unbekannter ADS -> RDS : NSRL Reference Data Set? Einstellungen

[SLE]

@Beobachter: gelesen hatte ich die Links. UND?
Fakt ist, dass der ADS nicht bei einem frischen Windows 7 auftritt (darum ging es doch im Ausgangspost - oder?) - folglich musst du prüfen von welcher Software auf deinem Rechner er kommt. Das wäre interessant...

Vorzeitige "Befürchtungen" ala FBI/online Durchsuchung etc. helfen da aber nicht

[TheSentinel]

Frohes Neues Jahr und alles Gute für Euch alle

Nach langer Zeit hab ich mal wieder hergefunden, initiert durch eine PM in meinem Board. Ich habe auf meinen 3 Windows 7 Systemen nichts von den beobachteten ADS Einträgen gefunden. SebastianL hat recht, den Rechner am besten nochmal formatieren, Win 7 aufziehen und bevor irgenetwas installiert wird, der Paranoia freien Lauf lassen und nach den ADS-Einträgen forschen.
Dann Schritt für Schritt die gewünscht Software installieren und wieder nach ADS testen.... solange bis man den Übeltäter hat oder vor Langeweile eingeschlafen ist.

Ich schließe mich Julian's Schluß-Bemerkung an. Bevor man irgendwelche Statements in Sachen ausspionieren raushaut, Verschwörungstheorien vom Zaun bricht oder heiße Luft a la 'ich hab da was gehört/gelesen, aber sag es euch nicht' ist es immer besser auf fundierte Informationsquellen zu verweisen, die man nachprüfen kann. Alles andere ist, wie Julian völlig richtig bemerkte, Bild Stil und somit überflüssig.


Gruß
Udo

[Sasser]

Du nutzt Suse, Vista, XP nun auch Windows 7...
da sollte es doch möglich sein die Stärken der einzelnen Betriebssysteme den jeweiligen Anwendungen zuzuordnen...
Grafiken bei Vista oder nun auch W7,
XP für Programm Konstellations-Einstellungen....Suse für Sicherheitsrelevante private Dinge...
Wo ist das Problem wenn man bei W7 einen Anhang feststellt. Beende mal per Router alle Ports und gib lediglich die frei, welche du wirklich brauchst.
Das sollten unter 10 Ports sein. Diese lässt du zusätzlich nun kontroliert über Sandboxie laufen und schneidest fortan deinen Traffic mit.
Den ADS kannste spaßeshalber über Geswall reglementieren...Es gibt viele Möglichkeiten.
Ich denke es sollte Jedem klar sein, das W7 zwar sicher und stabil läuft, aber auch eine gewisse Aufmerksamkeit erfordert, die nicht im Einklang zu
privaten Daten steht.
Anders ausgedrückt bei Vista hat man aufgegeben eine Systemstabilität geschweige denn Sicherheit herstellen zu können.
W7 ist erfreulicherweise in Vielem sehr viel besser, es bleibt aber abzuwarten welchen Preis man hier gezahlt hat um das zu erreichen...NSA..etc.

[Gast_Beobachter_*]

zum Schreibstil...

ja ja , wenns nicht der eigene Rechner/Produktivsystem ist kann man immer lässig schlau daherlabern. Und zu den Bildzeitungslesern gehöre ich eigentlich nicht. Die Überschrift spiegelt eigentlich nur
meine momentane Meinung gegenüber der immer weniger vorhandenen Selbstbestimmung des Kunden und der Systematischen Aushöhlung des Datenschutzes wieder. Ich bin sozusagen mit der Gesamtsituation unzufrieden. Aber wer noch nicht die Schnauze voll hat von WGA, DRM, ACTA, Sonyrootkits, ThreeStrikesStrategie, NIST, OnlineAktivierungen, Zwangsupdates, Beweislastumkehr und dem ganzen anderen Muell, der werfe den ersten Stein.

Das diese Technik auch dazu genutzt werden kann Forensik Auswertungen von FTK Sessions/Images zu beschleunigen/zu vereinfachen ist auch Fakt. (ein Schelm wer böses dabei denkt)

Zu fehlenden Quellen...

Ich habe die Quellen geliefert die ich auf die schnelle im Web gefunden habe.

Ansonsten danke ich allen Usern für Ihre ADS Rückmeldungen. System habe ich neu aufgesetzt, Befund ist bis jetzt negativ.

mfG Beobachter

Der Beitrag wurde von Beobachter bearbeitet: 01.01.2010, 06:52

[Sasser]

Es gibt einige Bereiche die Paralellen zeigen RFID zum sogenannten unternehmensübergreifenden Informationssystem, dass sowohl zur Kontrolle
der Lebensmittelwege zum Händler kontroliert, als auch die Kontrolle der eingekauften Lebensmittel zum Kunden und deren sozialem Umfeld/Wohnort
zu Rückschlüssen zu gebrauchen ist. Das dies nicht stattfindet brauchen die auch nicht zu Beweisen, denn die Informationspolitik ist Richtungs-gepoolt.
Ähnlich nun bei W7 oder damals auch XP, weshalb dann auch bald XP-Antispy kam.
http://www.zdnet.de/windows_system_verbess...345-20519-1.htm

Mit anderen Worten es dauert sicherlich nicht lange bis entsprechende Tüftler die Wunden offengelegt haben. Obwohl ich an deinem Schreibstil
eine gewisse provokante Ader nicht leiden kann, bin ich stets offen für produktive Gedankengänge aller Art. Insofern ist dein Augenmerk auf
diese Möglichkeiten ja auch richtig und gut.

Der Beitrag wurde von Sasser bearbeitet: 02.01.2010, 00:02

[markusg]

hi, nur weil die nsa da mitgearbeitet hat, gehts zu wie bei den x-akten...
ist nicht die sicherste linux distribution mit von der nsa entwickelt worden?

Der Beitrag wurde von markusg bearbeitet: 01.01.2010, 19:29

[Solution-Design]

zum Schreibstil...
ja ja , wenns nicht der eigene Rechner/Produktivsystem ist kann man immer lässig schlau daherlabern.

Wenn jetzt jeder Thread -mit fehlenden Funktionen eines Programmes, mit Programmfehlern, mit Bevormundung, mit Inkompatibilitäten- mit einer Überschrift wie der von dir gewählten beginnt, müssten alle Foren bis auf die Schnuddelecke geschlossen werden. Ein Thread beginnt mit einer sorgsam ausgewählten Überschrift. Und in dieser gehört keine Verärgerung, sondern ein Text mit dem jeder etwas anfangen kann. Punkt. Siehe auch Foren-Regeln, Punkt 3.1 "Weiterhin ist darauf zu achten, dass der Titel bzw. Betreff des Themas aussagekräftig ist."

Und zu den Bildzeitungslesern gehöre ich eigentlich nicht.

Ganz sicher? Irgendwo musst du das doch gelernt haben.

/OT und EOD zu diesem Thema

[winchester]

Warum soll man eigentlich seine Verärgerung nicht schon in der Überschrift kundtun,ist doch oft verständlich.Was soll eigentlich der Hinweis auf die Bild Zeitung,OK ist nicht das Beste was es auf dem Markt gibt,es kommt aber einer Diskrimierung gleich, wenn man alle Leser der Bild Zeitung für absolut dumm hält.Es kann natürlich auch sein das sich manche für besser halten (Überheblich)Liest man in machen Foren so gibt es keine vernünftige Zeitung. Computer Bild:wie kann man das lesen,PC Welt: genau so schlimm wie CB, PC Praxis: na unmöglich,Chip:wie kann man das lesen etc.Da der Stil aber hier bemängelt wurde, frage ich mich ob man erst ein Kurs im Journalismus absolviert haben muß um seine Meinung hier zu sagen.Es werden sich jetzt aber einige auf den Schlips getreten fühlen,für diese gilt:
Mea Culpa

[Gast_Beobachter_*]

@Solution-Design

Zitat: Ganz sicher? Irgendwo musst du das doch gelernt haben. Zitat Ende

Den hättest du dir schenken können...

...und die Zeit die du in deinen Post gesteckt hast, um mich über die Forenregeln zu belehren, hättest du lieber mit dem Formulieren von Aussagen zum eigentlichen Thema nutzen sollen.
Das sich Leute überschätzen und meinen über andere Leute urteilen zu können erlebe ich immer wieder. Es gibt sie in sogut wie allen Foren. Ich nenne sie "Die Aufpasser", welche sich dadurch
auszeichnen, das sie meistens noch vor den Admins oder Moderatoren dabei sind irgendwelche Nutzer wegen Banalitäten (Meistens irgendwelche Formsachen oder Rechtschreibschwächen) nieder zu machen. Mag sein das mein Ton hier und da manchmal etwas rauh ist, weil mein Weg eben nicht der "geradliniege" war, aber du musst meine Post's auch nicht lesen, es zwingt dich keiner.

Ich habe hier vorallem Hilfe gesucht, und dank einiger User auch gefunden. Sieh mir das bitte nach, es wird nicht wieder vorkommen. Im übrigen werde ich einen Moderator bitten den Threadtitel zu ändern.

mfG Beobachter

[dragonmale]

@Beobachter,
vielleicht interpretiere ich diese Äußerung

[...] es wird nicht wieder vorkommen.

jetzt ja auch nur falsch, aber es soll durchaus auch Sinn machen, nicht alles ständig gleich übers Knie brechen zu wollen ...

Apropos Voreiligkeit -> Deine Bedenken, welche Du (generell gesehen) sicherlich nicht nur alleine teilst, jetzt mal in Ehren, aber das, was Du hier anführst, erklärt trotzdem nicht Deine Gedankensprünge und ich denke mal, dass ich nicht der Einzige bin, der Dir nicht wirklich folgen kann ... Ich rekapituliere mal:

- Du hattest einen, an den Windows-Ordner angehängten, ADS gefunden, zu dem Du in Erfahrung bringen wolltest, ob er zur Standartausrüstung von Microsoft gehört -> was hier allerdings allgem. verneint wurde ...

- Du lädst diesen ADS auf VirusTotal hoch und fängst auf Grund des dortigen (eigentlich diesbezüglich nichtssagenden) Ergebnisses an, entsprechende Recherchen durchzuführen. Als Basis Deiner Recherchen dient Dir dabei offensichtlich die Tatsache, dass von diesem Service (also VirusTotal -> und nicht jemand anders!) Prüfsummen, dieser Datei, erstellt wurden und dass im Ergebnis, unter "weitere Informationen", außerdem noch dieser Vermerk zu finden ist: "RDS : NSRL Reference Data Set" -> Mal abgesehen davon, dass unter diesem Vermerk vermutlich (denn ansonsten hättest Du es ja gepostet) nur ein Strich (also keinerlei weitere Info) zu finden ist, werden Prüfsummen, auf VirusTotal, generell von jeder Datei erstellt und dieser "mysteriöse" Vermerk "RDS : NSRL Reference Data Set", welcher Dich offensichtlich (?) zu entsprechenden Suchergebnissen geführt hat, ist außerdem unter jeder Datei-Info, auf VirusTotal, zu finden -> Weshalb recherchierst Du also entsprechend?
Dieser (Deiner) Logik folgend, dürftest Du dann auch kein Windows-XP (oder was auch sonst noch) mehr installieren ...

- Des Weiteren gibst Du seltsamerweise keinerlei Info darüber, was dieser ADS nun eigentlich wirklich enthielt (?) -> und eben genau das, wäre doch eigentlich der interessanteste/wichtigste Punkt, zur Beurteilung, dieser Geschichte gewesen ...

Sicherlich kann man Prüfsummen (und entsprechende Datenbanken) auf unterschiedliche Art und Weise nutzen und man kann ihren Nutzen natürlich ebenso positiv, wie auch negativ, bewerten/sehen (was aber wiederum natürlich auch vom Standpunkt des jeweiligen Betrachters abhängt) -> Allerdings erschließt es sich mir nicht, wie Du an Hand der Infos, welche Du hier veröffentlicht hast, zu solchen Schlussfolgerungen kommst? Was haben z.B. die Prüfsummen des ADS an sich überhaupt mit diesem Thema zu tun? So gesehen könnte man doch auch bei jeder anderen Infektion zu solchen Schlussfolgerungen kommen, oder etwa nicht?
Wie schon gesagt, (und vielleicht steht mir ja auch nur jemand auf meiner Leitung) ich kann dem so jedenfalls nicht folgen -> Oder enthielt etwa der ADS eine entsprechende Liste, z.B. mit den Prüfsummen des gesamten Windows-Ordners? -> denn so könnte ich Dir schon eher folgen ...

P.s.:
Allen hier ein glückliches und gesundes Neues Jahr!

Der Beitrag wurde von dragonmale bearbeitet: 02.01.2010, 03:31

[Solution-Design]

@winchester
Es heißt Bild, nicht Computerbild. Es heißt nicht, dass alle Leser dumm sind, es heißt, dass das Niveau der Zeitung recht niedrig ist, die Überschriften reißerisch. Der Intellekt der Leser ist davon unabhängig. Und zu deiner Frage: Eine Überschrift wie „Was ist das denn für ne Kacke“ um dann mit der Fehlerbeschreibung zum Beispiel eines Programmes zu beginnen, erhitzt erstens nur die Gemüter und zweitens entspricht es nicht den sinnvollen Forenregeln, welche wenigstens versucht werden sollten einzuhalten.

@Beobachter
Da ich dein Anliegen zwar verstehe, aber mit solchen ADSen nicht dienen kann, wird es keine große Hilfe sein, wenn ich als zwanzigster Nutzer bestätige, solche Einträge nicht vorliegen zu haben. Und ja, ich schließe mich der Installationsreihenfolge-Prüfung -wie von @TheSentinel angestoßen- an, um herauszufinden, welches Programm nun diesen Eintrag erzeugte. Vielleicht hast du ja wirklich etwas Sinnvolles aufgedeckt. Auch wenn es sich mir jetzt noch nicht erschließt. Und bitte vergleiche nicht Äpfel mit Birnen. Auf der einen Seite entschuldigst du dich, auf der anderen Seite stößt du gerade aufgebautes mit dem Hintern wieder um. So funktioniert das Zusammenleben nicht.

Erstelle dir eine VM, installiere die Programme von denen du annimmst, dass da etwas nicht koscher sein könnte und berichte. Weil, das Thema ist ja nicht uninteressant.


PS: Die Idee mit den Moderatoren war gut. Vielleicht löschen sie den ein oder anderen Beitrag zur Lesbarkeitsverbesserung (auch diesen).

[Gast_Beobachter_*]

@dragonmale

Den ADS Stream habe ich gesichert. Momentan möchte ich ihn nicht veröffentlichen, da er mir unbekannte binäre Daten enthält.
Ich bin derzeit mit Recherchen und Analyse beschäftigt. Sollte sich näheres ergeben werde ich es hier posten.

Prüfsummen war falsch ausgedrückt, entschuldige bitte. Es sind eher Fingerprints die zur Kennzeichnung von Dateien/Softwareprodukten verwendet werden. Diese können von Ermittlungsorganen auch zur Identifikation von Installierten Softwareprodukten, oder zum Nachverfolgen(DistributionWayTracking) bestimmter Dateien z.B in Filesharingnetzten verwendet werden. Es geht also nicht
um die Simple MD5 Sum des Streams. Ich möchte wissen warum und mit welchen Mitteln dieser auf meinem System angelegt wurde. Da dieser Stream bei euch allen nicht existiert bin ich natürlich besorgt, das mein System auf mir unbekanntem Wege kompromitiert worden ist. Software war eigentlich nicht viel drauf, momentan teste ich in einer VM.

hier noch einige Interressante Links zu dem Thema

http://www.forensicswiki.org/wiki/National...ference_Library

Technical Specification

http://www.nsrl.nist.gov/documents/Data-Fo...Data-Set-14.pdf

mfG Beobachter

Der Beitrag wurde von Beobachter bearbeitet: 02.01.2010, 12:32

[markusg]

naja es ist unwahrscheinlich das jemand mit einem leicht aufzudeckenden ads jemanden ausspioniert. übrigens hier an 2 win 7 pcs keinen gefunden.

[scu]

@Beobachter: Handelt es sich bei dir um eine Laptop oder einen Desktop PC?

[dragonmale]

@Beobachter,

Prüfsummen war falsch ausgedrückt, entschuldige bitte. Es sind eher Fingerprints die zur Kennzeichnung von Dateien/Softwareprodukten verwendet werden. Diese können von Ermittlungsorganen auch zur Identifikation von Installierten Softwareprodukten, oder zum Nachverfolgen(DistributionWayTracking) bestimmter Dateien z.B in Filesharingnetzten verwendet werden. Es geht also nicht
um die Simple MD5 Sum des Streams.

der Begriff Prüfsummen war von mir auch nur als Oberbegriff gemeint/gewählt und der Begriff Fingerprint ist im IT-Bereich auch nichts anderes, als nur eine andere Bezeichnung für einen Hashwert.

Mir war/ist auch schon klar, was Du damit meinst, bzw., worauf Du hinaus willst. Mir war, bzw. ist nur (immer noch) nicht ganz klar, wie Du zu Deinen entsprechenden Vermutungen kommst? -> Siehe z.B. meinen Hinweis hinsichtlich "RDS : NSRL Reference Data Set" ....

Wenn der ADS z.B. aber selbst entsprechende (Tracking, Hash ... oder anderes in der Art.) Infos enthalten sollte, wodurch so gesehen der ADS also .z.B. eine Art Marker darstellen würde, sieht die Geschichte natürlich ganz anders aus ... aber ich denke mal,

Den ADS Stream habe ich gesichert. Momentan möchte ich ihn nicht veröffentlichen, da er mir unbekannte binäre Daten enthält.
Ich bin derzeit mit Recherchen und Analyse beschäftigt. Sollte sich näheres ergeben werde ich es hier posten.

dass Du uns dann schon entsprechend aufklären wirst, wenn Du Deine Recherchen und Analysen entsprechend abgeschlossen hast.

Ich möchte wissen warum und mit welchen Mitteln dieser auf meinem System angelegt wurde. Da dieser Stream bei euch allen nicht existiert bin ich natürlich besorgt, das mein System auf mir unbekanntem Wege kompromitiert worden ist.

Dies ist sicherlich für jeden hier nachvollziehbar ...

[Gast_Beobachter_*]

@SCU

es ist ein Desktoprechner

@dragonmale

guck dir mal die PDF an die ich unter Technical Spezification verlinkt habe, dann sollte dir klar sein, das dies eben nicht nur ein einfacher Hash ist.

mfG Beobachter

[aido]

NSLR ist eine Datenbank die jedem Entwickler frei zur verfügung gestellt wird. Dort sind richtlinien definiert die Entwickler/Hersteller in ihre Produkte integrieren können. Das Ziel dabei ist, einem Softwareprodukt eine eindeutige Signatur zu geben. Dabei wird nicht zwischen Gut und Böse unterschieden, sondern mit diesen Einträgen ist es möglich die Software bis zu ihrem Ursprung zurückverfolgen zu können. Es soll die forensische Arbeit nach der Suche schädlicher Software vereinfachen. Das ist ein einfache Darstellung was die Arbeit dieser Gruppe ausmacht. Dennoch haben wir noch nicht gelesen welche Software diesen ADS-Eintrag verursacht hat. Deshalb wäre es vernüftig und Sinnvoll alle Installationsschritte bis zu diesem Zeitpunkt durchzuführen und bei jedem Durchgang zu kontrollieren ob dieser Eintrag vorhanden ist. Die ADS-Datei hat einen Zeitstempel, liegt dieser nicht zu lange zurück, sollte es für dich ein leichtes sein, die vergangenen Schritte zu wiederholen.

Hast du regelemässig Backups gemacht? Anhand dieser Backups (wenn du sie aufbewahrst), kann man ganz leicht herausfinden wann dieser Eintrag zustande gekommen ist.

Ferner solltest du auch bedenken, dass nicht unbedingt installierte Software das verursacht haben kann. Vielleicht suchst du auch einfach an der falschen Stelle.
Über eine Linux-Live-Distribution oder einer Bootfähigen Sicherungs-CD könnte man auf evtl. versteckten Einträgen ausschau halten. Da diese in der Umgebung nicht Aktiv sind, ist es ein leichtes, unbekanntes zu erkennen.

Gruß,
aido

[dragonmale]

@Beobachter,
mir ist zwar unklar wieso, aber wir reden definitiv aneinander vorbei ...

@dragonmale

guck dir mal die PDF an die ich unter Technical Spezification verlinkt habe, dann sollte dir klar sein, das dies eben nicht nur ein einfacher Hash ist.

Zum Thema Hash:
Ich zitiere einfach mal aus dem entsprechenden Wikipedia-Artikel:

Ein Hashwert wird auch als Fingerprint bezeichnet, da er eine nahezu eindeutige Kennzeichnung einer größeren Datenmenge darstellt, so wie ein Fingerabdruck einen Menschen nahezu eindeutig identifiziert.

Zum Thema NSRL und den entsprechenden Technical Specification (die PDF-Datei):
Dieses PDF brauche ich mir nicht anzuschauen, denn ich kenne diese Datenbank und ich kenne daher auch das Hash-Format.
Hier mal ein Beispiel:

QUELLTEXT

"94B14801499C8212B35E19AF792FA667D39712F7","E37245B7044249151981AFC653A56BAC","6616B233","acctres.dll",70144,2704,"WIN",""

Dieser Hashwert setzt sich aus den folgenden Komponenten zusammen:

QUELLTEXT

"SHA-1","MD5","CRC32","FileName","FileSize","ProductCode","OpSystemCode","SpecialCode"

... und diese Datei hier (VirusTotal-Link) wird als die dem Hash entsprechend dazu (von meinem Testsystem) identifiziert. Was man in diesem Link gut sieht, ist die Tatsache, dass von VirusTotal keinerlei Daten (Hash), unter RDS, weiter angeführt werden (wie auch übrigens bei Deinem ADS, auf VirusTotal). Es ist nur immer dieser Vermerk/Hinweis zu finden "NSRL Reference Data Set" und dabei spielt es offensichtlich überhaupt keine Rolle, ob diese Datei nun in der entsprechenden Datenbank erfasst ist, oder nicht, denn dieser Hinweis erscheint auch bei aktuell noch nicht erfassten Dateien -> Keine Ahnung, was dieser Unsinn soll ...

[Solution-Design]

So langsam ein Fall für http://www.x-ways.net/winhex/index-d.html

[dragonmale]

So langsam ein Fall für http://www.x-ways.net/winhex/index-d.html

X-Ways Forensics -> wenn schon, denn schon