IceSword 1.16en erschienen

Das beste ist noch besser geworden: Der Programmierer mit dem nichtssagenden Namen PJF hat die Version 1.16 der Anti-Rootkit Software IceSword auf Englisch veröffentlicht.

Der FTP Server, der auf PJF''s Blog verlinkt ist, ist leider aus Deutschland nicht erreichbar.

Zum Glück gibt es die Software auch auf der Website von seiner Gruppe Xfocus.

Download IceSword 1.16 English Version

MTV ist clever

Apropos inszenierte Skandale: MTV weiss wie man öffentliche Empörung in Einschaltquoten umsetzt.

Nachdem konservative Politiker und Kirchenvertreter gegen die Serie "Popetown" protestiert hatten, wollen sie jetzt aus dem Protest eine "Show" machen.

Ich kann mir bereits vorstellen wie die Live-Diskussionsrunde abläuft:
MTV-Studiogast (Teenager): War doch voll witzig.
Publikum: Ha ha ha
Kardinal: Dafür kommt ihr alle in die Hölle.
Publikum: Ha ha ha
Kardinal: Enthaltsamkeit ist eine Tugend. Und wenn ihr schon nicht enthaltsam sein könnt, benutzt wenigstens keine Kondome.
Publikum: Ha ha ha

Die Sendung soll am 3. Mai um 21.30 Uhr laufen.

Links:
Spiegel
MTV

Nebenbemerkung: Die MTV-Homepage ist die dämlichste die ich diesen Monat gesehen habe.

Frauen an den Herd

Tagesschau-Sprecherin Eva Herman will Frauen helfen ihren Schöpfungsauftrag wahrzunehmen: Zu Hause.

Als Medienprofi weiss sie natürlich wie man durch inszenierte "Skandale" in die Schlagzeilen kommt. Und Bücher verkauft. Und Geld verdient. Wie ein Mann. Harrrr.

Artikel

Telnet für Handys

µTelnet ist ein Telnet Client für Handys, Palm Organizer und andere MIDP (Java) Gerätschaften.

Ich habe keine Ahnung wozu sowas nützlich ist, aber irgendwas wird mir noch einfallen. Theoretisch sollte man damit in der Lage sein SMTP und POP3 Server zu bedienen...

Nebenbemerkung:
Ich muss noch mal einen Artikel schreiben wie man Java-Anwendungen aufs Handy kopiert.

µTelnet Homepage

Seems bearbeiten mit Motorola Tool

Einführung
Mit P2kman und anderen Programmen kann man die "Seems" von Motorola-Telefonen laden (und wieder aufspielen). Die Seems sind Speicherzellen im Telefon. Dort werden die meisten Konfigurationsdaten gespeichert.

Durch herunterladen der Seems, bearbeiten und wiederhochladen kann man verschiedene Einstellungen ändern. Manche davon lassen sich auch über das normale Einstellungen-Menü im Telefon ändern, andere kann man nur über die Seems ändern.

Achtung

Vor jeder Änderung der Seems sollte man unbedingt ein Backup machen. Falls es nicht funktioniert kann man so (hoffentlich) zum Ursprungs-Zustand zurück. Durch fehlerhaftes bearbeiten kann man das Telefon unbrauchbar machen!

Wir wollen (als Beispiel) das Engineering-Menü freischalten. Das ist ein Untermenü unter "Tools" mit verschiedenen Einstellungen. Dort ist auch "Field Test Status" (alias Netzmonitor oder Monitor-Modus) angesiedelt.

Vorgehen
Der Schalter für das Engineering-Menü ist in Seem 0032_0001. Mit P2Kman laden wir zuerst Seem 0032_0001 herunter. Dazu einfach die Nummer eingeben (from 0032 to 0032) und auf "Download Seem" klicken.

Zum bearbeiten des Seems benutzen wir Motorola Tool. Wir könnten auch einen Hex-Editor wie XVI32 benutzen, aber Motorola Tool ist bequemer. Nur für die Einstellungen die Motorola Tool nicht unterstützt nehmen wir einen Hex-Editor.

Wir laden den Seem mit dem passenden Editor, dann schalten wir das Engineering-Menü ein und speichern den Seem. Dann benutzen wir wieder P2Kman um den Seem hochzuladen.

Achtung: Beim hochladen immer zuerst die Nummer des Seems eingeben, dann die Datei auswählen. Wenn man das nicht macht, läd man möglicherweise das falsche Seem hoch, was katastrophale Folgen haben kann.

Jetzt sollte unter Tools das Engineering-Menü auftauchen. Wenn nicht, Telefon aus- und wieder einschalten. Wenn das Telefon jetzt tot ist, das Backup wieder einspielen. Wenn das nicht funktioniert muss es neu geflasht werden.

Download: Siehe Übersichtsartikel.

Luminale ist langweilig

Die Börse blau beleuchtet, ein paar Strahler in den Himmel, genial. Die Kreativen müssen Überstunden gemacht haben. Das spektakuläre Lichtdach über der Kaiserstraße - ein paar Lampen am Bahnhof.

Überall Hobby-Fotografen in der Stadt. Die knipsen alles was beleuchtet ist, sogar Gebäude die schon seit 20 Jahren jeden Tag beleuchtet sind.

Bemerkenswert wie viele Leute sich 1000€ Digitalkameras leisten können, aber kein Stativ. Bemerkenswert auch immer wieder wie viele Leute kilometerweit entfernte Objekte mit Blitzlicht knipsen.

Luminale-Website

Wunder der Woche: Kardinal empfielt Kondome

Nicht irgendein Kardinal, laut BBC News ein Spitzenmann will jetzt verheirateten Paaren, bei denen ein Partner mit Aids infiziert ist Kondome erlauben.

Vermutlich hat er nur Angst dass seine Geliebte schwanger wird. Ha ha ha. Ein kleiner Scherz. Katholische Priester haben keine Geliebten. Niemals.

Artikel

Einführung in P2Kman

Ich habe - unter uns gesagt - keine Ahnung was "P2K" bedeutet. Es scheint einen Standard zu beschreiben dem alle neueren Mobiltelefone von Motorola gehorchen. Wenn sie auch von aussen ziemlich unterschiedlich aussehen, innen sind sie mehr oder weniger gleich. Nach meinen aktuellen Erkenntnissen benutzen sie alle ein Motorola-eigenes Betriebysystem Namens "Synergy".

P2Kman (alias P2K phone file manager) kann sich über ein USB Kabel mit dem Telefon verbinden und auf das interne Dateisystem zugreifen.

Außerdem kann man mit P2Kman noch auf die "Seems" zugreifen. In den Seems werden verschiedene Konfigurationsdaten gespeichert. Die Seems sind Speicherzellen im Telefon (mehr dazu in einem anderen Artikel).

Installation, Treiber
P2Kman benutzt nicht den üblicherweise mitgelieferten Modem-Treiber, sondern einen eigenen. Beim Start von P2Kman verlangt Windows daher nach einem Treiber. Die benötigten Dateien sind im Unterverzeichniss drv. Davon p2k.inf auswählen. Nach der Installation tauchen unter "Motorola USB Device" drei neue Geräte in der Systemsteuerung auf.

Anleitung
P2Kman hat eine umfangreich Anleitung. Leider ist die auf Russisch. Eine lückenhafte Übersetzung in Form einer Windows-Hilfe-Datei ist im docs Verzeichniss. Nicht alle Versionen von P2Kman werden mit der Übersetzung ausgeliefert.

Attribute
Die Dateien auf dem Telefon können Attribute wie "versteckt", "nur lesen", etc. haben. Dies wird durch eine Zahl dargestellt. Daran lieber nicht rumbasteln.

Was kann man damit machen

• Herunterladen von beliebigen Dateien (Kamerabilder, Klingeltöne (auch die mitgelieferten oder gekaufte), Java-Spiele, etc. etc.
• Hochladen von Dateien (Vorsicht!)
• Löschen von Dateien (auch solche die sich im Telefon selbst nicht löschen lassen, z. B. mitgelieferte Klingeltöne)
• Datei-Attribute ändern
• Seems

Vorsicht
Nicht zuviel rumbasteln! Mit unbedachten Aktionen kann man das Telefon leicht unbrauchbar machen. P2Kman hat keine Sicherheitsabfragen. Wenn man irgendwas löscht, was das Telefon braucht, kann man es hinterher nur noch als Briefbeschwerer benutzen.

Download: Siehe Übersichtsartikel.

Hello Moto

Dieser Artikel ist eine Übersicht über das Thema "Mobiltelefone (von Motorola)".

Dieser Artikel ist veraltet. Neuere Artikel findet man durch Klick auf Mobilfunk in der Label-Wolke.

• smsZippper. Für Vielsimser.
  

Motorola

• Seems bearbeiten mit Motorola Tool (Netzmonitor einschalten)
  
• Einführung in P2Kman
  
• Erklärung Motorola Netzmonitor

Externe Links

• MotoAide Downloads (P2Kman, Motorola Tool und andere)
• Java-Site von Sun (Spiele etc.)
  

Ad-Aware lügt

Ich habe eine interessante Analyse von Ad-Aware auf rootkit.com gelesen.

Besonders bemerkenswert der Multiplikationsfaktor mit dem Ad-Aware seine Datenbank schönrechnet. Peinlich, peinlich.

Artikel

Der 10. Planet

Das Hubble Space Telescope hat jetzt zum ersten mal Xena, den (inoffiziellen) 10. Planet fotografiert. Xena ist etwas grösser als Pluto und hat eine sehr helle Oberfläche.

Hier eine Zeichnung von Xena und dem Mond Gabrielle. Das helle ist die Sonne, Gabrielle ist der kleine Punkt oberhalb von Xena (das eigentliche Foto ist im New Scientist Artikel, aber das ist langweilig).

Bild: NASA/ ESA/ A. Schaller (für STScI)

Wenn der Name des Planeten wirklich offiziell von der IAU bestätigt wird, ist das der erste Planet der nach einer Fernsehserie benannt wurde. Mit Lesben. Der Uranus kann einpacken.

New Scientist

Brenne Ketzer, brenne

Vorsicht Gotteslästerer! Bald hat es sich ausgelästert: Bayern plant eine Gesetzesverschärfung von § 166 Strafgesetzbuch. Für Kommentare wie "der Papst ist ein seniler Spinner" drohen dann künftig 3 Jahre Gefängniss oder Scheiterhaufen.

Heribert Treutel vom Katholischen Männergesangsverein Tuntenhausen sagte dazu: "Die Gesetzesänderung war seit langem überfällig. Jedesmal wenn wir einen Ketzer töten haben wir Angst bestraft zu werden. Ungläubige! Die Stunde der Rache naht!"

Links:
Münchner Merkur
StGB § 166

Spezial Day's

Weil heute ein ganz besonderer Tag ist (der Tag der neuen Domain), gibt es auch einen besonderen Deppenapastroph:




Sowas kann man nicht erfinden. Und wieder einmal ist bewiesen: Schulbildung ist überflüssig. Ein eigenes Geschäft in guter Lage in Frankfurt am Main bekommt man auch ohne.

Neue Subdomain

Die alte Subdomain (jrgsblg.blogspot.com) war irgendwie doof, darum gibt es jetzt eine neue. Die guten Namen waren leider alle schon belegt. Und zwar von Blogs deren letzte Einträge aus dem Jahr 2001 sind. Wieso löschen diese Leute ihre Blogs nicht wenn sie kein Bock mehr haben? Alles Idioten.

Was ist C-Ko?
C-Ko Kotobuki (A-Kos beste Freundin. Sie ist 16, aber man meint, sie wäre 3. Nebenbei ist sie eine außerirdische Prinzessin).
JASMS

McAfee: Open-Source und Blogs schuld an Rootkits

Das nach eigener Aussage weltweit führende Unternehmen auf dem Gebiet "Security Risk Management" stellte gestern den ersten Teil einer dreiteiligen Studie zum Thema Rootkits vor. Sie haben auch herausgefunden wer an den ganzen Rootkits schuld ist:

The 'open-source' environment, along with online collaboration sites and blogs are largely to blame for the increased proliferation and complexity of rootkits.
-- Pressemitteilung McAfee

Aber bereits ihre Pressemitteilung wiederspricht sich selber: Windows-Rootkits steigern sich um 2300%, während Linux-Rootkits vernachlässigbar sind. Dabei ist Linux mehr Open-Source und Rootkits gibt es dort schon viel länger.

Pressemitteilung von McAfee
Whitepaper

Altes Handy Recyclen

Wer noch ein altes Handy hat das vor sich hin gammelt und zu wertlos ist um es zu verkaufen, kann sich bei O₂ solche Recycling-Tüten holen. Da tut man das Handy (oder Zubehör) rein und schickt es Portofrei an so eine Recycling-Firma. Die Recyclen es dann oder verscherbeln es irgendwo in der 3. Welt. Angeblich spenden sie 5€ pro Handy für Gemeinnützige Zwecke.

Ich habe ihnen ein Nokia mit zwei farbigen Oberschalen zum wechseln vermacht. Ich hoffe es wird einem Handylosen in der 3. Welt ein Menschenwürdiges Leben ermöglichen.

Man darf nur nicht die Lasche mit seinem Namen ausfüllen. Sonst schütten die einen mit Werbung zu (davon kann man wohl ausgehen).

Alpha-DVD entfernen

Wer die DVD "Mr. & Mrs. Smith" in seinen Computer einlegt (bei eingeschaltetem Autorun) oder PlayDVD.exe startet, bekommt diesen Dialog zu sehen (linkes Bild).

Wer hier auf "Ich stimme zu" klickt, bekommt das Alpha-DVD Kopierschutz-Rootkit installiert. Diese Software läuft versteckt und ist mit normalen Mitteln nicht sichtbar (= Rootkit).

Der unsichtbare Prozess soll verhindern dass die DVD raubkopiert wird.

Alpha-DVD schiebt allen aktiven Prozessen die DLL hadl.dll unter. Diverse Programme stürzen deswegen ab oder verhalten sich seltsam. Ausserdem kann das Brennen von normalen CDs/DVDs dardurch behindert werden.

Einzelne Nutzer berichten vom Ausfall der Windows-Defragmentierung. Dieses Problem konnte ich auf meinen Testsystemen allerdings nicht reproduzieren. Nach der Entfernung von Alpha-DVD soll die Defragmentierung wieder funktionieren (könnte auch Zufall sein).

Hier wird erklärt was Alpha-DVD ist und wie man es entfernt. Die manuelle Methode dort ist allerdings sehr umständlich. Hier kommt eine bessere (bzw. zwei).

Alpha-DVD Kurzbeschreibung
Alpha-DVD installiert 3 Dateien auf dem Rechner (alle in %SystemRoot%\system32, Kopien liegen im Temp Verzeichniss): hadl.dll, cmtl.dat und eine .exe Datei mit zufällig (?) gewähltem Namen.

Hinweis: %SystemRoot% ist üblicherweise C:\Windows.

Folgende Namen der "Zufallsdatei" habe ich beobachtet:

amqv.exe auths.exe bootvid.exe bszey.exe bujp.exe bvrkarq.exe cdosysmon.exe comstl.exe comusys.exe ctsrv.exe culil.exe d2d8.exe ddfyc.exe default8.exe dmaaoc.exe dmdmgr.exe dpnpast.exe efsysadu.exe eygxbmb.exe hyqy.exe jplxxva.exe lplbp.exe msa2p.exe msacm32.exe msadm.exe msapp32.exe msauite.exe msdmo16.exe msgina2.exe mstoc.exe msxhtml.exe pypdmc.exe romipkj.exe ssedm.exe sysmon32k.exe systemmon32.exe systemprop.exe tatbqfy.exe tvtrci.exe win32k2.exe wina2p.exe wrsbzxb.exe winsta32.exe wtsap32.exe xxnz.exe znzd.exe

Dann wurde es mir zu langweilig. Teilweise wiederholen sich die Namen, das lässt darauf schliessen das es eine Liste ist und kein reiner Zufallsgenerator.



Die Zufallsdatei hat in den Eigenschaften immer den Namen "System PTHelper" und den Hersteller "MS Corp.". Die Datei heisst in diesem Beispiel "comstl.exe".



Es wird in der Registry ein Autostart angelegt. Der Autostart heisst immer "SystemManager". Der Dateiname ist die Zufallsdatei.



Das Programm ist immer aktiv aber unsichtbar (wird vom Task-Manager nicht angezeigt). Process Explorer sieht das Programm auch nicht, kann aber die Handles des Systemprozesses CSRSS.EXE anzeigen. Dort taucht dann ein "Non-existent Process" auf (CSRSS ist das Win32-Subsystem des NT-Kernels und hält Handles auf alle Win32 Prozesse).

Die Zufallsdatei und der Registry-Eintrag sind nicht versteckt, können aber nicht gelöscht werden solange das Rootkit aktiv ist.

Alpha-DVD Schnellprüfung

Wenn man nur mal nachgucken will ob man infiziert ist.

Sysinternals WinObj downloaden und starten.


Wenn unter "BaseNamedObjects" der Eintrag "Alpha-Agent spoolsv" existiert, ist Alpha-DVD aktiv.

Achtung: Möglicherweise ändern sie den Namen des Objekts in der Zukunft. Die Prüfung mit IceSword ist zuverlässiger.

Entfernung
Um das Rootkit loszuwerden starten wir IceSword und den Windows Task-Manager. Unter "Process" wird eine versteckte Datei angezeigt die der Task-Manager nicht sieht. Mit der Rechten Maustaste klicken wir auf den Prozess und wählen "Terminate".


Dann können wir mit dem eingebauten Explorer und Registry-Editor von IceSword die 3 Dateien (s. o.) und den Autostart löschen.

Wer den Prozess gekillt und den Namen schon vergessen hat: Der Name der Zufallsdatei steht in der Registry.

Der Registry-Eintrag für den Autostart des versteckten Prozesses mit dem Zufallsnamen ist unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\policies\Explorer\Run. Der Schlüssel heisst immer "SystemManager".

Hinweis: Möglicherweise enthalten andere DVDs andere Versionen von Alpha-DVD mit anderen Dateinamen, aber das Grundprinzip sollte klar sein.

Nach einem Reboot kann man mit der Schnellprüfung (s.o.) nochmal überprüfen ob man es wirklich los geworden ist.

Entfernung, Teil II
Das Alpha-DVD Rootkit ist noch schlechter als ich dachte: Beim rumspielen mit der DLL-Injection ist mir klar geworden wie es funktioniert (und dass die Settec-Programmierer dümmliche Amateure sind).

Der Rootkit Prozess injiziert die DLL die ihn versteckt, nur in Prozesse des aktuellen Benutzers. Wenn man (z.B. mit runas) einen Task-Manager als ein anderer Benutzer ausführt kann man den Prozess sehen & killen.

Alpha-DVD entfernen, mit Windows-Bordmitteln
Einen neuen Benutzer anlegen, Administrator (hier im Beispiel "foo").
Start->Ausführen->runas /user:foo taskmgr
Den Rootkit-Prozess killen (siehe Teil I).
Die 3 Dateien löschen (bei einem Standard XP C:\Windows\system32\hadl.dll, C:\Windows\system32\cmtl.dat und den gekillten Prozess mit dem Zufallsnamen).
Regedit aufrufen und unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run den "SystemManager" Eintrag löschen. RIP Alpha-DVD.

Weitere Beobachtungen
Wenn die EULA-Abfrage kommt, ist das Rootkit bereits geladen! Wenn man auf "Ich stimme nicht zu" klickt hängt sich der Installer hier auf und das Rootkit wird nicht entladen. Die Datei bleibt im Temp Verzeichniss liegen (Name immer tmpagt.exe). Dabei bleibt ein nicht funktionierender Autorun-Eintrag zurück.

Der Rootkit-Prozess benutzt ein Mutex (\BaseNamedObjects\Alpha-Agent spoolsv) um zu verhindern dass er mehrmals geladen wird. Dardurch sollte man seine Existenz einfach abfragen können.

Außerdem glaube ich das man den Kopierschutz auch bei geladenem Alpha-DVD umgehen kann indem man seinen Ripper PlayDVD.exe nennt.

Handys sind Cool

Mein neues Handy hat die 100-fache Rechenleistung von meinem alten Computer, einen eingebauten General-Midi Synthesizer, MP3-Player, Java-Interpreter, Rechner, Video-Player, Faxmodem, Wecker, Terminkalender und eine Kamera! Und es wiegt nur 80 Gramm! Und kostet 99€!

Ich sollte diesen Blog in Handy-Blog umbenennen und Klingeltöne verkaufen für 3,99€. Und obszöne Hintergrundbilder.

Erklärung Motorola Netzmonitor

Ich verstehe jetzt mehr oder weniger wie GSM funktioniert und was die Anzeigen in Motorolas Field Test Mode (alias Monitor-Modus) bedeuten.

Serving Idle
Wird angezeigt während des Idle Mode (wenn das Telefon mit dem Netz verbunden ist aber nicht telefoniert wird).
BC0642 - BCCH (Broadcast Control CHannel) 624
71-079B - hat irgendwas mit dem Empfangspegel zu tun (glaube ich)
id68676 - CI (Cell Identity) 68676
-> Erklärung VIAG (O₂) CI Schema (Wie suche ich eine BTS, deren genauen Standort ich auf der Karte nicht kenne).
+23 - Empfangspegel (in dBm glaube ich)
mcc262 - Ländercode (262 für Deutschland)
mnc07 - Netzcode (Deutschland: 1=T-Mobile, 2=Vodafone, 3=E-Plus, 7=O₂)
lac40312 - Location Area Code 40312

Neighbours
Neighbours und Reselection zeigen fast das selbe an. Bei Reselection steht immer der aktuelle Kanal oben (soweit ich weiss), dann kommen die Nachbarn. Bei Neighbours werden nur die Nachbarn angezeigt. Die Nachbarn sind die Frequenzen die genommen werden wenn die aktuelle zu schwach wird. Wenn man bei O₂ ist und in der Liste tauchen T-Mobile Frequenzen auf, ist das Roaming aktiviert. Ansonsten ist es vermutlich abgeschalten (siehe auch Welche Kanäle nutzen die deutschen GSM Netzbetreiber).
0632 - BCCH (s.o.)
-80 76 - hat irgendwas mit dem Empfangspegel zu tun (glaube ich)

Reselection
0632 - BCCH (s.o.)
+22 - Empfangspegel (s.o.)

Serving CS/TB
Wird angezeigt während einer aktiven Verbindung.
ta00 - Timing Advance
-> Erklärung: Der Angezeigte TA-Wert liegt zwischen 0 und 63 bzw 3F. Multipliziert man die Zahl mit 550m, so erhält man den ungefähren Abstand zur BTS, über die man telefoniert (von Patricks GSM-Seiten).
f+29, s+29 - Möglicherweise Empfangspegel Sprachkanal und Kontrollkanal
coder EFR - Enhanced Fullrate

HINWEIS: Die Bildschirmfotos spiegeln nicht den selben Betriebszustand wieder. Sie wurden zu unterschiedlichen Zeiten aufgenommen.

Nützliche Links
Nobbis GSM-Seiten
Patricks GSM-Seiten (hauptsächlich O₂)
Harald Bögeholz - Mobilfunk (hauptsächlich O₂)
O₂ Mobilfunkstandorte

Nächste Woche schreibe ich noch mal was zu Gauß-Krüger-Koordinaten im O₂ Netz.

Silvio gibt nicht auf

Ein Spitzen-Politiker wie Silvio Berlusconi lässt sich nicht von solch lächerlichen Details wie einer Wahlniederlage beirren: "Das Wahlergebnis muss sich ändern". Da spricht der knallharte Macher der sich die Lehren von Pippi Langstrumpf verinnerlicht hat: "Düdeldüdeldü ich mach mir die Welt so wie sie mir gefällt".

Seine Kritiker bezeichnen ihn gerne als schleimigen korrupten Mafia-Freund und Egomanen. Nach der Wahlniederlage hatten sie ihn bereits abgeschrieben. Sie werden umdenken müssen. Der Wählerwille hat keine Chance gegen den stahlharten Willen Berlusconis.

Artikel

Rootkits finden mit IceSword

Hinweis: Der Artikel ist obsolet.
Neuer Artikel

Aus unserer Reihe "Geheimnisse des Morgenlandes" präsentieren wir heute IceSword.

IceSword ist ein ziemlich ausgefuchstes Programm um Windows-Rootkits aufzuspüren. Es kann versteckte Prozesse, Treiber, Dienste, Dateien etc. anzeigen (und löschen).

So findet man ein Rootkit: Zuerst den Windows Task-Manager (TASKMGR.EXE) starten und dann IceSword. Wenn IceSword ein Prozess anzeigt den der Task-Manager nicht sieht ist das vermutlich ein Rootkit.


Hier ist es "Hacker Defender" im Verzeichniss C:\Rootkit. Den Task kann man mit IceSword beenden (rechte Maustaste). Genauso verfährt man mit Treibern (Kernel Module), Diensten, etc. Unter File ist ein simpler Explorer der auch versteckte Dateien anzeigen und löschen kann.

Achtung! Der Datei- und Verzeichnissname von Hacker Defender und anderen Rootkits kann beliebig verändert werden. Häufig werden Namen benutzt die so ähnlich klingen wie Windows-Systemdateien.

IceSword Download (Englische Version, die aktuelle Version ist 1.16, aber die ist nur auf Chinesisch).

Tip: RAR-Dateien (und vieles andere) kann man mit 7-Zip öffnen.

Nebenbemerkung: Hacker Defender 100 ist ein ziemlich dämliches Rootkit. Der Treiber ist noch nicht mal versteckt, nur der .exe Prozess und der Dienst. Es gibt bessere Rootkits (Hacker Defender GOLD, neuere Fu-Varianten) die sich angeblich vor IceSword verstecken können.

Wenn ich mal dazu komme werde ich noch beschreiben wie man das AlphaDVD Kopierschutz-Rootkit findet und eleminiert.

Platzeck ist ein Marshmallow

Und im Gegensatz zu Veronica Mars ist er aussen weich und innen noch weicher. Der "Hoffnungsträger" der SPD trat gestern mit Tränen in den Augen vor die Kamera und kündigte seinen Rückzug an.

Wenn mal ein Politiker nicht wegen Skandalen zurücktritt ist das eine echte Abwechslung. Für eins, zwei Wochen werden die Medien vielleicht mal nicht ihre üblichen "alle Politiker sind korrupte Schweine" Geschichten bringen. Aber Platzeck ist schon jetzt fast vergessen. Weniger als 24 Stunden nach seinem Auftritt wird nur noch über Beck geredet.

Artikel

Geheimnisse der U-Bahn - Ans Licht gebracht

Endlich weiss ich wozu diese Dinger (die mir vorher nie aufgefallen sind) in den U-Bahn Stationen gut sind: Es sind Mobilfunk-Repeater für O₂ (und andere vermutlich). Feldstärke +68, stärker als neben einem Sendemast (wieviel ist eigentlich gesundheitsschädlich?)

US-Militärgeheimnisse auf dem Basar zu kaufen

Im afghanischen US-Stützpunkt Bagram haben Arbeiter Computerdateien gestohlen, auf denen Details über gesuchte Terroristen, afghanische Politiker und US-Ziele gespeichert waren. Das Diebesgut wurde später auf einem Basar angeboten.

Ich frage mich welche Details das US-Militär über afghanische Politiker sammelt... ("besonders schweigsam/devot/bestechlich")

Artikel

Motorola Mysterien

Mysterien des Field Test Status-Modus von Motorola Mobiltelefonen:

0642 ist meine Frequenz (der Sender auf dem Ärtztehaus am Busbahnhof), +23 die Feldstärke, 262 ist O₂, und der Rest... ?

Ban Comic Sans

Oops...

Gerade habe ich bancomicsans.com in die Link-Liste gepackt da ist der Server tot? Ich hoffe der erholt sich wieder...

Diverse Bilder

n2

std

RSS/ Atom Icons.

Foto

Ich muss ein besseres Foto von mir finden.

Kontakt

Wenn E-Mail nicht beantwortet wird, hat sie vermutlich der Spam-Filter gefressen.

Allgemeine Kommentare hier posten / Post general comments here.


Hinweis: Ich merke das, wenn hier Kommentare gepostet werden und kann sie bei Bedarf wieder löschen.