Jup. Das klang aber auch ziemlich trollig. => http://www.trojaner-board.de/151164-...ml#post1302317

Das Usermode-Rootkit spielt in einer gänzlich anderen Liga.
Da wir hier keinen Treiber laden, kann uns der Signierungszwang von Microsoft (KMCS) so lang wie breit sein, denn noch(?) muss nur Kernelcode signiert sein, um ausgeführt werden zu können.
Deshalb kann das Rootkit einfach ohne Neustart im System verankert werden.

Zudem kommt dieses Rootkit ja inklusive Dropper.
Dafür beträgt die "Stärke" dieses Rootkits nur ein Bruchteil derjenigen des Kerneltreibers - wir haben "nur" Admin-Rechte.
Ausserdem wird der Dropper auch sehr gut erkannt, immerhin gebrauche ich ganz unverblümt OpenProcess(...,PROCESS_VM_OPERATION,...) und WriteProcessMemory gefolgt von CreateRemoteThread.

Den Testmodus schalte ich dir mit links ein, schrauber, das ist nicht das Problem.
Wesentlich höherer Fähigkeiten bedarf es jedoch, um zu verhindern, dass die Standard-Scanner (FRST64 & co.) den plötzlich aktivierten Testmodus anmeckern - ohne Verwendung von Hooks, meine ich jetzt.
Und ziemlich unmöglich ist es dann, die Tools auch in einer WinRE glauben zu machen, dass alles im Lot sei.
Allerdings darf man sich dennoch nicht sicher fühlen, denn mit einem gefälschten Zertifikat brauche ich keine Testsignierung und keinen verdächtigen Neustart, dann gibt's für die Tools auch nix mehr zu erkennen. Dass man Zertifikate klauen kann, hat Stuxnet ja bewiesen .


Grüsse - Microwave