| |
| |||||||
Diskussionsforum: Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
31.03.2016, 23:31
| #10 |
 |  Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Um mal noch "kurz" meinen Senf dazuzugeben (Muss ich ja fast irgendwann mal bei einem Thread über Boot- bzw. Rootkits) - In einem oder mehreren Logs von dennissteins werden "Hooks" im Kernel angezeigt. Die Hooks auf dem 32-Bit Windows 7 sind zum Grossteil von Kaspersky. klif.sys biegt hier einiges auf sich um, damit dein AV informiert wird, wenn seltsames Verhalten im System auftritt (Behavior-based Analysis). Hooking ist hier in Ordnung, weil es für x86 keinen PatchGuard (KPP) gibt. Usermode-Hooking hängt mit Sandboxen (von vorgestern) und/oder mit Kompatibilitäts-Shims zusammen. Das APIset Schema von Windows 7?+ z.B. kann zu Meldungen von IAT- resp. EAT-Hooks in Rootkitscannern führen. - Hooking seitens Boot-/Rootkits ist absolut veraltet und untauglich. - Wenn ich ein Rootkit schreiben müsste, das auch nur annähernd so unentdeckbar sein soll, wie du es beschreibst, würde ich es als wiederentladenen Gerätetreiber tarnen, dessen Code per APC zur Laufzeit EINZIG und ALLEIN im Kernelspeicher umherhüpft. Eher NIEMALS würde ich unbekannte Benutzer anlegen, oder gar Systemaufrufe modifizieren. Abgesehen von der Sinnlosigkeit von Hooking und unbekannten Benutzern hat dein Rootkit sein primäres Ziel ganz deutlich verfehlt. Das primäre Ziel ist es, solange wie möglich ohne Notiz des Opfers die Maschine zu infiltrieren. Du hast das Bootkit aber "entdeckt". Wenn der Angreifer tatsächlich BIOS und UEFI patchen würde, würde er bestimmt keine Entdeckung wollen. Fazit, ich gehe kaum bis nicht davon aus, dass da in deinem PC oder Netzwerk irgendetwas 0.08 % Spezielles ist. @bombinho: Der grösste Sprung bzgl. Kernelveränderung ist für mich Windows 2003/XP zu Vista. Die ganzen Neuerungen wie Protected Media Path, UAC, Session-Isolation und neue Prozesserstellung mittels "NtCreateUserProcess" statt "NtCreateProcess(Ex)" beziehen sich nicht nur auf den Usermodus... Markant sind auch die Unterschiede von 32- und 64-Bit. PatchGuard, Treiber-Signierungszwang, x64-ABI und Neudesign von strukturierter Fehlerbehandlung (SEH). Mit Windows 10 wurde ausser DeviceGuard und weiteren HV-basierten Neuerungen nicht viel am Kernel verändert. Die Einführung des Metro-Designs hat ausser AppContainer nicht viel mit dem Kernel zu tun. Was hingegen stark überarbeitet wurde, ist der graphische Teil des Kernels. Neben tiefem (!) "Aufräumen" und "Ausmisten" des Codes gibt's jetzt statt nur einer "win32k.sys" gleich drei davon. Freundliche und bootkit-freie Grüsse! Microwave |
| Themen zu Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert |
| anderen, bootkit, desktop, festplatte, folge, folgen, foren, hardware, hilft, infiziert, links, linux, löschen, malware, nemesis, neuinstallation, ordner, partition, platte, rechner, rootkit, sichtbar, systeme, thema, unmöglich, versteckte, ähnliches |
Baum-Darstellung