unbekannter ADS -> RDS : NSRL Reference Data Set? - Rokop Security

Rokop Security

Mitglieder Moderatoren

Willkommen, Gast ( Anmelden | Registrierung )

Rokop Security > Security > Schutzprogramme

unbekannter ADS -> RDS : NSRL Reference Data Set?

Gast_Beobachter_*	30.12.2009, 13:02 Beitrag #1
Gäste	Hallo Leute, Ich habe heut bei meinem Windows7 System einen verdächtigen ADS entdeckt, der an "c:Windows" angehängt war. Bei upload bei Virustotal ergab als Hinweis dies MD5 : 529917fa550eea5a8cc0db00ca803e2b SHA1 : 0588a5c17d46c2b67fd4708adf9ad675cef15c71 SHA256: 1f783b232a5e1890dde9855defd2f58096b53dac28b3eac6cf588cd04c8f174f TrID : File type identification Unknown! ssdeep: 3:ol2Rvlt/:VJv PEiD : - RDS : NSRL Reference Data Set weitere Recherchen brachten mich zu dieser Seite http://www.nsrl.nist.gov/ kann mir jemand das mal erklären bitte? Ansonsten bin ich ganz schnell wieder bei XP. mfg Beobachter Der Beitrag wurde von Manu bearbeitet: 02.01.2010, 01:59

Start new topic

Antworten

Gast_Beobachter_*	03.01.2010, 01:32 Beitrag #2
Gäste	@SCU es ist ein Desktoprechner @dragonmale guck dir mal die PDF an die ich unter Technical Spezification verlinkt habe, dann sollte dir klar sein, das dies eben nicht nur ein einfacher Hash ist. mfG Beobachter

dragonmale Profil ansehen	03.01.2010, 19:43 Beitrag #3
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.413 Mitglied seit: 17.11.2003 Mitglieds-Nr.: 4.706	@Beobachter, mir ist zwar unklar wieso, aber wir reden definitiv aneinander vorbei ... ZITAT(Beobachter @ 03.01.2010, 01:31) @dragonmale guck dir mal die PDF an die ich unter Technical Spezification verlinkt habe, dann sollte dir klar sein, das dies eben nicht nur ein einfacher Hash ist. Zum Thema Hash: Ich zitiere einfach mal aus dem entsprechenden Wikipedia-Artikel: ZITAT Ein Hashwert wird auch als Fingerprint bezeichnet, da er eine nahezu eindeutige Kennzeichnung einer größeren Datenmenge darstellt, so wie ein Fingerabdruck einen Menschen nahezu eindeutig identifiziert. Zum Thema NSRL und den entsprechenden Technical Specification (die PDF-Datei): Dieses PDF brauche ich mir nicht anzuschauen, denn ich kenne diese Datenbank und ich kenne daher auch das Hash-Format. Hier mal ein Beispiel: QUELLTEXT "94B14801499C8212B35E19AF792FA667D39712F7","E37245B7044249151981AFC653A56BAC","6616B233","acctres.dll",70144,2704,"WIN","" Dieser Hashwert setzt sich aus den folgenden Komponenten zusammen: QUELLTEXT "SHA-1","MD5","CRC32","FileName","FileSize","ProductCode","OpSystemCode","SpecialCode" ... und diese Datei hier (VirusTotal-Link) wird als die dem Hash entsprechend dazu (von meinem Testsystem) identifiziert. Was man in diesem Link gut sieht, ist die Tatsache, dass von VirusTotal keinerlei Daten (Hash), unter RDS, weiter angeführt werden (wie auch übrigens bei Deinem ADS, auf VirusTotal). Es ist nur immer dieser Vermerk/Hinweis zu finden "NSRL Reference Data Set" und dabei spielt es offensichtlich überhaupt keine Rolle, ob diese Datei nun in der entsprechenden Datenbank erfasst ist, oder nicht, denn dieser Hinweis erscheint auch bei aktuell noch nicht erfassten Dateien -> Keine Ahnung, was dieser Unsinn soll ... -------------------- "Alle Menschen werden als Original geboren, doch die meisten sterben als Kopie" (Ernst Niebergall)

Beiträge in diesem Thema

Beobachter unbekannter ADS -> RDS : NSRL Reference Data Set? 30.12.2009, 13:02

Beobachter hier noch was... http://www.thefreelibrary.com/NI... 30.12.2009, 13:13

ahora2010 ist das nicht sowas wie dieses relevant knowledge,... 30.12.2009, 13:20

KHL64 Hallo Beobachter, gib mal bitten den genauen Pfad ... 30.12.2009, 13:20

Beobachter Dieser ADS hängt direkt an meinem Systemverzeichni... 30.12.2009, 13:25

Ford Prefect Habe nur kurz mit Dir /r geschaut - da kann ich un... 30.12.2009, 13:49

Joerg Windows 7 32bit Home Premium: Kein ADS an C:... 30.12.2009, 13:50

Beobachter @Ford Perfekt zeigt der Dir Befehl den überhaupt A... 30.12.2009, 13:53

Ford Prefect ZITAT(Beobachter @ 30.12.2009, 13:52) @Fo... 30.12.2009, 14:41

Julian Bei mir unter Seven x64 ebenfalls nichts (*Überras... 30.12.2009, 15:47

dragonmale Hallo Beobachter, jetzt mal abgesehen davon, woher... 30.12.2009, 19:12

Beobachter @All ich habe hier etwas dazu gefunden, und das b... 30.12.2009, 21:35

Metabolit ZITAT(Beobachter @ 30.12.2009, 21:34) @Al... 30.12.2009, 23:11

blueX ZITAT(Metabolit @ 30.12.2009, 23:10) Solc... 31.12.2009, 00:20

SebastianLE ZITAT(Beobachter @ 30.12.2009, 21:34) Dar... 31.12.2009, 12:38

Metabolit Mach Dir doch dein System mit Windows 7 neu und sc... 30.12.2009, 22:34

Catweazle Hä, was leuft noch besser für welche "schnüff... 30.12.2009, 22:44

Gregor Bei mir ist auch nix von ADS zu sehen... 31.12.2009, 00:25

Metabolit @BlueX Nichts für dieses Forum Aber ich sags ma... 31.12.2009, 02:23

Beobachter @Sebastian ich zitiere mal This project is supp... 31.12.2009, 16:56

SebastianLE @Beobachter: gelesen hatte ich die Links. UND? Fak... 31.12.2009, 17:18

TheSentinel Frohes Neues Jahr und alles Gute für Euch alle Na... 01.01.2010, 00:28

Sasser Du nutzt Suse, Vista, XP nun auch Windows 7... da ... 01.01.2010, 03:24

Beobachter zum Schreibstil... ja ja , wenns nicht der eigene... 01.01.2010, 06:51

Solution-Design ZITAT(Beobachter @ 01.01.2010, 06:50) zum... 01.01.2010, 21:09

Sasser Es gibt einige Bereiche die Paralellen zeigen RFID... 01.01.2010, 13:53

markusg hi, nur weil die nsa da mitgearbeitet hat, gehts z... 01.01.2010, 19:22

winchester Warum soll man eigentlich seine Verärgerung nicht ... 02.01.2010, 00:16

Beobachter @Solution-Design Zitat: Ganz sicher? Irgendwo mus... 02.01.2010, 00:18

dragonmale @Beobachter, vielleicht interpretiere ich diese Äu... 02.01.2010, 03:21

Solution-Design @winchester Es heißt Bild, nicht Computerbild. Es ... 02.01.2010, 07:51

Beobachter @dragonmale Den ADS Stream habe ich gesichert. Mo... 02.01.2010, 12:21

dragonmale @Beobachter, ZITAT(Beobachter @ 02.01.2010, 1... 02.01.2010, 18:51

markusg naja es ist unwahrscheinlich das jemand mit einem ... 02.01.2010, 12:45

scu @Beobachter: Handelt es sich bei dir um eine Lapto... 02.01.2010, 15:23

Beobachter @SCU es ist ein Desktoprechner @dragonmale guck... 03.01.2010, 01:32

dragonmale @Beobachter, mir ist zwar unklar wieso, aber wir r... 03.01.2010, 19:43

aido NSLR ist eine Datenbank die jedem Entwickler frei ... 03.01.2010, 10:03

Solution-Design So langsam ein Fall für http://www.x-ways.net/winh... 03.01.2010, 20:07

dragonmale ZITAT(Solution-Design @ 03.01.2010, 20... 03.01.2010, 20:25

dragonmale Ich muss mich korrigieren, denn plötzlich erschein... 03.01.2010, 23:04

aido Ja ist genauso wie ich weiter oben beschrieben hab... 03.01.2010, 23:27

dragonmale @aido, die eigentliche Beschreibung (allerdings in... 03.01.2010, 23:51

Zwergnase Streamfinder in deutsch + Windows (nicht Kommandoz... 04.01.2010, 14:09

« Vorhergehendes Thema · Schutzprogramme · Folgendes Thema »

Reply to this topic

Start new topic

3 Besucher lesen dieses Thema (Gäste: 3 | Anonyme Besucher: 0)

0 Mitglieder:

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung

Aktuelles Datum: 06.05.2025, 07:04

Powered By IP.Board © 2025 IPS, Inc.

Licensed to: Rokop Security

Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment