Hacker Defender Source Code Released Einstellungen

[Gast_Nautilus_*]

Dann kann der Spass mit den für AV Scanner unsichtbaren Trojanern ja jetzt richtig beginnen ...

EDITED: Für die, die nicht wissen, worum es geht. Hacker Defender ist ein sog. Rootkit, dass Trojaner usw. "unsichtbar" machen kann, mit der Folge, dass AV Scanner nicht mehr nach ihnen scannen können.

Ob der Rootkit Detector von http://3wdesign.es/security/principal.html?u=82pxv20n auch bei Version 1.00 funktioniert, habe ich noch nicht ausprobiert.

Der Beitrag wurde von Nautilus bearbeitet: 02.01.2004, 23:59

[JoJo]

ja bin ich hier auf dem RB mhh darf ich jetzt hier in zukungt über die dollsten zusammengebastelten webdownloader aus dem Hause ees berichten oder wie jetzt ? OK vielleicht bin ich noch diese strengen NUB´s vom Trojaner-info.de board usw. gewöhnt aber man sollte wenigstens schonmal auf die Risiken von sowas hinweisen, im RB mag es ja egal sein, da wurschteln die eh wild damit rum, aber hier ?! Und dann noch diese für mich recht zweifelhafte klingende Formulierung.

[Gast_Nautilus_*]

Was klingt denn genau "recht zweifelhaft"?

Ich schaue mir die NUB gerne nochmal an. Aber (ohne Nennung eines Downloadlinks) über neue Malware zu berichten und gleichzeitig auf einen Rootkit Detector hinzuweisen scheint mir genau das zu sein, was in einem Security Board sinnvoll und erlaubt ist.

Ausserdem ... ist es nicht irgendwie scheinheilig, das die Beschwerde gerade von Dir kommt? Schliesslich bist Du Moderator in diversen Trojanerboards und gibst (ab und zu) Anleitungen für den Einsatz von Trojanern usw.

[Internetfan1971]

Aber (ohne Nennung eines Downloadlinks) über neue Malware zu berichten

Es habe es nicht ausprobiert, aber was ist bitte mit der Zip-Datei die man sich da herunterladen kann???

Darüber zu berichten das und wie Malware manipuliert werden kann finde ich ja gut, aber z. B. genauste Details, Bedienungsanleitung und Links zum herunterladen von solchen Programmen kannst Du Dir echt sparen!!

Ich hoffe mal das Du denn jetzt bitte selber löschst oder die Admins dies tuen!

Das ist doch hier kein Hackerboard oder für Leute bestimmt die hacken etc. lernen wollen!

[Gast_Florian_*]

@Nautilus: Der Rootkit, dessen source ich grad anschaue, bietet nichts, was nicht bereits via sourcecodes aus sysinternals-archiven oder den ms-releases zusammengebastelt werden könnte.

Ich geh nicht von ner Welle an Rootkits aus jetzt, erstens müssten da fundierte C-Kenntnisse vorhanden sein , zweitens gibt es seit ewiger zeit ntrootkit und den ganzen spaß - wurde davon irgendwas in aktuelle trojaner integriert?

//Edit:

Darüber zu berichten das und wie Malware manipuliert werden kann finde ich ja gut, aber z. B. genauste Details, Bedienungsanleitung und Links zum herunterladen von solchen Programmen kannst Du Dir echt sparen!! 

Ich hoffe mal das Du denn jetzt bitte selber löschst oder die Admins dies tuen! 

Das ist doch hier kein Hackerboard oder für Leute bestimmt die hacken etc. lernen wollen!

Sorry @inetfan, das ist jetzt schon i-punkt-sucherei
wo ist denn da der direkte downloadlink auf das rootkit? Und selbst wenn, meinst du allen ernstes, die von dir genannten "Nachwuchshacker" finden den rootkit nicht auch nach 2 sekunden googlesuche?

Der Beitrag wurde von Florian bearbeitet: 03.01.2004, 15:08

[Gast_Nautilus_*]

Inetfan hat nicht kapiert, dass ich den Link zum SCHUTZPROGRAMM vor diesem Rootkit gepostet habe ...

EDITED:

@Florian

Ich glaube, Du hast Recht. Das in OptixPro oder Nuclear integrierte Cloaking Zeugs basiert auf DLL Injektion.

Eventuell wird der HD Source Code dabei helfen, ähnliche - aber von AV Scannern nicht erkannte - Rootkits zu compilieren. Aber warten wir es ab. Ich probiere jedenfalls gleich mal aus, ob der Rootkit Detector noch funktioniert.

Gruss ntl

Der Beitrag wurde von Nautilus bearbeitet: 03.01.2004, 15:16

[Gast_Nautilus_*]

Ich habe jetzt Hacker Defender 1.00 mal installiert. Das Teil scheint inzwischen RICHTIG eklig geworden zu sein:

1.
Der Rootkit Detector funzt nicht mehr.

2.
Mit ProcessExplorer finde ich keine non-existing processes mehr.

3.
Port Cloaking funktioniert jetzt offenbar. Die Kerio Firewall 4.10 zeigt jedenfalls nicht an, dass ein Anal FTP Server auf Port 668 lauscht.

4.
Process Guard (ich hatte services.exe zu schützen versucht) hat es einmal kurzfristig geschafft, Hacker Defender beim Start zu beobachten. Letztlich wurde der Start aber nicht verhindert, mit der Folge, dass wieder alle Hacker Defender Ordner und der Process unsichtbar wurden.

Muss jetzt nochmal testen, ob das Sensibelchen SSM nach wie vor beim Start von Hacker Defender abschmiert (was eine gute Warnung ist). Ansonsten fällt mir RegdatXP ein, welches vom Registry Cloaking unbeindruckt sein sollte.

ntl

EDITED: Also mit RegdatXP ist man tatsächlich einigermassen geschützt. Man kann während des laufenden Betriebs (mit aktiviertem Rootkit) die Registry (und zwar den Zweig "HKLM\System") sichern und anschliessend anschauen. Unter Services findet man dann problemlos den Hacker Defender Eintrag. Für weniger erfahrene und nicht ganz so paranoide User bedarf es aber wohl noch einer einfacheren Möglichkeit ... ;-)

Der Beitrag wurde von Nautilus bearbeitet: 03.01.2004, 20:02

[JoJo]

Sorry Nautilus wenn ich vielleicht etwas schroff daher kam, aber ich hatte heute früh einen anstrengenden Tag. Ich bin es halt vom TB gewohnt dass man in solche Art von security Boards sich mit sowas nicht beschäftigt und wenn gleich solche wenn auch interessanten Fragen kommen man den Teufel an die Wand malt, wild umher rennt und mit der Moralkeule schwingt.
Weiteres können wir ja per pm oder halt im chat bequatschen, also wer von uns scheinheiliger is, wer das unschuldslamm und wer bei wieviel bier vom stuhl fällt usw. In diesem Sinne
Zu dem rootkit Detector: Ich habe leider noch keine Zeit gehabt diesen wieder zu testen, aber leider hat sich der Autor auch nicht mehr bei holy father gezeigt und seine neue Version präsentiert, was eigentlich schade ist, denn soweit ich mich erinnern kann hat er mir mal mitgeteilt dass er an einer neuen verbesserten Version arbeitet, soll unter anderem auch eine benurzterfrundliche Oberfläche haben, also sprich GUI
Und was man bis jetzt so an Kloaking Trojanern gesehen hat, ist meistens was zusammen geschustertes auf ring3 ebene, und wie schon erwähnt halt dll injection und das ist nun wirklich nicht soooo schlimm, wenn man in etwa weiß wie man die Biester finden kann, ok fies sind sie allemal, aber nicht so fies wie beispielsweise ring0 Sachen, da gibt es mittlerweiel recht beeindruckende Konzepte, deswegen sollte man auch eine rootkit Erkennung, sei es nun ring0 und oder ring3, mit in neue Schutzsoftwarelösung miteinbringen.
So ein Mist aber auch dass ich zur Zeit leider keine Zeit habe , ich würde gerne mir auch mal diese neuen rootkit Versionen genauer anschauen und vorallem was deren entfernung angeht, dass ist noch wenigstens etwas was mich interessiert
Diese ganzen undetect Fragen auf dem RB gehen mir ja langsam auf den Geist

[Gast_Nautilus_*]

@JoJo Falls das ne Entschuldigung war ... akzeptiert. No prob. Aber es konnte wirklich nicht sein, dass Du erst im Board von Holy Father rumgeistert und ich hier anschliessend von Dir einen auf den Deckel bekomme :-))

Dass Du keine Zeit hast, ist schade. Aber vielleicht mögen ja noch andere helfen. Mich nervt HDef 1.00 jedenfalls ziemlich und ich werde nicht Ruhe geben, bis ich es halbwegs zuverlässig zur Strecke gebracht habe *g*. Kann ja nicht angehen, dass bald niemand mehr mit Sicherheit weiss, ob ihn nun jemand 0wned oder nicht ...

Gruss ntl

[Gast_Nautilus_*]

Ich habe einen Open Source Rootkit Detector namens Klister 0.3 von Joanna Rutkowska entdeckt. Leider läuft er nur unter W2K, so dass ich ihn nicht testen kann.

Vielleicht hat ja jemand anderes W2K installiert?

Gruss ntl

[JoJo]

ich habe dieses klister schon etwas länger hier bei mir hier rum liegen, jedoch scheint es so dass dieses Programm noch nicht ausgereift ist, denn leider funkioniert es nicht auf meinem Test System, einem Win2k ohne SP wenn ich mich recht erinnere.

[Gast_Nautilus_*]

Und wie heisst das andere Programm, dass bei Dir funzt und HD terminieren kann?

[JoJo]

Es heißt knlps und wurde wohl von einem Chinesen programmiert. Gab mal im hf board ne kleine Diskussion drum.
mhh ja bin ich deppert ? ich finde hier nicht die Funktion für´s Bilder hochladen. ach egal dann poste ich den screenshot bei wilders

[Gast_Nautilus_*]

Der Chinese heisst Tim. Und das mit dem Screenshot ist kein Problem. Du schickst mir das Tool einfach per Email...dann lade ich es nämlich hoch ;-)

Fände ich insbesondere im Hinblick auf den Beginn dieses Threads angebracht *g*

[Gast_coder_*]

Hallo,

als neuling hier im forum lehne ich mich eventuell was weit aus dem fenster, aber beim lesen der beiträge juckte es mir in den fingern.

also zunächst finde ich es vollkommen ok einen source code zu veröffentlich, ob von einem virus oder einem av tool.
wenn ich als coder einen virus source habe, kann ich schneller reagieren als wenn ich auf eine anleitung im web warten muss, die beschreibt wie man den löscht.

die NUBS von denen ihr sprecht, können damit doch eh nix anfangen und die leute die mit dem source was anfangen könnten...schreiben sich wenn sowas eher selber.

zu der frage wann und wo die vorlagen aus rootkits in malware eingesetzt wurde/wird, also ich persönlich habe vor 3 jahren im web ein interview mit einem kleinen möchtecoder gelesen, der bereits davor gewarnt hat und beschrieben hat wie das funktioniert

dann gibts zu dem thema in google.de eine menge antworten, wie z.B. burningc.... ein programm das auch einen 'unsichtbaren' port öffnet.

die möglichkeit sich zwischen funktionen zu setzten, ala man in the middle, sind doch wirklich schon alt.
ich bin echt erstaunt das dieses problem erst jetzt 'ausbricht'

ein lösung habe ich auf die schnelle auch nicht ,aber mal sehen
zu den unsichtbaren ordnern...fällt mir spontan ein das man halt nicht die windows funktionen wie getfirstfile usw benutzen sollte, sondern mal in asm den festplatteninhalt ausliest

na und das registry unsichtbar machen , kann man doch auch umgehen indem man die reg files ausliest und nicht openregkey benutzt

das mit dem port , dazu fällt mir noch nix ein

gruss coder

Der Beitrag wurde von coder bearbeitet: 28.01.2004, 19:28

[Catweazle]

Mit NUBS wie du das schreiben tuhst, sind die NUB gemeint die Nutzungs Bestimmungen eines Boards/Forum

Oder hast du das anderes gemeint ?

Catweazle

[Rokop]

Hallo Coder, willkommen bei uns im Forum

[Gast_Nautilus_*]

@coder

1.
Burning Chrome läuft ja zum Glück nicht auf NT Systemen.

2.
"ein lösung habe ich auf die schnelle auch nicht ,aber mal sehen"

Es gibt inzwischen mindestens 3 Lösungen:

Die Installation von driver based Rootkits wie Hacker Defender kann beispielsweise mit Process Guard von DiamondCS überwacht und geblockt werden.

Ein bereits aktiviertes Rootkit kann mit Kernel PS entdeckt und beendet werden.

Das Programm RegdatXP liest die Registry direkt aus und kann deshalb trotz Regkey-Cloaking den Autostarteintrag erkennen. Der Entwickler Heinz Ulbrich überlegt sogar, eine spezielle Rootkit Detection Option einzubauen.

Gruss ntl

[JoJo]

Die Installation von driver based Rootkits wie Hacker Defender kann beispielsweise mit Process Guard von DiamondCS überwacht und geblockt werden.

jein nicht ganz, ok wenn man es einfach nur so rüber schickt zur öhm Zielperson und dort dieses DCS Programm gerade mit diesem Schutz läuft dann scheintes wohl zu klappen dass kein weiterer Treiber so auch der des rootkits installeirt wird und somit auch das gesammte rootkit nicht instaliert werden kann. ABER nimmt man sich ein Setup Programm packt das rookit schön mit Grafikkartentreiber zusammen dann muss auf der andere auf anderen Seite eh diese Software deaktivieren um die vermeintlichen oder sogar tatsächlichen Grafikkartentreiber zu installieren..und boing der Treiber des rk wird sich sehr wahrscheinlich mit installiert. Erst meinen IPD is nix nun haben die fast einen ähnlichen schutz..na ja egal

[Gast_Nautilus_*]

@JoJo

Dass was ich gesagt habe, stimmt schon. Was PG nicht kann (und was ich auch nicht gesagt habe), ist zwischen guten und schlechten Treiberinstallationen zu unterscheiden. Blocken und Überwachen funktioniert aber.

Das von Dir angesprochene Szenario ist zwar nicht besonders relatistisch, da man sich Grafikkartentreiber wohl eher von der Homepage des Entwicklers besorgt. Aber im Prinzip habe ich auch schon an solche Möglichkeiten gedacht, z.B. Firewall-Rootkit-Package oder Antivirusscanner-Rootkit-Package in einer Filesharingboerse verteilen. Im Ergebnis sollte man sich Securitysoft oder sonstige systemnahen Programme wohl ausnahmsweise mal nicht als Raubkopie besorgen ;-)

Ausserdem gibt es ja immer noch das gute, kostenlose System Safety Monitor. Das ist mit allen von mir bislang getesteten Rootkits nicht kompatibel. Wenn SSM schweigt und problemlos läuft, spricht einiges dafür, dass der Rechner in Ordnung ist.



Gruss ntl

Der Beitrag wurde von Nautilus bearbeitet: 28.01.2004, 23:44