Win32 Device Drivers Communication Vulnerabilities, Proof Of Concept - Exploiting Norton AV Einstellungen

[Scriptnix]

vor allem Seltsam's oder Gladi's Meinung hierzu würde mich brennend interessieren

http://sec-labs.hack.pl/papers/win32ddc.php

[EDIT] P.S. nur pures Interesse, sonst nix[EDIT]

[Heike]

Ich will jetzt das Thema in mit dem Link zum Test von JoJo nicht aufwärmen noch weiterführen, bloß zeigt dieser Link eben auch wieder, wie schwer es ist, mit Links konsequent umzugehen.

sec-labs is blackhat group associating few skilled people. Our members have big experience with many platorms and operating system including (but not limiting to) unix/bsd/windows/qnx/solaris. Sec-labs is affiliated with hysteria.sk and blackhat zine. We are also hardly connected with anonet project - anonymous irc network over SSL. Our members works as security consulants, perform penetration tests and do security audit of big software projects. This is our 'white' side of life. Our second side is coding exploits, finding vulnerabilities and developing new techniques. But this is our 'black' side so don't expect us to release many vulnerabilities or exploits. We decided to not help script kiddies nor use our private codes/techniques in work, like most blackhats do nowadays.

From our side greets, for their great job, goes to:
hysteria.sk, blackhat zine, segfault.net, team-teso, United Net Frontier, The Hackers Choice

Quelle: Selbstbeschreibung der Betreiber der verlinkten HP

Es ist eine Anleitung, der Link müßte eigentlich entfernt werden, ich würde es wieder bedauern.

Über Gefahren kann man nicht reden, wenn man sie nicht kennt.
Bloß, eine Beschreibung der Arbeitsweise eines RATs oder Exploits ist eben Hilfe zur Abwehr, aber zwangsläufig auch Hilfe zum Angriff.

Es ist eine schwierige Entscheidung.

Vielleicht sollte man darüber wirklich einen eigenen Thread zu diesem Thema machen, ich denke, hier ist eine konstruktive Diskussion möglich, weil hier starke Menschen sind, die sich trotz unterschiedlichen Meinungen in gewissen Bereichen gegenseitig achten.

Das Posting paßt nicht unmittelbar zum Thema, lediglich grundsätzlich.

[Rokop]

Bo Derek und ich haben uns gerade abgesprochen, wir wollen den Link stehen lassen. Reden können wir darüber ja trotzdem. Aber erst morgen früh, ich bin jetzt zu müde

[JoJo]

Also wenn ich das jetzt richtig verstanden habe gibt es nachher einen Zugriffsfehler im Speicher, aber wie äußert sich das dann in Windows. Gibt es eine normale Fehlermeldung, einen Bluescreen, NAV stürtzt ab aber läuft das OS weiter ? Mhh also wenn man mal Programme selbst geschrieben hat und da mal auf ein nicht vorhandenes Element im Speicher zugreifen will, kommt es schon zu Fehlermeldungen, aber vielleicht ist das hier so schlimm das dann das ganze System einfriert.
Was mich auch interessieren würde, ob es möglich wäre auch die Meldungen ob nun eine gefährliche Datei gefunden worden ist oder nicht auch abfangen könnten und durch eigene gefälschte Meldungen ersetzen.

[Rokop]

Was mich auch interessieren würde, ob es möglich wäre auch die Meldungen ob nun eine gefährliche Datei gefunden worden ist oder nicht auch abfangen könnten und durch eigene gefälschte Meldungen ersetzen.

[JFK]

Was mich auch interessieren würde, ob es möglich wäre auch die Meldungen ob nun eine gefährliche Datei gefunden worden ist oder nicht auch abfangen könnten und durch eigene gefälschte Meldungen ersetzen.

Der war gut,
dass Interesse teilst du sicherlich mit einigen Deiner Bekannten B)

JFK

[Rokop]

Obwohl: Interessant wäre es schon es zu wissen....

[JoJo]

Nun von den gleichen Leuten hier ein weiteres Dokument zum Thema:
h**p://sec-labs.hack.pl/advisories/seclabs-adv-zone-alarm-04-08-2003.txt

Diesmal geht es darin um die Verwundbarkeit von Zonealarm.

[Rokop]

Und ich DAU dachte eigentlich immer, daß ZoneAlarm eine einzige große Wunde ist B)

[JoJo]

Also wäre in den Dokus nicht ASM Kram drin sondern Visual Basic oder Pascal Zeugs, dann gäbe es bestimmt auf einigen öhm bösen Seiten bereits Diskussionen wie man das nun nutzen könnte