.2009, 00:25 Metabolit @BlueX
Nichts für dieses Forum Aber ich sags ma... 31.12.2009, 02:23 Beobachter @Sebastian
ich zitiere mal
This project is supp... 31.12.2009, 16:56 SebastianLE @Beobachter: gelesen hatte ich die Links. UND?
Fak... 31.12.2009, 17:18 TheSentinel Frohes Neues Jahr und alles Gute für Euch alle
Na... 01.01.2010, 00:28 Sasser Du nutzt Suse, Vista, XP nun auch Windows 7...
da ... 01.01.2010, 03:24 Beobachter zum Schreibstil...
ja ja , wenns nicht der eigene... 01.01.2010, 06:51 Solution-Design ZITAT(Beobachter @ 01.01.2010, 06:50) zum... 01.01.2010, 21:09 Sasser Es gibt einige Bereiche die Paralellen zeigen RFID... 01.01.2010, 13:53 markusg hi, nur weil die nsa da mitgearbeitet hat, gehts z... 01.01.2010, 19:22 winchester Warum soll man eigentlich seine Verärgerung nicht ... 02.01.2010, 00:16 Beobachter @Solution-Design
Zitat: Ganz sicher? Irgendwo mus... 02.01.2010, 00:18 dragonmale @Beobachter,
vielleicht interpretiere ich diese Äu... 02.01.2010, 03:21 Solution-Design @winchester
Es heißt Bild, nicht Computerbild. Es ... 02.01.2010, 07:51 markusg naja es ist unwahrscheinlich das jemand mit einem ... 02.01.2010, 12:45 scu @Beobachter: Handelt es sich bei dir um eine Lapto... 02.01.2010, 15:23 Beobachter @SCU
es ist ein Desktoprechner
@dragonmale
guck... 03.01.2010, 01:32 dragonmale @Beobachter,
mir ist zwar unklar wieso, aber wir r... 03.01.2010, 19:43 aido NSLR ist eine Datenbank die jedem Entwickler frei ... 03.01.2010, 10:03 Solution-Design So langsam ein Fall für http://www.x-ways.net/winh... 03.01.2010, 20:07 dragonmale ZITAT(Solution-Design @ 03.01.2010, 20... 03.01.2010, 20:25 dragonmale Ich muss mich korrigieren, denn plötzlich erschein... 03.01.2010, 23:04 aido Ja ist genauso wie ich weiter oben beschrieben hab... 03.01.2010, 23:27 dragonmale @aido,
die eigentliche Beschreibung (allerdings in... 03.01.2010, 23:51 Zwergnase Streamfinder in deutsch + Windows (nicht Kommandoz... 04.01.2010, 14:09 |
7 Besucher lesen dieses Thema (Gäste: 7 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 06.05.2025, 07:50 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment