C-Ko

HDR

2010-03-01T23:58:00.001+01:00

Ich konnte mich dem allgemeinen Trend nicht mehr entziehen. Hier ein HDR-Bild vom alten Rathaus in meinem Dorf.

P.S.: Das fiese Bildrauschen im Hintergrund kommt von der Billigknipse bei ISO 400 oder so.

Charlie Brooker: Our world is doomed

2010-01-30T22:31:00.001+01:00

Zur Abwechslung mal ein paar Videos. Charlie Booker ist ein britischer Journalist / Satiriker und mein neuer Liebling. Wer die MTV-Sendung My Super Sweet 16 nicht kennt: Wikipedia Artikel lesen, dann Video sehen; laut lachen.

Herrlich, dieser Schlag gegen Comic Sans; ich liebe diesen Mann. Noch ein Video: Charlie Brooker - How To Report The News. Ein Instant Classic.

“Like he's gliding through the fucking matrix”. LOL. YouTube ist voll mit solchen Brüllern von ihm.

Links

Charlie Brooker. Wikipedia
My Super Sweet 16. Wikipedia
Ban Comic Sans. C-Ko

Winter vs Jörg – 0 : 2

2010-01-27T17:12:00.001+01:00

In Haiti gibt es Menschen, die sich noch nicht einmal einen kostenlosen Blog leisten können. Darum habe ich heute bei läppischen 9 Grad unter Null Geld gesammelt; mit 2 Mützen, Schal, 4 Pullovern, 2 Hemden, 2 Hosen und – der Geheimtipp - 2 Paar Handschuhen übereinander.

Der Winter kann mich nicht mehr erschrecken, seit ich vor Jahren bei 22 Grad unter Null die Sterne beobachtet habe. Nachts, draußen auf dem Feld, 4 Stunden am Stück.

Dabei bin ich total verweichlicht. Ich friere sogar im Büro. Aber eine gründliche Vorbereitung kann man nicht überschätzen.

Der Einsatz war nicht umsonst: Ich konnte den Erlös der Spendensammler am Montag um den Faktor 5 übertreffen. Und morgen bin ich wieder im Main-Taunus-Zentrum.

Die intelligentesten Kommentare:

Ich zahle genug Steuern
Auf Haiti sind eh alle Kommunisten (Frau im Pelzmantel)

Links

Hilfe für Haiti: Alle Spendenmöglichkeiten im Überblick. DRK

Hass führt zu mehr Hass

2010-01-21T15:35:00.001+01:00

3. Dezember: Anschluss bei Alice schriftlich gekündigt
Alice ruft an und gibt als Abschalttermin den 31. Januar an
Neuen Anschluss bestellt bei einem besseren Anbieter
21. Januar: Neuer Anbieter storniert Auftrag, nachdem Alice dem Providerwechsel nicht zugestimmt hat
Anruf bei Alice; höflich aber bestimmt geblieben
Schon wieder neuen Anschluss bestellt; kommt nicht vor dem 5. Februar
Panik wegen Internet-Lücke von 5 Tagen
Neue Kategorie angelegt: Wut
An Schulz von Thun gedacht. Wut verleugnet etwas von der emotionalen Realität.
Windows Live Writer kann keine Kategorien verändern. Unmut gegen Windows Live Writer - QED.

17 Jahre

2010-01-20T16:41:00.000+01:00

Nein, Silvio Berlusconi hat keine neue Freundin – nicht heute. Microsoft hat eine Überraschung für uns: Seit 17 Jahren gibt es in Windows eine “Local-Root” Sicherheitslücke. Damit kann sich jeder Benutzer zum Admin erheben. Tavis Ormandy von Google hat die Lücke entdeckt.

Perfekt für Bürosklaven und unterdrückte Kinder. Der grundgute Tavis hat auch gleich einen Exploit bereitgestellt. Es ist ein kleines Programm, das eine Kommandozeile mit Admin-Rechten öffnet. Dort kann man zum Beispiel unter XP Pro mit compmgmt.msc die Computerverwaltung starten.

Der Exploit geht unter Windows XP, Windows Server 2003 / 2008, Windows Vista
und Windows 7, möglicherweise Windows NT.

Das Programm heißt vdmallowed.exe und ist in dem Archiv KiTrap0D.zip. Link zum Download siehe unten.

Ich bin mal gespannt, wie lange die Anti-Virus Firmen brauchen um den Exploit in die Datenbank aufzunehmen. Besser gleich morgen früh Counterstrike installieren im Büro. :-)

Apropos Büro: Wenn jemand 4 Laserdrucker braucht, mit Parallel-Anschluss, HP 6L oder so – melden. Alle Geräte haben einen Schaden: Der Ausdruck ist ziemlich unschön. Die Drucker haben wir geschenkt bekommen vom Finanzamt!

P.S.: Wenn der Artikel Schrott ist, liegt es an meinem neuen Blog-Editor - Windows Live Writer. Ein Geschenk von Microsoft. Ha!

Links

Windows-Lücke nach 17 Jahren gefunden. Heise
Download des Exploits. (KiTrap0D.zip)

Flash Player Updater

2009-09-17T18:33:00.003+02:00

Wie ich in diesem Artikel bereits schrieb, ist der Updater von Adobe nicht wirklich gelungen. Daher habe ich dieses Programm gemacht.

Malware-Hinweis
Es gibt Webseiten, die als Flash Player getarnte Schadprogramme verbreiten. Daher der Hinweis: Dieses Programm ist im Quellcode einsehbar. Wenn man mit der rechten Maustaste auf das Programm klickt und "Bearbeiten" wählt, kann man den Quellcode ansehen.

Beschreibung
Das Programm FlashPlayerUpdater.vbs liest die Version aus den installierten Flash Player Plugins aus. Dazu muss kein Web-Browser gestartet sein. Dann wird die neueste Version über das Internet von Adobe abgefragt. Wenn es eine Aktualisierung gibt, wird dem Benutzer dies angezeigt und die Installation angeboten.

Dieses Programm installiert nicht das Adobe Flash Player Plugin/ Control. Nur das bereits vorhandene Aktualisierungsprogramm wird bei Bedarf gestartet.

Funktionen

Getestet unter Windows XP / Windows Vista 32-Bit. 64-Bit-Versionen werden nicht unterstützt - dafür gibt es auch kein Flash Player.
Mehrsprachig.
Unterstützt Flash Player Plugin / Control für ActiveX (Internet Explorer) und NPAPI (Firefox).
Browser-Erkennung - fordert den Benutzer auf den Web-Browser zu schließen um das Update durchzuführen.
Event Log wird benutzt.
Unterstützt den Kommandozeilen-Parameter /S. Damit wird kein Fenster angezeigt wenn es kein Update gibt. Mit diesem Parameter kann man das Programm stündlich aufrufen lassen um nach Updates zu suchen. Ohne den Parameter wird jedes mal angezeigt, dass es kein Update gibt.

Fehler/ Probleme

Nur Version 10 des Flash Players wird unterstützt. Grund: Ein Update von Version 9 auf 10 ist nicht möglich. Der Updater bietet das Update zwar an, es funktioniert aber nicht. Außerdem gab es in Version 8 noch keinen Updater für die NPAPI-Version. Die DLL wurde einfach in das Plugin-Verzeichnis des Browsers gekippt. Selbst wenn ich die gesamte Festplatte nach der DLL durchsuchen würde, könnte ich kein Update anbieten. Die DLL muss von Hand gelöscht werden und die neueste Version von Adobes Website installiert werden.
Der Web-Browser Lunascape ist böse.

Download

http://novalee.gmxhome.de/FlashPlayerUpdater.zip

Hinweis: Wenn Adobe eine neue Version herausbringt, wird die Kontrolldatei auf ihrem Server erst Stunden nach der Veröffentlichung aktualisiert. Daher meldet der Updater die neue Version nicht sofort. Das ist kein Fehler im Programm, der Fehler liegt bei Adobe - was sonst. :-)

Links

Rezept: Nudelsalat Typ H

2009-09-16T18:57:00.000+02:00

Für zwei Personen.

Zutaten
Nudeln (250g, bunte)
Einfarbige Nudeln sind technisch möglich, bunte sehen aber besser aus.
Erbsen (ca. 120g)
Tiefgefrorene sind besser als aus der Dose (würg).
Karotten (2 Stück)
Paprika (1-2 Stück)
Fenchel (ein kleiner)
Gekochter Schinken (80g)
Miracel Whip So leicht oder Balance
Sojasauce
Das Gute O

Zubereitung

Nudeln kochen (Überraschung).
Karotte, Paprika und Fenchel ziemlich klein schneiden.
In der Pfanne/ Wok in reichlich Olivenöl andünsten (5-7 Minuten) mit Deckel.
Schinken nicht zu klein schneiden, ab in den Wok.
Etwas Sojasauce drüber (ein Esslöffel).
Erbsen auftauen/ erhitzen (schlauerweise im Nudelwasser).
Alles in den Wok/ eine Schüssel und Miracel Whip dazu (ein halbes kleines Glas, d.h. zwei gehäufte Esslöffel oder so).

Tip: Kann man auch kalt essen.

Rezept: Tagliatelle Tofunese (vegan)

2009-09-14T22:52:00.002+02:00

So ähnlich wie Spaghetti Bolognese, nur mit Tofu und Sojasauce und Tagliatelle, also neo-klassisch Italienisch.
Vorsicht: Den Namen habe ich patentiert.
Für zwei Personen (eine davon hungrig).
Dauert ca. 1/2 Stunde.

Zutaten
Tagliatelle 250g
Provamel Bio Tofu Gehacktes 180g
Zur Not tut es auch Hackfleisch.
Tomaten (3 Stück, schöne reife)
Tomatenstücke in der Dose (1/2 Dose)
Tomatenmark
Karotte (Mittelgroß)
Sellerie (Stange, 1-2 Stück)
Zwiebeln (2 Stück)
Olivenöl
Sojasauce
Provamel Bio Soya Cuisine
Ich arbeite echt nicht für die. Zur Not tut es auch Creme Fraiche oder Sahne oder so was.
Gewürze (Oregano, Basilikum, Majoran, Rosmarin und Thymian)
Basilikumblätter zum dekorieren
Knoblauch
Salz
Pfeffer

Zubereitung

Wasser aufsetzen (reichlich, Tagliatelle sind voluminös und wir brauchen es um die Tomaten zu häuten).
Sellerie sehr klein schneiden (Hinweis: Eine Stange heißt nicht eine Pflanze, sondern von einer Pflanze eine Stange).
Karotte kleinschneiden (ziemlich klein).
Zwiebeln kleinschneiden (dito).
1/2 Dose gehackte Tomaten in eine Schüssel tun, etwas Tomatenmark dazu und Wasser oder Gemüsebrühe. Dazu Oregano (reichlich), Basilikum (nicht zu wenig), Majoran, Rosmarin (wenig), Thymian (wenig), Salz und Pfeffer geben und verrühren.
In der Pfanne/ Wok/ Skänka Olivenöl erhitzen (wie immer nicht mit dem Öl sparen).

Zwischenzeitlich bei den Tomaten den Stunk rausschneiden und oben kreuzweise einritzen.
Wenn das Nudelwasser kocht, die Tomaten zwei Minuten reinlegen.
Dann rausnehmen und mit kaltem Wasser abspülen.
Dann die Nudeln ins kochende Wasser geben.
Bei den Tomaten die Haut abziehen. Zwei Tomaten kleinschneiden (nicht zu klein).
Eine gehäutete Tomate in Scheiben schneiden, zum dekorieren verwenden.

Sellerie ca. 5 Minuten im Wok schmoren (Deckel drauf, wenn vorhanden).
Karotte dazugeben, ein paar Minuten erhitzen.
Sellerie und Karotte zur Seite schieben und Zwiebeln mit nicht zu wenig Salz und Knoblauch anbraten (ein paar Minuten).
Tofu Gehacktes dazugeben, kurz anbraten. Bei der Gelegenheit noch reichlich vom guten Olivenöl dazukipppen. Gut umrühren.
Tomaten-Gemisch und die kleingeschnittenen Tomaten dazugeben, wenn es zu fest ist noch etwas Wasser/ Gemüsebrühe.
Sojasauce, ca. 1-2 Esslöffel. Gut umrühren.

Fertige Nudeln abtropfen lassen und in den Wok kippen.
Provamel Bio Soya Cuisine dazu, ca. 2 Esslöffel.
Alles gründlich umrühren. Ein stabiler Bratenwender bietet sich an.
Nach Bedarf mit Basilikumblättern und der Tomate garnieren.

Hinweis: Tofu nicht stundenlang köcheln lassen wie bei Hackfleisch üblich.

Rezept: Nudeln mit Tomaten (vegan)

2009-09-13T14:18:00.003+02:00

Für zwei Personen (eine davon verfressen).
~~Geklaut~~ inspiriert von Jamie Oliver.

Zutaten
Nudeln (Fusilli) 250-300g
Tip: Bio-Fusilli gibt es günstig bei Rewe.
Tomaten 8-12 Stück
Ich nehme nur Bio-Tomaten aus dem Bioladen
Olivenöl
Sojasauce (z.B. Kikkoman)
Essig (Balsamico-Art)
Knoblauch
Ich nehme immer diese Mühle mit "Knoblauchgranulat". Nicht die Empfehlung vom 37-Sterne-Koch, aber praktisch.
Oregano
Basilikum
Gefriergetrocknet ist besser als getrocknet. Hat schon mal jemand frischen Oregano im Supermarkt gesehen?
Salz
Pfeffer

Zubereitung

Tomaten in Scheiben schneiden.
In ein Standsieb legen. Salzen, salzen, salzen. Umrühren. Mehr salzen. Ich liebe Salz.
10 Minuten herumliegen lassen, gelegentlich schütteln damit die Flüssigkeit abläuft.
Nudeln kochen.
Tomaten in eine Schüssel tun.
Oregano (reichlich) dazugeben und etwas Basilikum. Hinweis: Kräuter (besonders gefriergetrocknete) vor dem Öl dazugeben und etwas umrühren.
Olivenöl (ca. 8 Esslöffel). Ich liebe Olivenöl.
Essig (ca. 2 Esslöffel) oder Essig (ca. 1 Esslöffel) und Sojasauce (ca. 1 Esslöffel). Kann auch etwas mehr sein.
Knoblauch (nicht zu wenig, ca. 10x drehen wenn man diese Mühle hat).
Pfeffer (ca. 5x drehen).
Tomaten etwas umrühren und ziehen lassen.
Nudeln dazu kippen.
Umrühren und 5 Minuten ziehen lassen.

Tip: Man kann die Tomaten anstatt mit Nudeln auch mit Mozarella servieren.

Über Adobe Flash Player (Teil 2: Update)

2009-09-12T21:43:00.004+02:00

Funktionsweise des Adobe Flash Player Plugin Auto-Update (unter Windows)

Im ersten Teil haben wir gelernt was das Flash Player Plugin eigentlich ist. Jetzt sehen wir uns mal das etwas schwierige Update-System an.

Update konfigurieren
1. Settings Manager (siehe Bild)
Mit der rechten Maustaste (als Rechtshänder) auf irgendeine Flash-Werbung klicken, im Kontextmenü "Einstellungen..." wählen. Wenn der Dialog "Einstellungen für Adobe Flash Player" erscheint, auf das blaue Fragezeichen rechts oben klicken. Hinweis: Wenn die Flash-Animation zu klein ist, erscheint das Fenster nicht.

Auf der Webseite, die jetzt kommt, links unter "Table of Contents" auf "Global Notifications Settings Panel" klicken. Dann sollte der Dialog wie im Bild erscheinen. Dort kann man einstellen, wie oft Updates (Aktualisierungen) gesucht werden sollen.

Nachteil: Im Settings Manager kann man nur 60, 30, 14 oder 7 Tage auswählen.

2. Config-Datei
Das Plugin / Control sucht nach einer Datei mit dem Namen mms.cfg in folgenden Verzeichnissen:

Windows: \Windows\System32\Macromed\Flash
Macintosh: /Library/Application Support/Macromedia
Linux: /etc/adobe/

In dieser Textdatei kann man diverse Dinge einstellen. Details siehe Flash Player Administration Guide unter Links. Interessant ist hier vor allem der Eintrag

AutoUpdateInterval = 1

Damit sucht das Plugin / Control jeden Tag nach Updates.

Wichtig: Wenn im Settings Manager das Häkchen "Wenn Sie diese Einstellung aktivieren..." im Dialog oben nicht gesetzt ist, wird auch AutoUpdateInterval in der mms.cfg-Datei ignoriert. Das Häkchen ist standardmäßig gesetzt.

Wie geht jetzt das Update?
Das Plugin versucht eine Datei zu erzeugen und einen Wert in die Registry zu schreiben:

C:\WINDOWS\system32\Macromed\Flash\testUpdate.txt

HKLM\SOFTWARE\Macromedia\FlashPlayer\AutoUpdateTest

Beides erfordert normalerweise Administrator-Rechte. Wenn das nicht funktioniert wird kein Update durchgeführt. Die Datei wird wieder gelöscht.

Dann lädt das Plugin die neueste Versionsnummer aus dem Internet.

Wenn ein Update verfügbar ist, installiert das Plugin einen "Runonce" in der Registry (HKCU-Zweig). Ein Runonce ist ein besonderer Autostart. Beim Start des Systems wird der Eintrag einmal ausgeführt und dann gelöscht.

Dieser Runonce startet das Update-Programm von Flash Player. Der NPAPI-Updater heißt NPSWF32_FlashUtil.exe. Der ActiveX-Updater heißt FlashUtil10b.exe oder so. Der genaue Dateiname des ActiveX-Updaters hängt von der Versionsnummer ab.

Der Updater lädt (für die NPAPI-Version) die Datei fpdownload2.macromedia.com/get/flashplayer/update/current/install/install_all_win_pl_sgn.z.
Diese Datei ist offensichtlich komprimiert. Die Methode ist mir nicht bekannt (es ist nicht compress[1]). Sachdienliche Hinweise bitte an mich.

Nachteile des Update-Systems
Das Update-System hat einen verheerenden Konstruktionsfehler: Wenn ein Update gefunden wird, wird keine Meldung ausgegeben und nichts installiert. Erst wenn der Benutzer mit Admin-Rechten sich nach dem nächsten Neustart wieder anmeldet wird das Update angezeigt.

Das ist offensichtlich problematisch, wenn der Computer nicht täglich einen Neustart macht - oder wenn der Benutzer nicht Admin ist.

Richtig krank daran ist, dass ein Neustart technisch nicht nötig ist. Es reicht den Browser zu beenden und das Update-Programm zu starten. Die neue Version wird sofort aktiv.

Da das Update-System teilweise im Flash Player Plugin eingebaut ist, funktioniert es logischweise nur wenn man es benutzt. Wenn man zum Beispiel Firefox oder Opera benutzt (NPAPI) wird man nicht auf Updates des ActiveX-Controls aufmerksam gemacht.

Nur als Administrator
Ein anderer Nachteil des Update-Systems ist, dass es nur funktioniert wenn man den Webbrowser als Administrator benutzt. Mit ein paar Tricks funktioniert es auch als eingeschränkter Benutzer. Wenn man dem Benutzer Schreibrechte auf die Testdatei und den Registry-Wert (siehe oben) gibt, wird der Runonce auch für eingeschränkte Benutzer angelegt. Allerdings funktioniert das Update-Programm selbst nur als Administrator. Mit dem äußert nützlichen SuRun kann man auch dieses Problem umgehen.

Idee zu einem besseren Update-Programm
Theoretisch sollte es möglich sein die Versionsnummer aus den Flash Player-DLLs auszulesen. Dann mit der aktuellen Versionsnummer aus dem XML-Dokument von Adobes Website vergleichen um bei Bedarf den Updater zu starten. Dieses Programm könnte man vom Taskplaner jede Stunde ausführen lassen, damit Updates sofort angezeigt werden - auch wenn man gerade kein Web-Browser benutzt.

Die gute Nachricht: Ich habe dieses Programm bereits geschrieben. Ich werde es in ein paar Tagen hochladen wenn ich es noch etwas debuggt habe.

Der beliebte Google-Werbeträger Firefox hat in der Version 3.5.3 eine Erkennung von veralteten Flash Player-Versionen. Genau genommen ist die Erkennung in der dazugehörigen Webseite eingebaut. In den Browser soll es erst in Version 3.6 wandern.

Das ist zwar etwas schräg, aber besser als nichts. Zweifelhaft ist allerdings, ob die Leute das Update wirklich durchführen.

Demnächst schreibe ich noch mal was zu Flash Cookies (LSO).

Tip: Unter der Adresse http://www.adobe.com/software/flash/about/ kann man sich die Version des Plugins/ Controls anzeigen lassen. Diese Seite kann man auch im Kontextmenü des Plugins unter "Über Flash Player" aufrufen.

Links

Über Adobe Flash Player (Teil 1: Blah blah). C-Ko
Adobe Flash Player Administration Guide for Flash Player 10. Adobe
Firefox: Neue Version erkennt unsichere Flash-Plugins. Netzwelt
Mozilla schützt Anwender vor veraltetem Flash-Plug-in. Heise Online
Firefox: Spion-Programm tarnt sich als Flash-Update. Die Presse

Über Adobe Flash Player (Teil 1: Blah blah)

2009-09-11T20:10:00.008+02:00

Der allseits beliebte Video- und Werbebetrachter Flash Player von Adobe ist laut den vom Hersteller verbreiteten Statistiken auf fast jedem Rechner installiert (interessante Nebenbemerkung: Dieses SVG in der verlinkten Statistik ist ursprünglich u.a. von Adobe und sollte eigentlich ein Flash-Konkurrent werden).

Im zweiten Teil beschreibe ich das Update-System (und warum man es nicht verwenden sollte).

Aber erst mal ein paar allgemeine Bemerkungen, damit klar wird wovon ich hier überhaupt schreibe (der interessante Teil kommt danach).

Was ist Flash?
Adobe Flash ist ein ziemlich teures Programm um Animationen und im weitesten Sinne interaktive Anwendungen zu entwickeln. Mit Flash kann man Kurzfilme, Bildschirmschoner, Spiele, im Prinzip alles programmieren. Seine Kreation kann man anschließend "kompilieren" und mit dem Flash Player abspielen. Also: Flash macht die Animationen, Flash Player spielt sie ab.

Flash ist ursprünglich von irgendeiner Firma die von Macromedia aufgekauft wurde. Darum ist es als Macromedia Flash bekannt. Seit Adobe Macromedia aufgekauft hat logischerweise als Adobe Flash.

Flash Player
Der Flash Player ist ein kleines Programm, das kompilierte Flash-Anwendungen (Dateierweiterung SWF = Shockwave Flash / Small Web Format) abspielen kann. Viele Bildschirmschoner sind eigentlich der Flash Player und die kompilierte Anwendung in einer Exe-Datei. Man kann Flash Player bei Adobe kostenlos als Exe-Programm herunterladen. Macht aber keiner.

Üblicherweise verwendet man das Flash Player Plugin. Das ist wie der Flash Player, nur im Web-Browser eingebaut. Dadurch können Webseiten Flash-Anwendungen einbinden. Viele Leute bezeichnen das Flash Player Plugin fälschlicherweise als "Flash". Ich werde das Flash Player Plugin als "Plugin" bezeichnen.

Hinweis: Ex-Macromedia Shockwave Flash ist nicht Macromedia Shockwave. In den 90ern hat MM den Namen Shockwave für alles mögliche benutzt.

Was ist ein Web-Browser-Plugin?
Unter Windows gibt es zwei Technologien: Microsofts ActiveX und NPAPI (Netscape Plugin API). Um es kurz zu machen: ActiveX (die Technologie wird auch OLE/ COM genannt) ist 1000x leistungsfähiger aber im Prinzip genauso wie NPAPI. ActiveX Plugins werden normalerweise "Control" genannt. Man sagt also "das Flash Player Control". ActiveX wird von Internet Explorer verwendet. Netscape/Firefox/Opera verwenden (Überraschung) NPAPI.

Der Browser gibt die SWF-Datei (alias "Flash-Animation") an das Plugin. Dann reserviert der Browser eine Fläche auf dem Bildschirm und übergibt sie an das Plugin. Das Plugin zeichnet die SWF-Datei dann auf den Bildschirm innerhalb des Browser-Fensters, so dass es so aussieht als ob der Browser das SWF darstellen würde.

Das Plugin kann u.a. mit Javascript interagieren. So kann man manchmal durch rumklicken auf der Webseite beeinflussen was das Plugin macht.

So ein Plugin/Control ist technisch gesehen eine DLL (unter Windows) die vom Web-Browser geladen wird. Wenn der Browser auf einen bestimmten Inhalt trifft, für den sich das Plugin angemeldet hat, wird das Plugin gestartet. Die DLL mit dem ActiveX-Control trägt die Erweiterung OCX (ist aber ansonsten eine normale DLL).

Da ActiveX und NPAPI nicht kompatibel sind, gibt es vom Flash Player jeweils eine Version dafür.

Übrigens: NPAPI stammt von Adobe (lange bevor sie Macromedia aufgekauft haben) und ActiveX von Visual Basic.

Details siehe diese Wikipedia-Artikel:

Wer bis hierher gelesen hat, darf jetzt erst mal diesen Cartoon betrachten.

Was ist eine DLL?
Zu kompliziert für diesen Artikel (im Prinzip ein normales Exe-Programm ohne "Hauptprogramm").

Warum ist Flash Player ein Sicherheitsproblem?
Egal ob ActiveX oder Netscape Plugin, Flash Player läuft innerhalb des Web-Browsers und hat dessen Rechte.

Die in Windows Vista neu eingeführten Verbindlichkeitsstufen (Integrity Levels) werde ich jetzt mal weglassen, sonst muss ich den Artikel als Buch veröffentlichen. Da der Internet Explorer der einzige Browser ist, der dies unterstützt, interessiert mich das auch nicht wirklich.

Da eine DLL also im Prinzip ein normales Windows-Programm ist, kann Flash Player - als Administrator ausgeführt - machen was es will. Eine entsprechende Sicherheitslücke im Plugin bedeutet, dass jede Webseite mit jedem Besucher machen kann was sie will.

Grundlegende Sicherheitsregeln für das Flash Player Plugin/ Control

Web-Browser (und damit das Flash Player Plugin/ Control) nicht als Administrator ausführen.
Immer die neueste Version installieren.
So was wie FlashBlock (für Firefox) installieren.

Das zweite ist leider schwierig. Wie wir im zweiten Teil (noch länger) sehen werden, ist das Update-System von Adobe äußert dämlich.

Links

Largest Adobe Flash crash in the world. Michael Krigsman. Hat garantiert nichts mit dem Thema zu tun.
80 Prozent der Anwender surfen mit verwundbaren Flash-Versionen. Heise Online.

Weiter in Teil 2.

Weißbrot

2009-08-13T23:11:00.003+02:00

Meine Oma hält Weißbrot für Gift. Aber es ist köstlich. Und so weiß.

Weißbrot hat ein Problem: Es wird schnell hart. Wenn ich es morgens kaufe, ist es am Abend bereits leicht vertrocknet. Ich hielt das immer für normal.

Am Montag habe ich das Brot selber gebacken. Mehl, Wasser, Hefe, Salz, Zucker, Öl. Das Brot ist jetzt (Donnerstag Abend) immer noch absolut essbar.

Wieso hält mein Brot bis jetzt 4 Tage, während gekauftes Brot nach 2 Tagen nur noch zum Enten füttern brauchbar ist?

Theorien:

Es liegt am Mehl. Ich verwende besseres.
Das Brot vom Bäcker ist gar nicht frisch.
Bäcker machen das Brot absichtlich so.

Update: Habe gerade gelesen, dass Weißbrot aus Mehl vom Typ 550 oder 812 gemacht wird. Ich habe 405 genommen.

Wieder da

2009-08-13T21:15:00.002+02:00

Grüße,

die Gerüchte über meinen Blogger-Tod waren übereilt. Ich bin jetzt noch zäher als vorher und werde euch alle überleben. Außerdem sehe ich besser aus.

Nachher schreibe ich vielleicht noch einen faszinierenden Artikel über Brot.

Nachrichten

2007-09-12T21:01:00.000+02:00

Jeder kennt diese zähen Tage, wo nichts passiert, Ödnis, Langeweile regiert.

Aber nicht so heute. Heute jagt ein Brüller den nächsten. Seit ich heute morgen gelesen habe, dass Günter Freiherr von Gravenreuth alias Tanja in den Knast kommt, komme ich nicht mehr aus dem Grinsen heraus.

Einige der Highlights: Dieter Bohlen verlässt Deutschland. Schäubles Website gehackt. Panik und Verletzte bei Media Markt Eröffnung.

Wer braucht noch Seifenopern im Fernsehen, wenn es doch die Nachrichten gibt.

Nach Feuerwehrangaben brach gegen 1 Uhr eine Panik an den Notausgängen aus. Im Gedränge hätten einige Menschen Schwächeanfälle und Knieverletzungen erlitten. Die Glastür des Haupteingangs hielt dem Andrang nicht stand und zersplitterte, einige Besucher zogen sich Schnittverletzungen zu. Sechs Menschen wurden ins Krankenhaus gebracht. -- Focus

Nein, kein Terroranschlag, Media Markt.

Links

Freiheitsstrafe für Abmahnanwalt. Taz
Internetszene jubelt. Taz
Bohlen zieht auf die Insel. Spiegel
Schäuble isoliert: Innenminister verweist auf Localhost. Heise
Aldi-Notebook mit Virus an Bord. Heise
Andere Zeitrechnung: Äthiopien feiert das Jahr 2000. Yahoo
Rentner wird seit neun Monaten der Volksverhetzung verdächtigt. Gulli
Ebola-Ausbruch fordert 166 Todesopfer. Süddeutsche
Zur "Media Markt"-Eröffnung? Ich bin doch nicht blöd! FAZ

Die Geschäftsidee

2007-08-24T18:48:00.000+02:00

Dummenfang und Abzocke gibt es an jeder Ecke im Internet. Aber auch nach all den Jahren bin ich immer noch gelegentlich erstaunt, was SIE sich alles einfallen lassen.

Mit einer Mischung aus Unglauben und Entsetzen musste ich feststellen, dass die Website helpdrivers.com fremde Windows-Treiber "verkauft" - scheinbar schon seit 7 Jahren. Sie "verkaufen" beispielsweise den ATI Catalyst Treiber für nur 5,94 Dollar.

http://www.helpdrivers.com/ingles/paypal/download.asp?codigo=10397

Natürlich steht im kleingedruckten, dass man nicht für den Treiber bezahlt (der ist ja auch kostenlos und gehört helpdrivers.com gar nicht), sondern für den "Service".

"Helpdrivers does not charge for the drivers, only for the search service, classification, storage and, finally, user access to the download area."

Sie führen auch noch anderen Kram wie BIOS Updates für Digitalkameras. Komischerweise ist vieles umsonst oder ein Link auf die Herstellerseite, alles andere kostet 5,94 Dollar. Der Maustreiber von Microsoft kostet sogar 7,14 Dollar. Aua! Sie versuchen noch nicht mal zu verheimlichen, dass der Treiber von MS ist.

Soll man da lachen oder weinen? Und: Wie doof muss die Kundschaft dieser Site eigentlich sein? Laut Google wird sie auch noch fleißig verlinkt, u. a. von Heise und Microsoft (!).

Demnächst auf diesem Blog: Grundstücke auf dem Mond und Sterne am Himmel zu vermieten.

Links

Secunia Personal Software Inspector und andere

2007-07-25T21:38:00.001+02:00

Der neue Secunia Personal Software Inspector ist für Anwendungsprogramme, was Windows Update für Windows ist.

Die Beta-Version des kostenlosen Programms zeigt an, welche der installierten Programme Updates brauchen - und kann die meisten davon auch gleich runterladen (oder versucht es zumindest). Die gesamte Festplatte wird nach installierten Programmen durchsucht.

Die Erkennung ist nicht immer tagesaktuell. Statt 7-Zip 4.51 wurde 4.48 als aktuell angezeigt. Im allgemeinen scheint die Datenbank nicht sehr gut zu sein.

Die vorletzte Version von Opera wird als aktuell erkannt. Der FTP-Client FileZilla wird korrekt als veraltet erkannt, der angebotene Download funktionierte nicht. Eine völlig veraltete Version von UltraVNC wird als aktuell erkannt. XEmacs wird nicht gefunden.

Personal Software Inspector scheint nur zu funktionieren, wenn der Benutzer als Admin angemeldet ist. Was vermutlich daran liegt, dass es sich wie ein Virus-Scanner im Tray festsetzt und das System im Hintergrund bewacht. Dazu wird der Treiber psi_mf.sys installiert.

Wozu ist der Wächter gut? Er verhindert nicht die Installation von veralteten Versionen und hat auch sonst keinen erkennbaren Zweck. Wozu der Treiber benötigt wird ist ebenso ein Rätsel.

Personal Software Inspector hat keine lokale Datenbank, sondern sammelt Informationen über alle installierten Programme und sendet sie über eine verschlüsselte Verbindung an Secunia. Dort werden die Daten anonym gespeichert und das Ergebniss der Analyse zurückgeschickt. Die gesammelten Daten bei Secunia sollen gelöscht werden, 12 Monate nachdem man aufgehört hat das Programm zu benutzen oder sofort wenn man die Registrierung löscht. Allerdings bietet die Website gar keine Registrierung an.

Als besonderen Service zeigt PSI bei vielen Sicherheitslücken auch die Advisories des Sicherheitsdienstleisters Secunia an. Es steht nicht nur "neue Version verfügbar" da, sondern eine Beschreibung der Sicherheitslücke.

Keine Alternative ist Automatic Update Client. Auch dieses Programm sucht automatisch nach installierten Anwendungen, erkennt aber nur eine Handvoll. PSI soll über 4200 erkennen. AUC ist schlecht gepflegt und fehlerhaft - es "erkennt" einen ATI-Catalyst Treiber wo keiner existiert. Dagegen wird eine veraltete Version von Quicktime als aktuell eingestuft.

Eine echte Alternative ist Bernd Otts Software-UpToDate (Bild). Es soll 5721 Programme erkennen. Im Test kannte es sogar die Version 5.51 von 7-Zip, die erst wenige Stunden alt war. Auch Opera und UltraVNC wurden korrekt erkannt. FileZilla und XEmacs werden nicht unterstützt. Zumindest werden die nicht unterstützten Programme hier auf Wunsch angezeigt.

Software-UpToDate findet keine Programme, die einfach in ein Verzeichnis kopiert wurden. Die Programme müssen korrekt installiert sein. Dafür ist der Such-Prozess sehr schnell.

Sowas wie eine Privacy Policy hat Software-UpToDate nicht. In der FAQ steht "SUTD ist ein Community-Projekt, d.h. über den Client werden neuere Versionen gemeldet." Offensichtlich findet auch hier eine Datenspeicherung statt.

Das Programm ist rein passiv, es gibt keinen Hintergrundprozess, gescannt wird nur auf Knopfdruck.

Links

Neue Versionen von IceSword, Rootkit Unhooker und Sophos Anti-Rootkit

2007-07-13T01:24:00.000+02:00

In den letzten Tagen sind neue Versionen unserer Lieblings-Anti-Rootkit Software erschienen:

(Ich weiss nicht genau wie lange es Sophos Anti-Rootkit 1.3 schon gibt, ich habe es nur jetzt erst bemerkt.)

IceSword 1.22 English Version
Wichtigste Neuerung: Der Advanced Scan (siehe Bild). Rootkit Unhooker ist da aber irgendwie aussagekräftiger.

Update: Das nehme ich zurück. Sieht aus, als findet die Advanced-Funktion von IceSword die tcpip.sys-Manipulationen von Rustock.B (was RKU schon länger tut). Der versteckte Treiber wird nach wie vor nicht gefunden.

Im Kontextmenü von Process gibt es jetzt Find Modules. Dort kann man die geladenen Module alias DLLs durchsuchen.

Update: Unter View->Hide signed Items gibt es jetzt die Option, signierte Dateien zu verstecken (genau wie bei den Programmen von Sysinternals). Leider ist die Funktion etwas primitiv und ich glaube nicht, dass IceSword die Signaturen validiert.

Auch der Registry-Teil hat eine neue Suchfunktion (rechte Maustaste). der Dateiexplorer findet jetzt Alternative Datenströme (ADS). Die ADS-Implementation sieht ziemlich gut aus.

Update: IceSword findet mit der neuen Suchfunktion den versteckten ADS des Unreal.A Rootkits.

Die neue Version kann jetzt eine veränderte SSDT wiederherstellen (a la Rootkit Unhooker). Unerwünschte BHOs können sofort gelöscht werden.

Hinweis: Da diese Chinesischen Server irgendwie immer schlecht erreichbar sind, habe ich das Programm noch mal bei SpeedyShare hochgeladen.

Rootkit Unhooker LE 3.7.300.501
Wichtigste Neuerung: RKU unterstützt jetzt Windows Vista 32 Bit.
Zeigt eine Shadow SSDT an (keine Ahnung was genau das ist...).

Eine neue "About"-Box.

Sophos Anti-Rootkit 1.3
Soll verbesserte Erkennungs- und Bereinigungs-Funktionen haben.
Die Farbe des Icons wurde leicht verändert.

Links

Artikel in pjf's Blog über IceSword 1.22en (auf Chinesisch)
IceSword 1.22en direkter Download (aus China)
IceSword 1.22 en von SpeedyShare runterladen
Rootkit Unhooker Homepage, Download
Sophos Anti-Rootkit

Apple gibt Windows 2000 auf, verseucht Java

2007-07-13T00:57:00.000+02:00

Die neueste Version von QuickTime, 7.2, gibt es offiziell nur noch für Windows XP und Windows Vista (und Mac OS). Stillschweigend hat Apple das gute alte Windows 2000 noch vor seinem offiziellen End of Life von der Liste der unterstützten Systeme genommen. Bei Version 7.1 war es noch drauf. Aufgrund der Sicherheitslücken kann man jetzt QuickTime unter W2k praktisch nicht mehr benutzen.

Sehr schön auch für XP und Vista: QuickTime installiert ungefragt QuickTime für Java. Selbst wenn man das QuickTime-Plugin im Browser aus Sicherheitsgründen abgeschaltet hat, verseucht es das System. Jede Lücke in QuickTime für Java verwandelt das neueste Java-Plugin in ein offenes Scheunentor. Überflüssig zu erwähnen, dass die Version 7.1 eine solche Lücke hat.

QuickTime für Java lebt in der Datei \Programme\Java\jre1.6.0_02\lib\ext\QTJava.zip oder ähnliche. Durch einfaches löschen ist das Problem beseitigt.

Alternative: VLC media player. Spielt Mov-Dateien ohne Apple-Code.

Links

Windows herunterfahren zu langsam? - UPHC!

2007-07-07T14:51:00.000+02:00

Ich habe beim herumstöbern auf der Microsoft-Website ein Wundermittel gegen das langsame Herunterfahren bei Windows XP und Windows 2000 entdeckt: Der User Profile Hive Cleanup Service. Das ist ein kleiner Dienst von Microsoft, der unwillige Programme von der Registry trennt. Er läuft als uphclean.exe im Hintergrund.

Der Effekt ist dramatisch (bei mir). Vorher dauerte das Herunterfahren oder Rebooten gut und gerne ein oder zwei Minuten (in der der Rechner nichts tat), jetzt nur noch Sekunden.

Achtung Nebenwirkung: Der Dienst scheint die Installation von Acronis True Image zu verhindern. Man kann ihn aber über die Diensteverwaltung leicht vorübergehend beenden.

The User Profile Hive Cleanup service helps to ensure user sessions are completely terminated when a user logs off. System processes and applications occasionally maintain connections to registry keys in the user profile after a user logs off. In those cases the user session is prevented from completely ending. This can result in problems when using Roaming User Profiles in a server environment or when using locked profiles as implemented through the Shared Computer Toolkit for Windows XP.

On Windows 2000 you can benefit from this service if the application event log shows event id 1000 where the message text indicates that the profile is not unloading and that the error is "Access is denied". On Windows XP and Windows Server 2003 either event ids 1517 and 1524 indicate the same profile unload problem.

To accomplish this the service monitors for logged off users that still have registry hives loaded. When that happens the service determines which application have handles opened to the hives and releases them. It logs the application name and what registry keys were left open. After this the system finishes unloading the profile.

Aber nicht zu enthusiastisch downloaden: Windows kennt noch ca. 1000 andere Shutdown Probleme...

Links

User Profile Hive Cleanup Service. Microsoft.
Andere Tips von Peter Jasik.

Tödlicher Sand

2007-07-03T04:07:00.000+02:00

Achtung, Rhonda!

Der Tod lauert immer und überall: Der US-Fernsehsender abc-News berichtet, dass in den letzten 10 Jahren mehr als zwei duzend Leute in den USA in Sandlöchern am Strand gestorben sind:

Waves and sharks aren't the only dangers at the beach. More than two dozen young people have been killed over the last decade when sand holes collapsed on them, report father-and-son doctors who have made warning of the risk their personal campaign.
Since 1985, at least 20 children and young adults in the United States have died in beach or backyard sand submersions.

Hmm.... Statistiken. Wenn man lange genug sucht, findet man heraus, dass nachts bloggen Krebs erzeugt.

In dem langen Artikel wird auch noch ein skurriles Vater / Sohn Gespann beschrieben, die am Strand entlangschleichen und die Leute vor den Löchern warnen.

Links

Sand More Deadly Than Sharks at Beach. abc News (via Bruce Schneier)

Wieder da

2007-07-03T03:19:00.000+02:00

Es kommt mir vor, als hätte ich seit Jahren nichts geschrieben hier. Trotzdem steigen die Besucherzahlen sogar noch an hier? Was will uns das sagen?

Dafür habe ich jetzt massig Zeit (und Schlafstörungen). Ich wurde am Freitag Nachmittag aus dem Krankenhaus entlassen und werde noch wochenlang äußert gelangweilt zu Hause sitzen.

Im Krankenhaus habe ich mir eingeredet, dass ich froh bin, die blöden Computer und alles mal loszuwerden. Überflüssig zu erwähnen, sobald ich Zuhause war habe ich erst mal den PC abgestaubt.

Der gute alte Computer ist doch irgendwie besser als den ganzen Tag im Bett liegen und das dümmliche Fernsehprogramm. Oder anders gesagt, am PC fällt es irgendwie nicht so auf, wie man sinnlos die Zeit totschlägt. Ob surfen im Internet wirklich "besser" ist als fernsehgucken; kommt wohl darauf an was man macht.

Das Programm vor 17 Uhr oder so ist in jedem Fall so verheerend, dass ich lieber aus dem Fenster gesehen habe. Jetzt weiß ich auch, warum alte Leute ständig Nachrichten sehen. Die sind zumindest neu und halbwegs interessant.

Jetzt fange ich schon an über das Fernsehprogramm zu bloggen, oh je.

Krank

2007-06-10T00:02:00.000+02:00

Hinweis: Ich habe nicht aufgehört zu bloggen, ich bin krank.

Heute 00.45 Uhr habe ich mich selbst ins Krankenhaus eingeliefert. Super Tag.

Update: Habe vom Notdienst nur ein Medikament gegen eine Krankheit, die das andere Medikament ausgelöst hat, bekommen. Wirkt sogar. Krankenhaus Hofheim ist scheisse. Der Notdienst hat keine freien Parkplätze!!

Ode auf das Natural Ergonomic Keyboard 4000

2007-05-03T23:52:00.000+02:00

Seit ungefähr 1 1/2 Jahren tippe ich jetzt auf dem Microsoft Natural Ergonomic Keyboard 4000. Die 50 Euro für das Teil waren gut angelegt. Normale Tastaturen emfpinde ich nicht erst seitdem als unzumutbar, jetzt aber noch mehr.

Vorteile:

Vordere Stütze (siehe Bild unten). Nur ein billiges Plastikteil, aber schon das ist das halbe Geld wert! (abnehmbar)
Gepolsterte Handballenauflage aus Kunstleder. Die andere Hälfte. Wer mal damit gearbeitet hat, geht nie mehr freiwillig zurück.
Sehr nützlicher Zoom-Regler in der Mitte.
Das NEK ist eine der ganz wenigen ergonomischen Tastaturen mit den kompletten MF2-Tasten. Noch der Vorgänger von MS hatte keine Einfg-Taste! Viele haben auch keine Bild-Hoch/Runter-Tasten.
Nicht zu viele "Multimedia-Tasten" oben.
Leise, weiche, unmännliche Tasten. All die echten Experten, dich sich für viel Geld 80er-Jahre-Müll mit Microschaltern kaufen, können sich gleich eine Manschette und Schmerztabletten mitbestellen!
Schwarz. LEDs sind unten. Reflektierende Farben und LEDs im Sichtfeld gehören verboten.
USB. Geh sterben PS/2-Tastaturanschluss!
Ziemlich solide und leicht abwaschbar.
Achja... Ergonomisches Layout. Das NEK zwingt einen quasi richtig tippen zu lernen.

Einziger Nachteil des Teils: Die linke Shift- und die Enter-Taste sind etwas klein geraten. Auf dem deutschen Layout ist Enter aber erheblich größer als auf den Bildern, außerdem L-Förmig! Dafür ist die Shift-Taste kaum größer als eine Buchstabentaste. Man gewöhnt sich aber ziemlich schnell daran.

Das NEK ist nicht die erste oder die beste ergonomische Tastatur, aber die ~~beste~~ einzige die es für 50 Euro in jedem besseren Kaufhaus gibt.

Andere Tastaturen, die auch nur vielleicht marginal besser sind, kosten mindestens sechs mal so viel (und sind nicht mal gepolstert).

Hinweis: Die vordere Stütze ist nicht wirklich rot. Das Bild ist nur eingefärbt, damit man sie besser sieht.

Dieser Artikel wurde ihnen präsentiert von Microsoft.

Links

Natural Ergonomic Keyboard 4000. Microsoft
Workrave. C-Ko
RSI-Syndrom. Wikipedia

Neue Version von Avira AntiRootkit Tool

2007-04-11T23:09:00.000+02:00

Überraschenderweise gibt es von dem Avira AntiRootkit Tool eine neue Beta-Version 1.0.1.16.

Der Hersteller hat bereits angekündigt, den Rootkit-Detektor diesen Monat in seine Anti-Virus Produkte zu integrieren, daher dürfte es vermutlich die letzte Stand-Alone Version sein.

Die Installation ist etwas verwirrend: Die neueste Beta ließ sich hier nur installieren, wenn man sie über die bereits installierte, ältere Version drüberinstalliert (mit der Option "Repair" im Installer).

Irgendwelche Verbesserungen sind nicht festzustellen. Demnächst werde ich mal nachsehen, wie Avira AntiVir mit Rootkits klarkommt.

Links

Test Avira AntiRootkit Tool 1.0.1.5 (Beta 3). C-Ko
Avira Betatestprogramm (Registrierung erforderlich)
Aviras kostenloser Virenscanner mit Rootkit-Erkennung. Golem

Sie sind viele und wir sind wenige

2007-04-09T00:23:00.000+02:00

Es gibt schon wieder eine neue Version von Rootkit Unhooker mit ein paar Bugfixes.

Dieser Thread bei Wilders ist jetzt offenbar der offizielle Verkündigungskanal. Dort wurde auch ein neuer Mirror bekanntgegeben.

Die rku.xell.ru-Website von Rootkit Unhooker scheint jetzt endgültig (?) erledigt zu sein. Neulich kam noch eine Fehlermeldung, jetzt ist die ganze xell.ru-Domain tot. Möglicherweise viel sie einem DDoS zu Opfer, wie dereinst die Website von GMER.

Update: Ein DDoS Angriff auf die alte Website wurde bestätigt. Ausgeführt angeblich durch ein russisches Botnet. Mal sehen, wie lange die neue Website hält.

Auch auf einem anderen Schlachtfeld hat es einen Teilrückzug gegeben: Das gute alte Sysinternals-Forum ist wegen eines massiven Spam-Angriffs auf unbestimmte Zeit geschlossen (seit zwei Wochen nur noch Lesezugriff, kein Posten neuer Artikel mehr möglich).

P.S.: Die Bandbreite und das fiese Captcha von Google/Blogger.com dürften die Armee der Finsterniss zum Weinen bringen. Ha!

Links

RKU Verkündigungsthread. Wilders Security Forums.
Aktuelle Rootkit Unhooker Homepage
Mirror der Rootkit Unhooker Homepage
Kaspersky: Sicherheitssoftware-Anbieter könnten Kampf verlieren. Heise.

Rootkit Unhooker neu, umgezogen

2007-04-01T23:01:00.000+02:00

Es gibt seit einer Woche oder so die neue Version 3.30 von Rootkit Unhooker. Hat einige interne Verbesserungen, neue Erkennungsmethoden und zeigt jetzt auch Notifier Hooks an. Keine Ahnung, was das mit Rootkits zu tun hat, ist aber die einzige mir bekannte Software die sowas kann.

Man kann es möglicherweise benutzen um zu sehen, ob ein Rootkit-Detektor "schummelt". Manche Detektoren haben gar keine richtige Erkennung, sondern benutzen Notifier Hooks (das geht nur so lange gut, wie der Anti-Rootkit-Treiber vor dem Rootkit geladen wird).

Neuerungen in Version 3.30 build 150/400 (23.03.2007)

added: DKOH detection (not unhookable) for common kernel objects
added: EAT (Export Address Table) hooks detection and unhooking for Kernel Mode
added: ability to dump kernel memory region
added: AntiRkU (and similar tools) bypassing
added: Notify Routines viewer / remover (createprocess, createthread, loadimage)
updated: ILHA v2.5 (new inline detection abilities)

Seit ein paar Tagen (?) ist die Homepage weg und sie sind wieder bei dem alten narod.ru Hoster (warum?).

Links

Neue Rootkit Unhooker Homepage, Download

ZoneAlarm Angst

2007-04-01T22:32:00.000+02:00

Personal Firewalls sind immer wieder für eine Überraschung gut: Ich habe in ZoneAlarm Pro Version 6.5.737 eine "interessante" Funktion entdekt. Ich dachte zuerst an ein besonders fieses Rootkit, aber das gelb-rote ZoneAlarm-Logo in der ~~Tray~~ Taskbar Notification Area zog sofort den Verdacht auf sich.

Normalerweise taucht der NT-Kernel ntoskrnl.exe genau einmal in der Liste der geladenen Treiber auf (logisch):

Beim Durchsehen eines Windows XP Systems mit besagter Personal Firewall habe ich folgendes gefunden:

Unter der Adresse 0x400000 liegt offensichtlich eine Kopie des Kernels. WTF?? Eine nähere Betrachtung zeigt, dass es keine Kopie ist. Der Kernel taucht in der Liste tatsächlich doppelt auf, unter zwei verschiedenen Adressen. ZoneAlarm pfuscht offensichtlich irgendwas im Kernel herum (neben dem üblichen Haufen SSDT- und IAT Hooks).

Die Anzeigen stammen von Process Explorer, der doppelte Eintrag wird von anderen Programmen aber genauso gefunden, inkl. Microsofts drivers.exe.

0x400000 ist übrigens die normale Image Base für User-Mode Exes.

Wieso ZoneAlarm sowas macht, ist das Rätsel der Woche.

P.S.: Ja, ich weiss das heute der 1. April ist.

Links

Das Rootkit, das aus dem Firewall kam. C-Ko
ZoneAlarm von Hand deinstallieren. C-Ko

Es geht voran - oder auch nicht

2007-03-16T23:50:00.000+01:00

Nein, ich bin nicht tot, nur etwas beschäftigt. Ab morgen wird es besser.

Zur allgemeinen Erheiterung ein herrlicher Kommentar aus der TAZ. Jeder, der sich etwas mit Politik beschäftigt, kennt die ewig gleichen, sich immer im Kreis drehenden Diskussionen.

In Deutschland ist noch jede gesellschaftspolitische Reform auf halber Strecke verendet. An allen Fronten sammelt sich eine große Koalition zur Verteidigung ihrer Privilegien

Der Korrespondent einer durchaus konservativen britischen Tageszeitung meinte kürzlich in einem Gespräch: Was ihm an Deutschland wirklich auf die Nerven gehen würde, das seien die ewig gleichen, folgenlosen Debatten. "Ich bin seit 13 Jahren hier und hatte schon meine vierte Patriotismusdebatte - und mindestens ebenso viele über das Thema Kinderbetreuung." Auf die Frage, ob sich denn auch etwas verändert habe, zuckte er resigniert mit den Schultern: "Die Debatten haben sich beschleunigt."

Gerade wurde hier entschieden, die bereits aufgelöste, bedeutungslose Laberrunde zum Thema "Gentechnik" wieder einzusetzen. Entscheidungen werden auch diesmal nicht getroffen, die "Ergebnisse" kommen auf den gleichen Aktenberg wie die der anderen Laberrunden.

Dabei wusste Roman Herzog schon vor fast genau 10 Jahren: "Wir haben kein Erkenntnisproblem, sondern ein Umsetzungsproblem".

Links

Content-Mafia = Kommunisten?

2007-03-01T21:51:00.000+01:00

Wir haben es ja schon lange geahnt, dieser Schatz von der Website RESPE©T COPYRIGHTS bedarf keines weiteren Kommentars:

Unsere Gesellschaft baut zurzeit auf Individualismus auf. Was der Einzelne will, ist wichtig. Jeder soll die Chance haben, sich und seine Träume zu verwirklichen.

[...]

2. Ist die Freiheit so hilfreich?

Die Frage ist nur, wozu man den Menschen befreit.

[...]

Erst mit dem Liberalismus und den Ideen der freien Marktwirtschaft und der Demokratie wurden die Ideen des Individualismus in die westliche Kultur getragen.
Älter - und vielleicht auch in vieler Hinsicht bewährter - ist die kollektivistisch organisierte Gesellschaft.

4. Kollektivismus als bessere Gesellschaftsform

Unter Kollektivismus wird ein Werte- und Moralsystem verstanden, in dem das Wohlergehen des Kollektivs die höchste Priorität einnimmt. Die Interessen des Individuums werden denen der Gruppe untergeordnet.

Aus dem Dokument Individualismus oder Familie (PDF) von Marina Haase von RESPE©T COPYRIGHTS, eine Initiative der Zukunft Kino Marketing GmbH.

Links

RESPE©T COPYRIGHTS! Ab sofort können Grundschüler Lilly, Max und ihren Hund Bodo bei einem spannenden Abenteuer mit Raubkopierern begleiten. Brüder, ergreift die Gewehre, auf, zur entscheidenden Schlacht! Dem Kommunismus zur Ehre, ihm sei in Zukunft die Macht!

Test Avira AntiRootkit Tool 1.0.1.10 (Beta)

2007-02-22T23:10:00.001+01:00

Hersteller: Avira
Preis: Zeitlich limitierte Beta (Registrierung erforderlich)
Sprache: Englisch

Betriebssystem: Windows 2000/ XP/ 2003/ Vista

Treibername: avirabb.sys und ssmdrv.sys (immer geladen)

Avira AntiRootkit Tool 1.0.1.10 (Beta) vs Rootkits

System: Windows XP Pro SP2

Schwierigkeit: 1=Sehr schwer, 2=Schwer, 3=Mittel, 4=Einfach
Abkürzungen: Prozesse, Treiber, Hooks, Dateien, Registry
Ja: Findet Objekt, Nein: Was wohl
n/a: Diese Funktion wird vom Programm nicht unterstützt

Demo-Rootkits:
1 BadRKDemo_XP - T: n/a H: n/a R: Ja Entfernen: Nein
1 phide_ex - P: Nein (siehe Text) T: n/a
1 RKUnhooker Test Rootkit 1.2 neu - P: Ja T: n/a
1 Unreal.A Test Rootkit - T: n/a D: Nein

Grayware-Rootkits:
2 FUTo_enh - P:: Ja T: n/a

Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: n/a D: Ja R: Ja Entfernen: Automatisch
3 Goldun - H: n/a D: Nein R: Ja Entfernen: Nein
3 Hacker Defender 100 - P: Ja D: Ja R: Ja Entfernen: Automatisch
1 Rustock.B (alias lzx32.sys) *1,2 - T: n/a H: n/a D: Nein R: Ja Entfernen: Nein (siehe Text)
3 Zcodec-Ruins - H: n/a R: Ja Entfernen: Nein

*1 Benutzt ADS
*2 Benutzt ISA (Implementationsspezifischer Angriff)

Fazit
Die Erkennungsrate hat sich seit der letzten Beta deutlich verbessert. Allerdings ist dieser Erfolg vermutlich weniger auf eine echte Verbesserung zurückzuführen, als auf obskure Tricks.

Der Treiber ist jetzt nach Art eines HIPS ständig geladen und zeichnet Rootkit-relevante Daten auf. Wenn man den "Detektor" dann startet, holt er den Bericht vom Treiber und tut so als hätte er die Sachen gerade gefunden. Dieser Trick ist bereits von AVG AntiRootkit bekannt (der Hersteller verbietet die Veröffentlichung von Testergebnissen in den Lizenzbedingungen). Allerdings basiert die Software von Avira nicht nur auf diesem Trick.

Natürlich funktioniert dieses System nur dann, wenn der Anti-Rootkit-Treiber bereits vor dem Rootkit geladen wurde. Wenn es dem Rootkit gelingt, sich in der Ladereihenfolge der Treiber nach vorne zu schieben, hat der "Detektor" verloren. Im Gegensatz dazu ist richtigen Detektoren die Ladereihenfolge egal.

Das lässt sich einfach überprüfen: Phide_ex Rootkit starten, Avira AntiRootkit Tool installieren, findet nichts. AntiRootkit Tool installieren, rebooten um den Treiber zu laden, phide_ex starten, findet es.

Wenn das RKUnhooker Test Rootkit vor der Installation des AntiRootkit Tools gestartet wird, findet das AntiRootkit Tool beim Scan einen Prozess ohne Namen. Wenn man das RKUnhooker Test Rootkit nach der Installation startet, zeigt das AntiRootkit Tool den Namen des Loaders an - obwohl der versteckte Prozess gar keinen Namen hat. Das zeigt überdeutlich, dass die Anzeige teilweise auf der Aufzeichnung von Prozessdaten beruht.

Anderer Test: Rustock.B installieren, rebooten, Avira AntiRootkit Tool installieren, rebooten, findet Datei nicht. Wenn Avira AntiRootkit Tool zuerst installiert wird, wird die versteckte Datei/ADS gefunden und Rustock.B kann automatisch entfernt werden.

Diese Launenhaftigkeit ist beängstigend. Dummerweise sagt einem das AntiRootkit Tool noch nicht mal, dass es nach der Installation unbedingt einen Reboot braucht.

Versteckte Registry-Schlüssel scheint das Programm ohne Tricks zu finden. Auch mit FUTo versteckte Prozesse findet das Programm sofort nach der Installation ohne Reboot. Das ist schon mal nicht schlecht.

Vermutlich ist das Anti-Rootkit Programm nur ein Testlauf, bevor die Funktionen in das Anti-Virus Programm von Avira eingebaut werden. Da der Hintergrundwächter dort eh immer läuft, macht es vielleicht Sinn wenn er auch noch nach Rootkits sucht. Als Einzelprogramm ist das AntiRootkit Tool nur beschränkt brauchbar.

Links

Festplatten-Report

2007-02-17T00:17:00.000+01:00

Endlich mal eine nützliche Studie: Eduardo Pinheiro, Wolf-Dietrich Weber und Luiz André Barroso von unserem Lieblings-Monopolisten Google haben sich die Ausfallrate von Festplatten angesehen.

Denn wenn es etwas gibt, mit dem Google sich auskennt, dann sind es Festplatten. Irgendwo müssen sie ja die ganzen Daten speichern, die sie von uns sammeln.

Leider nennen sie keine Hersteller, ansonsten aber alles.

Das hier aus der Zusammenfassung von Golem bestätigt, was ich schon immer vermutet habe:

Umgekehrt starben viele Platten, ohne dass die SMART-Parameter etwas andeuteten. Bezogen auf die vier signifikanten Fehler zeigten 56 Prozent der defekten Platten nichts an, nimmt man alle anderen Faktoren hinzu, so lieferten 36 Prozent der defekten Platten zuvor keine Hinweise via SMART.

Diese Grafik zeigt, welche SMART-Fehler die kaputten Festplatten vor ihrem Tod hatten: Mehr als 36% hatten null Fehler.

Links

Failure Trends in a Large Disk Drive Population (PDF). Google
Wann leben Festplatten länger? Golem

Forum der bözen Kinda

2007-02-11T20:34:00.000+01:00

Beim Auswerten der Referer dieses Blogs habe ich ein ulkiges Forum entdekt: CIA World. Der Name hat nichts mit dem US-Geheimdienst zu tun, sondern kommt von dem gleichnamigen RAT (Remote Access Trojan/Tool).

Das Forum wird offensichtlich bevölkert von Kindern, deren Hobby es ist "Vics" (Victims) mit RATs zu infizieren.

Dazu packen sie ihre Malware in Archive, die sie über irgendwelche zweifelhaften Warez- und BitTorrent-Verzeichnisse verbreiten. Einige rühmen sich, duzende von Vics pro Stunde zu erreichen.

Der Favorit der Szene scheint zur Zeit Bifrost zu sein (hab ich gleich mal gezogen).

Ihr Ideal ist es, die Malware "UD" zu machen: Undetectable, von Anti-Virus Software nicht erkennbar. Ihr Erzfeind / Angstgegner ist VirusTotal (gut zu wissen). Im Forum wurde vorgeschlagen, die Malware absichtlich größer als 20 Megabyte zu machen, um das Limit von VirusTotal zu überschreiten und einen Upload unmöglich zu machen. Daran werde ich ab sofort immer denken, wenn ein Programm "zufällig" knapp über dem Limit von VirusTotal ist.

Den World of Warcraft Account abziehen scheint aktuell einer der gefragtesten Einsatzzwecke der RATs zu sein.

Links

Wir beobachten dich

2007-02-11T20:07:00.000+01:00

Kostenloses Anti-Virus Zeugs

2007-02-09T19:00:00.000+01:00

Wer sein kostbares Geld lieber für Süßigkeiten als für Computerkram ausgeben will, kann sein System trotzdem hochrüsten: Diverse Hersteller bieten komplette Anti-Virus Pakete kostenlos an.

Daneben gibt es sogenannte Online Virus Scanner. Das sind einfache Programme die sich vom Webbrowser aus aufrufen lassen. Ausser HouseCall benutzen alle ActiveX, sind also normale Windows-Programme.

Vor der Benutzung sollte man sich immer das Kleingedruckte durchlesen. Alle Online-Scanner sammeln Statistikdaten, manche sogar Name und Version jeder installierten Anwendung.

Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.

Bei den heute üblichen Festplattengrößen kann ein kompletter Durchlauf allerdings Stunden dauern. Das lässt sich oft etwas abkürzen, da sich nach meiner unwissenschaftichen Schätzung 98% aller Schädlinge auf der Systempartition verstecken.

Bei den von den Scannern installierten ActiveX-Controls kommen häufiger mal Sicherheitslücken vor. Es empfiehlt sich daher dringend, nicht benötigte ActiveX-Controls zu deaktivieren oder zu löschen. Ab Windows XP bietet der IE 6 dazu unter Extras -> Add-Ons verwalten ein Hilfsmittel.

Start -> Ausführen -> %SystemRoot%\Downloaded Program Files öffnet das Verzeichnis, in dem Windows den ActiveX-Kram lagert. Mit der guten alten Entf-Taste lässt sich hier der Existenz eines Controls ein Ende setzen.

Wenn man den Internet Explorer sonst nicht zum Browsen benutzt, kann einem das eher egal sein.

Fast alle Scanner beherrschen inkrementelle Updates. Dabei wird nur beim ersten Aufruf die komplette Virus-Datenbank heruntergeladen. Die Datenbank wird auf dem Rechner gespeichert. Danach werden nur noch die neuen Signaturen geladen.

Hinweis: Ich kann hier keine Aussage darüber treffen, welcher Scanner die beste Erkennungsrate hat.

Vermutlich gibt es noch andere Scanner, die ich nicht gefunden habe.

Kostenlose Anti-Virus Programme für Windows

Kostenlose Anti-Virus Programme für Windows gibt es von Avira, Avast, AVG, BitDefender (kein Hintergrundwächter) und ClamAV (kein Hintergrundwächter). Mit Ausnahme von ClamAV sind diese Programme nur für Privatanwender kostenlos.

Das MicroWorld Free AntiVirus Toolkit Utility (MWAV) ist ein reiner Detektor, kein Hintergrundwächter, kein Löschen, keine inkrementellen Updates (glaube ich). Soll auf Kaspersky basieren.

Der Scanner von AVG hat einen Hintergrundwächter, E-Mail Scanner und ist Werbefrei (bis auf einen winzigen Link auf die Bezahlversion). Die kostenlose Version ist nur auf English verfügbar. Gibt es auch für Linux. Es gibt auf der Webseite auch AVG Anti-Spyware in einer kostenlosen Version.

Avast hat einen Bildschirmschoner, der nach Viren sucht! Ausserdem eine Art IDS. Dazu SMTP, POP3 (E-Mail), IMAP und NNTP (Usenet) Scanner. Hat einen Hintergrundwächter plus P2P und Instant Messaging Shields (was immer das ist). Es besteht Registrierungs-Pflicht. Deutsch.

Avira AntiVir hatte in Tests immer eine gute Erkennungsrate. Die kostenlose Version wird geplagt von sehr aufdringlicher Werbung (Tip zum Abstellen siehe Kommentare). Kein E-Mail Scanner. Deutsch. Es gibt auch eine Version für Linux / FreeBSD / Solaris.

Den Open-Source Scanner ClamAV gibt es auch für Linux.

GMER: Das Anti-Rootkit Programm hat einen eingebauten Internet Explorer, mit dem man Online-Scanner auch im abgesichterten Modus benutzen kann (es lassen sich beliebige Scanner einbinden).

Online-Scanner

Trend Micro HouseCall
(ActiveX oder Java, IE6 oder Firefox/ Mozilla, lädt ca. 68MB runter)
Betriebssysteme: Windows, Linux, Solaris
Getestet: Windows, Java, Firefox.

Mit Abstand der aufwändigste Scanner und der einzige, der nicht zwingend Windows und IE benötigt. Allerdings auch mit beträchtlichem Abstand der fetteste Scanner: HouseCall lädt ca. 10x soviel herunter wie alle anderen. Auch die inkrementellen Updates sind riesig, größer als die komplette Datenbank der meisten anderen.

Zum Thema "Beseitigen gefundener Infektionen" sagt die Hilfe:

Das Säubern entdeckter Mal- und Grayware ist kostenpflichtig. Sie werden dazu von HouseCall an entsprechender Stelle aufgefordert, entweder einen bestehenden Ticketcode einzugeben, oder ein neues Ticket zu erwerben.
[..]
Ein HouseCall Ticket ist die Berechtigung, eine bestimmte Anzahl von Clean-Vorgängen durchzuführen.

Von irgendwelchen Ticketcodes war im Test allerdings nicht zu sehen, der Scanner löschte die zwei Testwürmer einfach so.

HouseCall hat auch einen Portscanner (funktionierte nicht im Test) und zeigt als einziger fehlende Windows-Updates an.

Installiert einen Treiber tmcomm.sys ("TrendMicro Common Module"). In dem Treiber wurden kürzlich schwere Sicherheitslücken entdeckt.

Beim Download der Datenbank hängte sich HouseCall auf und machte erst weiter, nachdem das Verzeichnis \.housecall6.6\AU_Temp im Profil geleert wurde. Manchmal hängt sich auch die Webseite auf und der Browser muss neu gestartet werden.

"Gelöschte" Dateien kommen ins Profil unter .housecall6.6\Quarantine, offenbar eine Art von Quarantäne. Es gibt keine offensichtliche Möglichkeit auf die Daten zuzugreifen (oder ich bin zu doof).

Der HouseCall-Scanner ist fett und buggy, aber der einzige, der auch unter Linux läuft. Damit kann man sein System von einer parallelen Linux-Installation booten und die Windows-Partitionen scannen.

Es gibt kein Uninstaller.

Alle weiteren Online-Scanner sind nur für Windows und brauchen Internet Explorer 4 oder 5 und ActiveX. Die meisten auch JavaScript, manche Flash.

a-squared Web Malware Scanner
Findet laut Hersteller Trojaner, Backdoors, Würmer, Dialer, Spyware/Adware, Keylogger, Rootkits, Hacking Tools, Riskware und TrackingCookies.
Nicht getestet. Funktion unbekannt.

Arcabit Online Scanner
Nicht getestet. Funktion unbekannt.

Authentium Command On Demand
Nicht getestet. Funktion unbekannt.

BitDefender Online Scanner (Lädt ca. 9MB runter)
Solider und gründlicher Scanner. Soweit erkennbar der einzige, der auch den Bootsektor untersucht. Viele Optionen, mehr als manches Desktop-Programm. Vermutlich der einzige "vollwertige" Scanner.

Achtung: Standardmäßig werden alle gefundenen Viren ohne Rückfrage "geheilt" oder gelöscht!

Es kann ein Report gespeichert werden (HTML-Datei). Lobenswert: Bevor der Scanner die üblichen Statistik-Daten an den Hersteller sendet, wird noch mal nachgefragt und die Daten auf Wunsch angezeigt. Ein Ablehnen ist möglich.

Zufällig habe ich gesehen, dass der Scanner auch 7-Zip unterstützt. Das können selbst die meisten "richtigen" Scanner nicht.

Unter den getesteten der einzige mit akzeptablem Datenschutz. Ausser einem Hintergrundwächter hat der BitDefender Online-Scanner alles was "normale" Scanner auch haben und ist dabei klein genug für Modem-Benutzer. Der einzige, der uneingeschränkt empfehlenswert ist.

Inkrementelle Updates. Programmverzeichnis C:\WINDOWS\BDOSCAN8, Uninstaller im Extras-Menü des Internet Explorer.

CA eTrust Antivirus Web Scanner (Lädt ca. 5MB runter)
Sehr einfacher Scanner. Gefundene Viren werden angezeigt und können entfernt werden. Hinweis: Bei unabhängigen Tests hatte der eTrust-Scanner eine unterirdische Erkennungsrate.

Inkrementelle Updates. Programmverzeichnis C:\WINDOWS\Downloaded Program Files (ActiveX-Verzeichnis von Windows), kein Uninstaller.

Ewido Anti-Spyware ActiveX / Micro Scanner (Lädt ca. 8 MB herunter)
Offiziell ein Anti-Spyware Programm, findet aber auch diverse E-Mail Würmer und andere Malware. Löschen ist möglich.

Es gibt eine ActiveX-Version und den "Micro Scanner", ein kleines Programm zum herunterladen das ohne Browser läuft. Der Scanner scheint recht gründlich zu sein, erzeugte aber bereits im Kurztest einen Fehlalarm.

Hinweis: Ewido wurde von Grisoft (AVG) gekauft. Es gibt jetzt den Nachfolger AVG Anti-Spyware in einer kostenlosen Version (siehe oben).

Kein inkrementelles Update. Signaturen werden in den IE-Cache geladen.

F-Secure Online Virus Scanner
Hängte sich bereits bei der EULA auf und konnte nicht getestet werden.

Der F-Secure Online Scanner entfernt nur Viren. Würmer, Trojaner und Backdoors werden nicht entfernt.

Kaspersky Online Virus Scanner (Lädt ca. 10MB runter)
Einfacher Scanner ohne irgendwelche Optionen. Gefundene Viren werden nur angezeigt, nicht entfernt. Viel Werbung für Kaspersky-Kram. Nicht gescannt werden der Arbeitsspeicher, Bootsektoren und MBR. Kann Report als HTML-Datei speichern. Untersucht Archive und Mails.

Inkrementelle Updates (sehr klein und sehr aktuell). Programmverzeichnis C:\WINDOWS\system32\Kaspersky Lab, kein Uninstaller.

McAfee FreeScan
Vermutlich werden gefundene Viren nur angezeigt, nicht entfernt. Vermutlich muss man in irgendeinem "McAfee-Club" Mitglied werden um ihn benutzen zu können.

Microsoft Windows Live OneCare Safety Scanner
Nicht getestet. Hat in unabhängigen Tests nicht gut abgeschnitten.

Panda ActiveScan (Lädt ca. 8MB runter)
Überprüft E-Mails und Dateien. Beseitigt Viren, Würmer und Trojaner. Spyware und Dialer werden erkannt aber nicht gelöscht.

Verlangt nach Email-Adresse.

Inkrementelle Updates. Programmverzeichnis C:\WINDOWS\system32\ActiveScan
Nicht getestet, weil ständig "Internal Server Error".

PC Pitstop AntiVirus Center
Nicht getestet.

Symantec Security Check
Vermutlich werden gefundene Viren nur angezeigt, nicht entfernt.
Untersucht keine komprimierten Dateien.
Nicht getestet.

Online Datei-Scanner (unvollständig)

Links

Die Masche zieht immer: Konsumenten fallen trotz jahrelanger Warnung auf professionelle Spam- und Virenmails herein. Avira

Microsoft Viren-Quiz

2007-02-08T21:15:00.000+01:00

Jeder hat schon von Computerviren gehört: schädliche Software, die unerwartet und in vielen verschiedenen Formen auf Ihrem Computer auftreten kann. Die Wirkung von Computerviren variiert von lediglich lästig bis zerstörerisch. Mit etwas Sachverstand und Voraussicht können Sie jedoch die Wahrscheinlichkeit reduzieren, dass Ihr Computer mit einem Virus infiziert wird. Finden Sie anhand dieses Quiz heraus, wie viel Sie tatsächlich über Computerviren wissen.

Man beachte die miesen Ergebnisse der anderen! Bei den supereinfachen Fragen der ersten Seite ist die durchschnittliche Punktzahl: 4,3 von 6 :-$

Das erklärt so einiges...

Links

Quiz: Viren, Teil 1. Microsoft

Das Rootkit, das aus dem Firewall kam

2007-02-08T21:11:00.000+01:00

"JEDER PC auf dieser Welt soll sicher sein" (Ashampoo-Werbung)

Die kostenlose Ashampoo FireWall [sic] ist eine ziemlich durchschnittliche Personal Firewall für Windows. Nur unter Einstellungen verbirgt sich eine ungewöhnliche Funktion:

Die Firewall kommt mit einem eigenen Rootkit!

Dazu wird die Datei ASFWHide (ohne Erweiterung) ins Temp-Verzeichnis (!) kopiert und als Treiber geladen. Der Treiber hat keine Beschreibung und keinen Firmennamen. Der Pfad des nicht versteckten Treibers ist allerdings so grotesk auffällig, dass man ihn aus 50 Km Entfernung sieht: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ASFWHide.

Der Treiber installiert zwei SSDT-Hooks:

Der eine versteckt den FireWall.exe-Prozess, der andere verhindert das Beenden mit TerminateProcess.

Der Selbstschutz ist allerdings ziemlich löchrig, er läßt sich auch ohne Administrator-Rechte leicht umgehen. Es funktionieren die gleichen Suspend- und CrashProcess-Tricks wie bei Kindersicherung 2006.

Links

Ashampoo FireWall (Herstellerseite)

Rootkit Unhooker 3.20 erschienen

2007-02-05T22:20:00.000+01:00

Die hyperaktiven Russen EP_X0FF und MP_ART haben die allseits beliebte Anti-Rootkit Software Rootkit Unhooker in einer neuen Version veröffentlicht.

Neben einigen Detailverbesserungen gibt es nicht näher spezifizierte neue Methoden um versteckte Treiber und Dateien zu erkennen. Damit sollte sich auch das Unreal-Rootkit nicht länger der Entdeckung entziehen können.

Version 3.20 build 130/380 code name "TrapZero" (04.02.2007)
added: Properties for processes and drivers
improved: action menu optimized
UnHook & UnHook ALL merged for SSDT/Code Hooks
Dump Process/Dump Driver merged for Processes/Drivers
Wipe/Copy file features are now available for the following pages:
- Hidden Processes Detector
- Hidden Drivers Detector
- Hidden Files Detector
improved: hidden drivers detection
improved: hidden files detection
[...]

P.S.: Ich arbeite gerade an einer deutschen Übersetzung des Programms. Wer
Lust hat mir bei der Online-Hilfe zu helfen möge sich melden (grundlegende HTML-Kenntnisse oder Besitz von Adobe RoboHelp wünschenswert).

Update 1. April: Die Homepage ist schon wieder umgezogen.

Links

Das Windows Event-Log

2007-02-04T23:08:00.000+01:00

Gerade fällt mir auf, dass ich noch keinen Link zu meinem brillianten adm.revlog.vbs Skript gepostet habe.

Ich wollte immer was schreiben zum Windows Event-Log alias Ereignisanzeige, bin aber nie dazu gekommen. Die arme Ereignisanzeige ist vermutlich die am meisten übersehene Funktion von Windows.

Mit eventvwr.exe ruft man das Anzeigeprogramm auf. Standardmäßig werden alte Einträge gelöscht wenn sich mehr als 2 MB oder so angesammelt haben.

Die maximale Größe ist ca. 200 MB. Achtung: Da das Event-Log Memory-Mapped ist, verbraucht ein 200 MB Log tatsächlich 200 MB RAM.

Das Skript kopiert das Event-Log in eine EVT-Datei (lässt sich mit der Ereignisanzeige öffnen) und löscht es dann. Es ist dazu gedacht mit dem Task-Planer aufgerufen zu werden. Bei einem Desktop reicht einmal am Tag, bei einem Server ungefähr alle 10 Minuten. So bekommt man ein Archiv und hält den Speicherbedarf gering.

Besonders wenn man die detailierte Überwachung eingeschaltet hat, kann das Sicherheits-Log sehr groß werden. Wenn man irgendeinen Systemfehler hat (wie die berüchtigten Perflib/Perfmon-Fehler) kann auch das Anwendungsprotokoll schnell volllaufen. Dadurch werden unter Umständen wichtige Informationen gelöscht.

P.S.: Die EVT-Dateien lassen sich sehr gut komprimieren.

Links

adm.revlog.vbs. Joergs Wiki
The Unofficial Log Parser Support Site. Log Parser ist ein sehr nützliches Programm von Microsoft.

Goldfinger

2007-01-31T23:45:00.000+01:00

Vergesst den Drogenhandel Kinder, SMS sind die Geldmaschine:

2005 betrugen die gesamten Einnahmen durch SMS über 74 Milliarden Dollar weltweit. Zum Vergleich: Hollywood spielte etwas unter 30 Milliarden Dollar ein, die Einnahmen der Musikindustrie lagen weltweit bei 35 Milliarden Dollar, und Videospiele, Konsolen, und Software brachten um die 40 Milliarden Dollar ein. Der Wert aller 2005 verkauften Laptops betrug 65 Millarden Dollar. SMS alleine bringen mehr ein als irgendeiner dieser Wirtschaftszweige (…) und SMS bedeuten immer noch über 90% Profit. Wir sollten diese Industrie lieben!
(Tomi T. Ahonen, englischer Fach-Autor)

Eigentlich war SMS im GSM-Standard nur als kostenloses "Abfallprodukt" vorgesehen...

Links

74 Milliarden Dollar mit 160 Zeichen. Nicozorn.com (via Basic Thinking)
Handy-Pornos sind die neuen Klingeltöne. C-Ko

Einblick in den Windows Vista-Kernel

2007-01-31T21:48:00.000+01:00

Windows Vista ist jetzt im Handel. Über kurz oder lang werden wir uns alle mit dem neuen Teufelswerk befassen müssen.

Mark Russinovich (Ex-Sysinternals) hat einen interessenten Artikel darüber geschrieben - und Microsoft hat ihn gleich in elf Sprachen übersetzt.

Es wird auch erklärt, wie die neuen dateibasierten symbolischen Verknüpfungen (alias Symlinks) funktionieren.

Links

Windows-Verwaltung: Einblick in den Windows Vista-Kernel: Teil 1. Microsoft TechNet

Schweine-Holocaust in Taiwan

2007-01-31T21:42:00.000+01:00

2000 pigs sacrifice to the deity General Chao of Wudeh temple at a temple festival in Jendeh, southern Taiwan, 19 Jan 2007.

Links

Flickr Set (via jwz)

Ein Abgrund von Trägheit

2007-01-29T16:42:00.000+01:00

Alle Virus-Scanner haben ein Problem: Bei neuen Sachen hinken sie immer etwas hinterher. Manche mehr als andere.

Dieses Exemplar - laut Kaspersky Trojan-Downloader.Win32.Nurech.aa - hat es geschafft, sowohl am "stündlich aktualisierten Profi-Scanner" von GMX, als auch an acht Spam-Filtern vorbeizukommen.

Die E-Mail kam heute um 12:55. Absender war 124.216.23.102, registriert auf KOREA CABLE TV ULSAN STATION.

Absender: billing8585@ebay.de
Betreff: Handlungsbedarf: Zahlung per Lastschrift 491131 abgelehnt
Anhang: E260883905016-Rechnung.pdf.exe

Text:

eBay-Kontonummer: E260883905016-EUR
Bankkontonummer: XXXXXXXX5302
Fälliger Betrag: Euro‚-426,96

In dem angefügten Anhang sehen Sie eine detaillierte Auflistung Ihrer Verkäufe.
Bitte diese genauestens durchlesen und bei einer Unstimmigkeit Ebay kontaktieren.
Zum Lesen wird kein zusätzliches Programm benötigt.
Der Widerspruch ist nach neuen AGB's innerhalb von zwei Wochen zulässig!

[...]

Die Erkennungsrate (es sieht finster aus):

Von 29 Scannern finden ihn nur 7. Der E-Mail-Wurm ist zumindest Kaspersky seit ca. 8 Stunden bekannt.

P.S.: Das Open-Source-Programm ClamAV hat bei mir gerade Punkte gemacht.

Links

VirusTotal

Selbsterkenntnis

2007-01-28T16:33:00.000+01:00

Ich habe gerade bemerkt, dass ich die Hälfte aller Artikel mit "Ich habe" anfange. Was dass wohl zu bedeuten hat?

High-Tech im Klo

2007-01-28T16:22:00.000+01:00

Gestern im Fernsehen gehört:

"Die größte technologische Revolution, auf die ihr Urinstrahl treffen kann."

(Werbung für einen Schwangerschaftstest).

The Root of All Evil? (Video)

2007-01-28T16:17:00.000+01:00

Exzellente Dokumentation von Professor Richard Dawkins, Author von "Das egoistische Gen" und "The God Delusion" und Erfinder des Wortes Meme. Dawkins ist Atheist und stolz drauf. Wowereit.

The Root of All Evil, Episode 1 of 2 "The God Delusion"
By Richard Dawkins

The Root of All Evil: Episode 2 of 2 "The Virus of Faith"
By Richard Dawkins

Links

Johann Hari: Why Richard Dawkins is heroic. The Independent
The Root of All Evil? Wikipedia (en)

World of Warcraft - Sucht 2.0?

2007-01-27T19:42:00.000+01:00

Bild "Reality" von Pyxelated / deviantART

Ich habe bei Alleswasbewegt noch eine dieser "World of Warcraft hat mein Leben ruiniert"-Geschichten gefunden. Diese ist besonders erschreckend und detailiert.

Sowas kann wohl jeder Computerspieler gut nachvollziehen. Als Jugendlicher - als ich noch keinen richtigen Computer hatte - bin ich nach der Schule oft in den Computerraum gegangen um stundenlang SimCity für DOS zu spielen. Damals kam es uns schon leicht krass vor, aber immerhin war ich nicht alleine und es waren maximal drei oder vier Stunden. Ich habe eine Woche lang mein Zimmer nicht verlassen um Jagged Alliance 2 zu spielen - und das war es wert.

Das sind aber alles nur weiche Einstiegsdrogen im Vergleich zu World of Warcraft. Nach einer Woche hat man sich dort gerade mal eingearbeitet. Die Leute verbringen tatsächlich Jahre in der Spielwelt. Das ist beängstigend.

Das ist auch der Grund, warum ich kaum noch "Aufbauspiele" oder Civilisation spiele. Solche Endlos-Spiele verbrauchen einfach viel zu viel Zeit.

Gestern kam was im Radio über Second Life. Die Spieler dort klingen auch schon leicht irre. Die kaufen sich Grundstücke und virtuelle Kleidung für ihre Figuren mit echtem Geld. Die "Bewohner" von Second Life sind nicht mehr die klassischen Computerspieler. Man geht nicht auf LAN-Parties, sondern trifft sich gleich im Spiel, und nur im Spiel.

Wie harmlos sind im Gegensatz dazu die guten alten Gewaltspiele: Ein Kampf bei Counterstrike oder Command and Conquer ist nach maximal zwei Stunden zu Ende. Bei C&C bekommt man einen Orden, wenn man den Feind in unter 10 Minuten ausradiert (habe ich).

Online-Endlos-Spiele wie World of Warcraft dagegen belohnen das sinnlose Verweilen in der Spielwelt. Wenn Spiele süchtig machen, ist WoW das Heroin zu dem Hasch von Counterstrike.

Der riesige Erfolg wird noch zahlreiche Klone "inspirieren". Vielleicht wusste WoW-Hersteller Blizzard am Anfang nicht was sie angerichtet hatten. Die Nachfolger werden ihre Spiele aber mit Sicherheit alle so gestalten, dass die Kunden möglichst stark gebunden werden.

P.S: Das gute Workrave erinnert mich hier alle 45 Minuten daran, eine Pause zu machen. Sowas sollte mal dringend in World of Warcraft eingebaut werden.

Links

WoW - Der soziale Verfall eines Menschen. Alleswasbewegt (via Software Guide)
What will a World Of Warcraft player look like in the year 2030? Shutar :: Orc Shaman :: Draenor EU:

Was Sie schon immer über IceSword wissen wollten

2007-01-25T22:24:00.000+01:00

SETI@home hat mich kürzlich auf eine Fähigkeit von IceSword aufmerksam gemacht, die ich bisher noch nicht kannte.

Wenn IceSword seinen Treiber IsDrv120.sys nicht laden kann, kommt diese Fehlermeldung: "Cannot load IsDrv120.sys. Run abnormally, you'd better reboot your computer after using this tool."

Dann wird der Treiber trotzdem geladen - unter einem anderen, zufällig gewähltem Namen.

Dieses Verhalten kann man auch erzwingen: Ich habe den Standard-Treiber tcpip6.sys kopiert und IsDrv120.sys genannt.

Wenn IceSword bereits gestartet ist, Rebooten. Der Treiber muss zuerst entladen werden.

OSR Driver Loader starten.
Bei Driver Path auf "Browse" klicken.
Die Datei tcpip6.sys mit der Maus bei gedrückter Strg-Taste kopieren. Die neue Datei "Kopie von..." in IsDrv120.sys umbenennen, auswählen und auf Öffnen klicken.
Dann unten auf Register Service, Start Service, Unregister Service klicken.
Programm beenden.

(Kann man auch irgendwie mit der HIPS-Funktion von GMER machen)

Jetzt IceSword starten. Unter "Kernel Module" wird ein Treiber mit Zufallsnamen angezeigt (unten, ImageSize ist 2D000).

Wozu das gut ist? Keine Ahnung.

Links

OSR Driver Loader (Kostenlose Registrierung erforderlich)
IceSword 1.20 für Vista erschienen. C-Ko
Übersicht: Rootkits. C-Ko
Einführung in IceSword. C-Ko

CHKDSK.EXE ist ein Hypochonder

2007-01-25T20:14:00.000+01:00

Ich habe gerade eine Stunde meines Lebens damit verschwendet, einen nicht-existierenden Fehler bei meinem Computer zu beseitigen. Das gehirnlose CHKDSK.EXE Programm von Windows hat ständig sowas ausgeworfen:

CHKDSK hat freien Speicher gefunden, der in der MFT-Bitmap (Master File Table) als zugeordnet gekennzeichnet ist.
CHKDSK hat freien Speicher gefunden, der in der Datenträgerbitmap als zugeordnet gekennzeichnet ist.
Windows hat Probleme im Dateisystem festgestellt.
[...]

Ich hatte schon das Backup bereitgelegt, weil der "Fehler" nicht mehr wegzukriegen war. Wie ich inzwischen weiss, wird der "Fehler" verursacht durch den Dienst VMware Virtual Mount Manager Extended (vmount2.exe). Sobald man den Dienst beendet, verschwinden auch die Fehlermeldungen.

Wohl dem, der Aufzeichnungen und Logfiles hat, in denen man nachgucken kann, was verändert oder neu installiert wurde seit CHKDSK das letzte Mal funktioniert hat.

Blogdiebstahl: Es geschah am hellichten Tag

2007-01-24T22:55:00.000+01:00

Ich bin stocksauer: Ein Arschloch mit dem Pseudonym "lestat7677" klaut meine Artikel. Den habe ich gleich bei Google angeschwärzt wegen Verstoß gegen die AdSense-Programmrichtlinie. Verrecke!!1! Wir können auch anders!

Ich habe auch noch einen zweiten erwischt - der lebt aber nur noch im Google Cache.

:-(

P.S.: Ich glaube, dass die gesamte Domain duskdiary.com nur aus gestohlenem Content besteht.

Keine Links (URL zusammenfügen)

http://lestat7677.duskdiary.com/
http://72.14.221.104/search?q=cache:T54TQPV3F1kJ:100.fmarin.com/ wordpress/j3/blog/2006/08/29/rootkit-unhooker-30-beta-1-erschienen/

Vertraue keinem

2007-01-24T22:02:00.001+01:00

Winfuture berichtet von einem neuen Fall von "verseucht ab Werk":

Im Internet machen derzeit Berichte die Runde, wonach bei Saturn ein Mp3-Player des französischen Hersteller zicPlay angeboten wird, dessen Treiber-CD den Trojaner Viking enthält. Tests bestätigen die Vermutung, da fast alle bekannten Virenscanner tatsächlich in der Installationsdatei des Treibers einen Virus nachweisen.

Das ist weder der erste noch der spektakulärste Fall - siehe Links. Ich frage mich immer wieder, wie man sich als Hersteller derart zum Brot machen kann. Können die sich keinen Virus-Scanner leisten?

Ich denke, die sind entweder echt blöd oder so selbstgefällig, dass sie das alles nicht nötig haben. Manche Leute sind ja so sagenhaft clever, dass sie Viren mit "Brain 1.0" aufspüren können (bzw. es glauben).

Achja: Demnächst Test von kostenlosen (Online) Virus-Scannern.

Links

Saturn: Billiger Mp3-Player mit Trojaner im Treiber? Winfuture
Infizierte Treiber auf HP-Servern. Heise
McDonalds Japan verteilte infizierte MP3-Player. Viruslist.com
Creative: MP3-Player mit Virus ab Werk. ZDNet

IceSword findet Unreal-Rootkit (teilweise)

2007-01-23T17:23:00.000+01:00

IceSword-Programmierer PJF demonstriert in seinem Blog, wozu das FileReg-Plugin von IceSword 1.20 gut ist: Es findet das Unreal-Rootkit.

Unreal benutzt offenbar einen obskuren ADS-Trick: Das Rootkit hängt sich als Alternativer Datenstrom an das Inhaltsverzeichnis des Hauptverzeichnisses. PJF hat nach eigener Aussage vergessen diesen Ort in die Standardsuche zu integrieren, zeigt aber wie man von Hand nachsehen kann.

ADS am Inhaltsverzeichnis des Hauptverzeichnisses anzeigen lassen mit IceSwords FileReg-Plugin:

mount 0 0
ads /#5

Der versteckte Treiber von Unreal wird von IceSword 1.20 nicht gefunden (auch von sonst keinem Programm, soweit ich das feststellen kann).

Links

Artikel in PJF's Blog (Chinesisch)
Neues Demo-Rootkit Unreal erschienen. C-Ko.
IceSword 1.20 für Vista erschienen. C-Ko
Übersicht: Rootkits. C-Ko
Einführung in IceSword. C-Ko

Google verrät Passwörter von Toolbar-Nutzern

2007-01-23T15:16:00.000+01:00

Bei dem allgemeinen Tralala um die gekaperte Google-Domain ist dies hier scheinbar untergegangen:

Finjan’s Malicious Code Research Center (MCRC) researchers discovered that a list of URLs was available and unprotected on Google’s servers and immediately informed Google, which acknowledged receipt of Finjan’s alert about the vulnerability. Finjan believes the information on the servers had been gathered using Google’s anti-phishing browser extension.

Offenbar haben Google-Toolbar-Benutzer verdächtige Seiten gemeldet und damit unwissentlich auch ihre eigenen E-Mail Adressen, Benutzernamen und Passwörter an Google verraten. Diese Daten wurden von Google dann unabsichtlich als Teil ihrer Anti-Phishing-Blacklist veröffentlicht. Die Sicherheitsfirma Finjan hat einen Screenshot, auf dem der Vorfall zu sehen ist.

Die Anti-Phishing-Funktion der Google-Toolbar wird natürlich auch weiterhin Passwörter sammeln, nur veröffentlichen will Google sie nicht mehr. Damit gilt der Fehler jetzt als "beseitigt".

Finjan sagt "durch die Blume", was man dagegen machen soll: Google-Toolbar entsorgen.

Finjan offers the following advice to minimize the risk of exposing confidential information from similar web applications:
...
1. Avoid sharing your browsing habits with third parties by disabling URL sharing or forwarding - as this is usually enabled in your browser’s toolbars.

Links

Korruptions- und Nuttenskandal bei der GEZ

2007-01-23T13:47:00.000+01:00

Die dunkle Seite von Köln-Bocklemünd:

Gegen hochrangige Mitarbeiter der Gebühreneinzugszentrale (GEZ) wird wegen Verdachts der Bestechlichkeit ermittelt. Die Staatsanwaltschaft Wuppertal durchsuchte einem Bericht des Kölner «Express» zufolge am Dienstag die Geschäftsräume der GEZ in Köln-Bocklemünd.
[...]
Der Verkäufer einer Wuppertaler Computerfirma soll unter anderem den GEZ-Chef-Einkäufer mit Bordellbesuchen bestochen haben.

Links

Bestechungsverdacht bei der GEZ. Yahoo
GEZ wollte Rundfunkgebühren von totem Hund. Hamburger Abendblatt

Trusted Computing (Video)

2007-01-21T15:05:00.000+01:00

Ich kann mich dem allgemeinen Trend nicht länger entziehen und verbreite jetzt auch Videos in meinem Blog. Aber nicht die doofen YouTube Flash-Filmchen. Den Film habe ich gefunden auf meiner neuen Lieblings-Website Zudeo.

Trusted Computing
Hübsch animierter Kurzfilm von Benjamin Stephan und Lutz Vogel. (Englisch, Quicktime, andere Formate siehe Homepage).

Der Film erklärt Einsteiger-freundlich was "Trusted Computing" ist und die Probleme damit.

Hinweis: Nicht auf Download klicken, sondern auf Torrent file. Die Website ist irgendwie gestört und versucht einem ständig eine veraltete Version von Java unterzuschieben (auch wenn man eine neuere installiert hat). Zum Download wird ein BitTorrent Client benötigt (bei Opera eingebaut).

Der Zudeo-Client (siehe Screenshot) ist im Grunde nur ein modifizierter Azureus mit eingebautem Web-Browser. Unter Advanced versteckt sich der normale Azureus.

Hinweis zu Quicktime: Browser-Plugins unter C:\Programme\QuickTime\Plugins am besten sofort löschen. Darum. "Quicktime Alternative" ist illegaler Frickelschrott mit einer gestohlenen Seriennummer. Wenn Quicktime erst mal installiert ist, kann man die Filme auch mit Media Player Classic ansehen.

Keine "Codec-Packs" installieren. Darum.

Links

Zudeo
Azureus (der beste BitTorrent Client, benötigt Java)
Sun Java Download (Java Runtime Environment (JRE) 6 auswählen, dann Offline Installation, Multi-language)
µTorrent (anderer BitTorrent Client für Windows)
Quicktime Installer für Windows (iTunes abwählen wenn nicht gewünscht)

Datenschutz

2007-01-21T13:55:00.001+01:00

Dieser Blog wird gehostet von Blogger, ein Dienst von Google. Google sammelt irgendwelche Informationen über Besucher und speichert ein Cookie. Darauf habe ich keinen Einfluss und kann die Daten nicht einsehen. Privacy Policy.

Folgende Dienste speichern Daten über Besucher:

Google Analytics - Speichert diverse statistische Daten. Erlaubt keine Rückschlüsse auf einzelne Personen oder IPs. Speichert ein Cookie um wiederkehrende Besucher zu erkennen. Privacy Policy.

Alle Zähler basieren auf JavaScript.

Informationen von Besucherzählern werden von mir nicht veröffentlicht oder archiviert, ausser absolute Werte ("x Besucher im Januar"). Es werden von mir keine persönlichen Daten gesammelt oder weitergegeben. Ich kann aufgrund von gesetzlichen Bestimmungen oder Rechtsvorgängen gezwungen sein, persönliche Daten offen zu legen.

Feeds haben keine Besucherzähler. Mit an Sicherheit grenzender Wahrscheinlichkeit sammelt Google irgendwelche Informationen über Feed-Leser und setzt ein Cookie.

Teile dieses Blogs werden gehostet von Arcor. Mit an Sicherheit grenzender Wahrscheinlichkeit sammelt Arcor irgendwelche Informationen. Privacy Policy.

Einzelne Artikel können Bilder enthalten, die auf externen Servern gehostet werden. Mit an Sicherheit grenzender Wahrscheinlichkeit sammeln diese Server irgendwelche Informationen.

Die Blog-Suche gehört zu Google und sammelt unter anderem Informationen über IP-Adressen und eingegebene Suchbegriffe. Darauf habe ich keinen Einfluss und kann die Daten nicht einsehen.

Bei einigen Links werden anonyme Statistiken über die Klickhäufigkeit gesammelt.

Es werden Daten in folgende Länder übertragen: USA, Deutschland. Möglicherweise andere.

Update 22.1.2007: StatCounter entfernt, Spammer-Klausel hinzugefügt, Google Analytics geändert, Blogscout korrigiert.
Update 9.4.2007: Blogscout Datenschutzerklärung.
Update 13.7.2009: 10³ Bees, Blogscout entfernt.

Obskure Rootkit-Detektoren (Teil 1)

2007-01-20T16:30:00.000+01:00

Ich habe mal ein paar von den weniger bekannten Anti-Rootkit Programmen ausprobiert bzw. evaluiert, wie wir Spezialexperten sagen. Den Rest mache ich vielleicht nächste Woche.

Für diese Übersicht wurden keine Beta-Versionen oder ähnliches berücksichtigt.

Getestet wurden Hook Explorer, HiddenFinder, Process Master, ProcessGuard, RootKit Hook Analyzer und RootkitShark.

Für alle gilt:
System: Windows XP Pro SP2

Schwierigkeit: 1=Sehr schwer, 2=Schwer, 3=Mittel, 4=Einfach
Abkürzungen: Prozesse, Treiber, Hooks, Dateien, Registry
Ja: Findet Objekt, Nein: Was wohl
n/a: Diese Funktion wird vom Programm nicht unterstützt
Demo: Diese Funktion wird von der Demo-Version des Programms nicht unterstützt

*1 Benutzt ADS
*2 Benutzt ISA (Implementationsspezifischer Angriff)

Test Hook Explorer

Hersteller: iDefense
Preis: Freeware
Betriebssystem: Unbekannt

Treibername: Keiner

Hook Explorer vs Rootkits

Grayware-Rootkits:
4 Alpha-DVD (Kopierschutz) - P: n/a H: Ja

Malware-Rootkits:
3 Goldun - H: Ja D: n/a R: n/a
3 Zcodec-Ruins - H: Ja R: n/a

Fazit
Findet nur User-Mode Hooks. Interessantes Programm, leider etwas buggy und wird nicht mehr weiterentwickelt.

Für den Durchschnittsanwender viel zu kompliziert.

Tip: Die "IgnoreList" stammt noch aus Windows 2000-Zeiten. Mit "edit" anpassen und WINNT durch WINDOWS ersetzen für XP.

Benötigt die Visual Basic Runtime MSCOMCTL.OCX.

Alternative: Rootkit Unhooker oder GMER.

Test HiddenFinder 1.3.03

Hersteller: WenPoint
Preis: 29,95 Dollar
Betriebssystem: Windows 2000/ XP

Treibername: KProcWatch.sys (wird bei Bedarf geladen)

HiddenFinder 1.3.03 vs Rootkits

Demo-Rootkits:
1 BadRKDemo_XP - T: Nein H: n/a R: n/a Entfernen: Demo
1 phide_ex - P: Nein T: Nein
1 RKUnhooker Test Rootkit 1.2 neu - P: Nein T: Nein

Grayware-Rootkits:
4 Alpha-DVD (Kopierschutz) - P: Ja Entfernen: Demo
2 FUTo_enh - P:: Nein T: Nein

Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: Nein D: n/a R: n/a Entfernen: Demo
3 Hacker Defender 100 - P: Ja D: n/a R: n/a Entfernen: Demo
1 Rustock.B (alias lzx32.sys) *1,2 - T: Nein H: n/a D: n/a R: n/a Entfernen: Demo

Fazit
Eines muss man dem Hersteller lassen: Dafür Geld zu verlangen ist mutig. Das Programm findet praktisch nichts.

Fieser Bug: Bei dem verstecken Prozess von Alpha-DVD zeigt HiddenFinder an, dass der Prozess zu HiddenFinder selbst gehört.

Beim Start kommt ständig eine Fehlermeldung "Unable to load driver". Wenn man es noch mal versucht geht es dann.

Bessere Alternative: Jedes andere Programm.

Test Process Master 1.1

Hersteller: Backfaces
Preis: 19,95 Dollar
Betriebssystem: Windows 2000/ XP/ 2003

Treibername: Keiner

Process Master 1.1 vs Rootkits

Demo-Rootkits:
1 phide_ex - P: Nein T: n/a
1 RKUnhooker Test Rootkit 1.2 neu - P: Nein T: n/a

Grayware-Rootkits:
4 Alpha-DVD (Kopierschutz) - P: Ja Entfernen: Demo
2 FUTo_enh - P:: Manchmal T: n/a

Malware-Rootkits:
3 Hacker Defender 100 - P: Nein D: n/a R: n/a Entfernen: Demo

Fazit
Process Master findet NUR versteckte Prozesse - und das schlecht. Das FUTo Rootkit wurde im Schnelltest einmal gefunden, einmal nicht.

Bessere Alternative: Jedes andere Programm.

Test ProcessGuard 3.410 Free

Hersteller: Diamond CS
Preis: Freeware
Betriebssystem: Unbekannt

Treibername: procguard.sys (immer geladen)

Fazit
Laut Hersteller Diamond CS ist ProcessGuard "the first and best anti rootkit software". In Wirklichkeit ist es ein durchschnittliches Host Intrusion Prevention System (HIPS). Damit findet man keine Rootkits. ProcessGuard versucht nur die Installation von Rootkits zu verhindern.

Das Programm hat eine wirklich hässliche und unübersichtliche Benutzeroberfläche. Es ist leidlich brauchbar für Leute, die ein kostenloses HIPS suchen.

Alternative: Die üblichen Security-Suiten oder ein Gehirn.

Test RootKit Hook Analyzer 2.0

Hersteller: Resplendence
Preis: Freeware
Betriebssystem: Windows 2000/ XP/ 2003 x32 und x64

Treibername: rspsc.sys (wird bei Bedarf geladen)

RootKit Hook Analyzer 2.0 vs Rootkits

Demo-Rootkits:
1 BadRKDemo_XP - T: Nein H: n/a R: n/a Entfernen: n/a
1 phide_ex - P: n/a T: Nein
1 RKUnhooker Test Rootkit 1.2 neu - P: n/a T: Nein

Grayware-Rootkits:
2 FUTo_enh - P:: n/a T: Nein

Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: Nein D: n/a R: n/a Entfernen: n/a
3 Goldun - H: Ja D: n/a R: n/a Entfernen: n/a
3 Hacker Defender 100 - P: Nein D: n/a R: n/a Entfernen: n/a
1 Rustock.B (alias lzx32.sys) *1,2 - T: Nein H: n/a D: n/a R: n/a Entfernen: n/a
3 Zcodec-Ruins - H: Nein R: n/a Entfernen: n/a

Fazit
Findet SSDT-Hooks und (versteckte?) Treiber. Der SSDT-Teil ist gut, der andere nicht. Neben BlackLight zur Zeit der einzige Detektor der Windows x64 unterstützt.

Da heute kaum noch ein Rootkit SSDT-Hooks benutzt, ist die Software ziemlich nutzlos.

Alternative: Rootkit Unhooker, GMER, IceSword.

Test RootkitShark 3.27

Hersteller: Advances.com
Preis: 24,95 Dollar
Betriebssystem: Unbekannt

Treibername: Keiner

RootkitShark 3.27 vs Rootkits

Demo-Rootkits:
1 BadRKDemo_XP - T: n/a H: n/a R: Ja Entfernen: Demo

Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: n/a D: n/a R: Ja mit Fehlern Entfernen: Demo
3 Goldun - H: n/a D: n/a R: Nein Entfernen: Demo
3 Hacker Defender 100 - P: n/a D: n/a R: Ja Entfernen: Demo
1 Rustock.B (alias lzx32.sys) *1,2 - T: n/a H: n/a D: n/a R: Nein Entfernen: Demo
3 Zcodec-Ruins - H: n/a R: Teilweise Entfernen: Demo

Fazit
Kommandozeilenprogramm. Findet versteckte Registry-Schlüssel. Diverse Fehlalarme und unzuverlässig. Die kostenlose Version kann nichts löschen.

Bessere Alternative: Trend Micro RootkitBuster (GUI), Sophos Anti-Rootkit (Kommandozeile).

Neues Demo-Rootkit Unreal erschienen

2007-01-19T18:48:00.000+01:00

Am gleichen Tag wie den neuen Rootkit Unhooker 3.01 bringen die Macher das Unreal Test Rootkit.

Das Rootkit versteckt seinen Treiber und seine Datei.

Unreal rootkit hides file and driver. Works on NT-based operation systems with NTFS file systems. It doesnt have process, so it's not hides processes! It do not hide also a registry keys, so no registry keys are hidden! Make sure, that you readed this post before you start tests or write something.

Das neue Rootkit soll angeblich alle existierenden Rootkit-Detektoren (inklusive Rootkit Unhooker) täuschen.

Vom neuen Rootkit Unhooker wird aber zumindest ein namenloser Treiber gefunden. Andere habe ich auf die Schnelle nicht getestet.

Update: Stimmt gar nicht.Nach einem Reboot findet auch RKU den Treiber nicht mehr. Dafür findet IceSword die Datei (siehe Link).

Links

Rootkit Unhooker 3.01 erschienen

2007-01-19T18:40:00.000+01:00

Nach einer gar nicht so langen Beta-Phase ist die Anti-Rootkit Software von DNY, EP_X0FF und MP_ART in der fertigen Version 3.01 verfügbar.

Der nur 141 KB große Installer von Rootkit Unhooker bringt neben den üblichen Verbesserungen und Bugfixes auch einige neue Funktionen.

Es gibt jetzt die Option SSDT-Hooks in einem "einfachen" Modus anzuzeigen. Unter Report kann man jetzt die gewünschten Bereiche auswählen.

Ausserdem gibt es einen ~~irren~~ preisverdächtigen Zufallsgenerator für den Fenstertitel.

version 3.01 build 100/360 (18.01.2007)
added: full Unicode support
added: pages selection for Report page
added: disks selection for Hidden Files Detector page
added: global settings dialog
added three modes for SSDT Detector/Restorer page
normal - everything displaying as always
simple - show hooks only if their addresses are outside kernel module (useful for KAV users)
show only hooks
note: b mode can be combined with c mode.
[...]

P.S.: An der Entwicklungsgeschwindigkeit können sich andere mal ein Beispiel nehmen...

Links

Rootkit Unhooker Homepage, Download
Rrootkit Unhooker 3.0 Beta 1 erschienen (Test der ersten Beta). C-Ko
Übersicht: Rootkits. C-Ko

BitDefender Rootkit Uncover verschwunden

2007-01-18T22:14:00.000+01:00

Ich wollte mal nach einer neuen Version von BitDefender Rootkit Uncover sehen. Vielleicht ist das Programm inzwischen besser geworden - dachte ich mir. Auf der Website des (Ex-) Herstellers ist aber nichts mehr davon zu finden.

Weder bei den Produkten noch auf der Beta-Seite ist was davon zu sehen.

Entweder haben sie es in ein anderes Produkt eingebaut oder in die Tonne getreten. Von der Beta-Phase direkt ins nichts. Hmm.

Update: Auf der Beta-Website von BitDefender wird das Programm immer noch angeboten. Die Version ist immer noch Beta 2 von 4. 7. 2006. Direkter Download siehe Kommentar.

Links

Geek with a gun

2007-01-17T22:55:00.000+01:00

Guter (langer) Artikel bei Wired. Über Jim Christy, dem dienstältesten Computer-Ermittler des US-Verteidigungsministeriums.

Fifteen years ago, Christy founded the Pentagon's first digital forensics lab. Back then, most cops didn't even bother to seize computers when they executed a search warrant. Ten years ago, he was the guy they tapped to explain computer security to senators and the White House. Now Christy has built his shop into the world's largest center for pulling evidence off damaged or encrypted hard drives, tracking hackers across networks, reconstructing terrorists' computers, and training a new generation of law enforcement. He's the government's original geek with a gun.

Links

CSI: TCP/IP. Wired

Test Avira AntiRootkit Tool 1.0.1.5 (Beta 3)

2007-01-17T22:40:00.000+01:00

Hersteller: Avira
Preis: Zeitlich limitierte Beta (Registrierung erforderlich)
Sprache: Englisch

Treibername: avirabb.sys und ssmdrv.sys (werden bei Bedarf geladen)

Eine unsichtbare Fee hat mir die neueste Beta-Version der Anti-Rootkit Software von Avira gebracht. Der hierzulande omnipräsente Hersteller des Viren-Scanners AntiVir will das Programm angeblich schon zur Cebit vorstellen.

Das AntiRootkit Tool ist ein konventionelles Ein-Klick Anti-Rootkit mit automatischer Entfernung. Als Besonderheit kann es eine Verbindung mit AntiVir eingehen. Dabei werden erkannte Rootkits in die "Quarantäne" des Viren-Scanners verschoben.

AntiRootkit Tool findet versteckte Prozesse, Dateien und Registry-Schlüssel. Das Programm zeigt auch versteckte Treiber an, findet sie aber nur durch Scannen der Registry. Die Suche nach versteckten Treibern wird daher als nicht existent gewertet.

Zu jedem gefundenen Objekt kann man sich Details anzeigen lassen, ausserdem gibt es einen Report mit allen Ergebnissen.

Zum Entfernen von versteckten Dateien ist immer ein Reboot erforderlich. Was anderes kann nicht entfernt werden.

Das Programm hat keine Anleitung und keine Online-Hilfe.

Avira AntiRootkit Tool 1.0.1.5 (Beta 3) vs Rootkits

System: Windows XP Pro SP2
Nach der Installation des Rootkits erfolgt immer ein Reboot (ausser bei nicht-persistenten Demos), dann der Test.

Schwierigkeit: 1=Sehr schwer, 2=Schwer, 3=Mittel, 4=Einfach
Abkürzungen: Prozess, Treiber, Hooks, Datei, Registry
Ja: Findet Objekt, Nein: Was wohl, n/a: Diese Funktion wird vom Programm nicht unterstützt

Demo-Rootkits:
1 BadRKDemo_XP - T: n/a H: n/a R: Ja Entfernen: Nein
2 FUTo_enh - P: Ja T: n/a
1 phide_ex - P: Nein T: n/a
1 RKUnhooker Test Rootkit 1.2 neu - P: Ja T: n/a

Malware-Rootkits:
2 All in One (alias Nailuj-A, VideoAti0.exe) - T: n/a D: Ja R: Ja Entfernen: Automatisch
4 Alpha-DVD (Kopierschutz) - P: Ja Entfernen: Automatisch
3 Goldun - H: Nein D: Nein R: Programmfehler Entfernen: Nein
3 Hacker Defender 100 - P: Ja D: Ja R: Ja Entfernen: Automatisch
1 Rustock.B (alias lzx32.sys) *1,2 - T: n/a H: n/a D: Nein R: Ja Entfernen: Nein
3 Zcodec-Ruins - H: n/a R: Ja Entfernen: Nein

*1 Benutzt ADS
*2 Benutzt ISA (Implementationsspezifischer Angriff)

Fazit
Das Versagen bei der Entfernung von Rustock.B ist nicht wirklich gut. Das Malware-Rootkit ist seit fast einem halben Jahr bekannt. Das AntiRootkit Tool bietet die Entfernung zwar an, schafft es dann aber doch nicht. Das ist wenig überraschend, da die gefundenen Registry-Schlüssel nicht gelöscht werden können und die Datei nicht gefunden wird.

Damit befindet sich Avira AntiRootkit Tool in bester Gesellschaft: Auch Sophos Anti-Rootkit versagt bei Rustock.B. Vermutlich hat auch Aviras Software Probleme mit Alternativen Datenströmen (ADS).

Die Probleme setzten sich fort bei BadRKDemo_XP und Zcodec-Ruins. Die versteckten Registry-Schlüssel werden zwar gefunden, können aber nicht entfernt werden. Ich bin zu dem Schluss gekommen, dass das Programm überhaupt keine Registry-Schlüssel entfernen kann. Die Erkennung von versteckten Registry-Schlüsseln ist aber gut, wenn auch langsam.

Im Test traten bizarre Fehlalarme auf. AntiRootkit Tool fand einmal mehrere nicht-existierende versteckte Treiber. Nach der Installation des Goldun-Rootkits wurden mehrere hundert Registry-Schlüssel von Microsoft .NET als "versteckt" angezeigt. Update: Die Schlüssel waren wirklich versteckt. Warum? Keine Ahnung, Muss besser hinsehen.

Die Erkennung von verstecken Prozessen scheint relativ gut zu sein. Mit Ausnahme des "Super-Rootkits" phide_ex wurde alles gefunden. Beim RKU Test Rootkit versagt sogar die neueste Version von IceSword.

Die Erkennung von versteckten Treibern ist weniger gut bzw. nicht existent. Schlecht: Wenn beim Registry-Scan ein versteckter Treiber gefunden wird, wird der Schlüsselname nicht angezeigt, nur der Dateiname. Das ist eher verwirrend als hilfreich.

Ich habe keine Zeiten gestoppt, aber das Programm kam mir unangenehm langsam vor. Der Trend Micro RootkitBuster kommt mir subjektiv drei mal so schnell vor. Dafür ist das Programm stabil. Es gab keine Abstürze oder ähnliches.

Die einzige Besonderheit von Avira AntiRootkit Tool ist die Integration mit dem Viren-Scanner AntiVir vom selben Hersteller. Damit müssen verdächtige Objekte nicht sofort gelöscht werden, sondern kommen erst mal in Quarantäne.

Die Erkennungsleistung bleibt insgesamt deutlich hinter den Freewareprogrammen Rootkit Unhooker und GMER zurück. Beide Programme können Rootkits im laufenden Betrieb killen und ihre Dateien löschen (ohne Reboot).

Links

IceSword 1.20 für Vista erschienen

2007-01-16T19:05:00.000+01:00

Der arbeitsame PJF hat soeben eine neue Ausgabe der Version 1.20 von IceSword veröffentlicht. Die neue Version 1.20 der beliebten Anti-Rootkit Software unterstützt jetzt auch Windows Vista und trägt die Unterversion "SubVer: 111E3".

Ausser einem neuen Zufallsgenerator für den Fenstertitel gibt es keine erkennbaren Veränderungen zur vorherigen Version 1.20.

IceSword 1.20 SubVer: 111E3 funktioniert jetzt unter Windows 2000, XP, 2003 und Vista (32-Bit). Damit ist IceSword nach F-Secure BlackLight die zweite Anti-Rootkit Software für Windows Vista. Update: Avira Rootkit Detection unterstützt jetzt auch Vista (Test demnächst).

Da ich hier in meiner Höhle kein Vista habe, kann ich nicht sagen ob es funktioniert. Ich frage mich, wie IceSword es schafft unter Vista die zwangsweise Treiber-Signierung zu umgehen?

Der Server in China ist weiterhin kaum erreichbar, deshalb habe ich das Zip gleich bei SpeedyShare hochgeladen.

Links

Download IceSword 1.20 für Vista von SpeedyShare
IceSword for Vista. PJF's Blog
Neue Version 1.20 von IceSword. C-Ko
Einführung in IceSword. C-Ko
Übersicht: Rootkits. C-Ko

Spion gegen Spion

2007-01-15T23:42:00.000+01:00

"Wir glauben, sie benutzen Google Earth, um die am leichtesten angreifbaren Ziele, wie zum Beispiel Zelte zu identifizieren", zitiert die britische Zeitung "Daily Telegraph" einen britischen Geheimdienstoffizier. Bei der Erstürmung mehrerer Häuser von mutmaßlichen Terroristen hatten Soldaten in der vergangenen Woche Dokumente gefunden, die sie stutzig machten.

Auf Ausdrucken von Satelliten- und Luftaufnahmen der Google-Earth-Software waren auf der Rückseite die Koordinaten potentieller Angriffsziele vermerkt

Das entbehrt nicht einer gewissen Ironie, denn Google hat die Daten für Google Earth von der Firma Keyhole Inc., welche wiederum vom US-Geheimdienst CIA finanziert wurde.

In der Google-Zentrale in Kalifornien sorgen die jüngsten Meldungen nicht für Verwunderung. Ein Sprecher erklärte, die Software könne zu "guten und schlechten Zwecken" genutzt werden, schließlich sei sie offen zugänglich. Die Bedenken würden jedoch ernst genommen. "Natürlich haben wir immer ein offenes Ohr für die Bitten einer Regierung."

Bilde ich mir das ein oder klingt der letzte Satz wirklich wie eine Drohung?

Links

Terroristen suchen Ziele mit Google Earth. GMX
Google und die Spione. Handelsblatt

Nummer eins

2007-01-15T23:23:00.000+01:00

"Wie war noch mal Ihre Internet-Adresse?"

"Googlen Sie nach hässlichste Homepage. Der erste, das bin ich. Der zweite auch."

Bitte lächeln

2007-01-15T11:50:00.000+01:00

Ab sofort werden in den Kommentaren grafische Smilies angezeigt. Im Editor sind sie nicht zu sehen. Die Codes werden erst nach dem Laden der Seite von einem JavaScript in kleine Bildchen umgewandelt.

Mögliche Smilies sind:

:) oder :-) 
;) oder ;-) 
:( oder :-( 

:-D 
:-P 
:-$

Credit: Aditya

P.S.: Wer heute dumm genug war, diesen Blog nach Mitternacht zu lesen, dem ist möglicherweise der Browser abgefackelt oder hat sowas produziert:

Das Problem wurde jetzt beseitigt.

P.S.S.: Der kaputte Link zum RSS-Feed wurde repariert.

Doch keine NSA-Backdoor in Windows Vista

2007-01-14T23:56:00.000+01:00

Der stets zuverlässige Titanic-Newsticker informiert uns über die wahren Hintergründe der angeblichen Kooperation von Microsoft mit ~~Big Brother~~ der NSA:

Wie Microsoft-Guru Bill Gates erklärte, seien keineswegs Teams der NSA (National Security Agency) an der Entwicklung von Windows Vista beteiligt gewesen, sondern Experten der NASA (National Aeronautics and Space Administration). Diese hätten auch lediglich ein Programm zur Berechnung der exorbitant hohen Preise für das neue Microsoft-Betriebssystem zur Verfügung gestellt.
"Das Bespitzeln unserer Kunden erledigen wir immer noch selbst", erklärte ein Sprecher des Konzerns.

Links

Gates gibt Entwarnung. Titanic

Chinesen klauen den Amis die Sprache

2007-01-14T15:50:00.000+01:00

Während wir uns noch über Anglizismen in der Deutschen Sprache ärgern, haben die Amis schon ganz andere Probleme.

Auf der Website der Chinesischen staatseigenen Propagandaschleuder Xinhua habe ich einen herrlichen Artikel entdeckt. Ein Sprachwissenschaftler meint dort, dass die Chinesen aufgrund ihrer zahlenmäßigen Überlegenheit in Zukunft die Englische Sprache "besitzen" könnten:

The English language is undergoing its greatest transformation ever, thanks mostly to translation mistakes made by some 250 million Chinese second-language speakers, according to the San Diego-based consultancy Global Language Monitor.
[...]
"Because of China's growing influence, it now has more impact on Global English than native English-speaking countries. That's pretty astonishing," said GLM president Paul JJ Payack.
[...]
"What's interesting here," Payack said, "is that we're talking about the possibility of the Chinese becoming the owners of the English language."

Das China-Englisch ist allerdings noch nicht ganz politisch korrekt:

The Beijing Municipal Tourism Bureau is now working to stamp out mottled English in the capital. There is a sign reading "Racist Park" denoting the Park of Ethnic Minorities, [...] Perhaps the most offensive are the "deformed man toilet" signs posted above some of the city's handicap-accessible restrooms.

Wieso gibt es eigentlich keine "deformed woman toilet"?

Links

Adding spice to alphabet soup. China View (Xinhua)

Analphabeten auf Frankfurts Sraßen

2007-01-13T17:15:00.000+01:00

Petra "Das Brot" Roth und ihr debil grinsender Hilfspolizist frohlockten, ein weiteres Mal hatten sie sich den Forderungen der SPD widersetzt.

Sichere Passwörter wählen

2007-01-13T12:40:00.000+01:00

Noch ein beunruhigender Artikel, bei Bruce Schneier gefunden. Er schreibt darin unter anderem über kommerzielle Passwort-Cracker und deren Funktionsweise:

So the first attack PRTK performs is to test a dictionary of about 1,000 common passwords, things like "letmein," "password," "123456" and so on. Then it tests them each with about 100 common suffix appendages: "1," "4u," "69," "abc," "!" and so on. Believe it or not, it recovers about 24 percent of all passwords with these 100,000 combinations.

Sowas wie "kaffee99" dürfte dem Programm keine 0,3 Sekunden standhalten.

Er erklärt auch, warum man sein Passwort niemals in einer "unauffälligen" Datei verstecken sollte: Die Software erstellt ein Wörterbuch von jeder Zeichenkette auf der Platte, inklusive Auslagerungsdatei und gelöschten Dateien. Damit sollen sich bereits mehr als 50 Prozent aller Passwörter knacken lassen.

AccessData sells another program, Forensic Toolkit, that, among other things, scans a hard drive for every printable character string. It looks in documents, in the Registry, in e-mail, in swap files, in deleted space on the hard drive ... everywhere. And it creates a dictionary from that, and feeds it into PRTK. And PRTK breaks more than 50 percent of passwords from this dictionary alone.

Solche Programme muss man den Benutzern immer wieder vorführen, bis sie es kapieren.

Ich selbst bin ja ein Anhänger der Erste-Buchstaben-eines-Satzes-Methode. Dabei bildet man einen langen Satz und mischt die Anfangsbuchstaben der Wörter mit ein paar Sonderzeichen. Wichtig: Klein- und Großbuchstaben verwenden, Sonderzeichen und Buchstaben mischen, 12 Zeichen Minimum.

Beispiel:
#über Wörterbuch-Angriffe [[~ kann ich nur höhnisch lachen // Geh sterben Hacker

wird zu:

#üW-A[[~kinhl//GsH

Mit etwas Übung kann man sich das tatsächlich merken. Wirkt auch vorbeugend gegen Alzheimer.

Links

Choosing Secure Passwords. Schneier on Security

Verpixelung umdrehen

2007-01-13T12:38:00.000+01:00

Jeder kennt diese "Verpixelung" um Sachen auf Bildern oder im Fernsehen unkenntlich zu machen:

Mit Hilfe eines Wörterbuch-Angriffes kann Dheera Venkatraman jetzt verpixelte Zahlen wieder sichtbar machen - zumindest im Experiment. Mit dem vorgestelltem Algorithmus sollte man theoretisch auch verpixelte Kreditkarten und ähnliches wiederherstellen können.

Beängstigend, sowas.

Links

Why blurring sensitive information is a bad idea. Dheera Venkatraman

BIOS-Passwort umgehen oder löschen

2007-01-12T21:35:00.000+01:00

Praktisch alle PCs und Notebooks haben die Möglichkeit ein BIOS-Passwort zu aktivieren. Allerdings ist "BIOS-Passwort vergessen" oft genug die Folge.

Besitzer von Desktop-Rechnern sind noch verhältnismäßig gut dran: Die meisten Desktops haben einen Jumper auf dem Mainboard (oft PWD oder CMOS genannt), mit dem man das Passwort löschen kann. CMOS ist dabei der Name des Speichers, in dem das Passwort und die anderen BIOS-Einstellungen liegen.

Deutlich weniger witzig sind BIOS-Passwörter bei Notebooks, besonders wenn der Vorbesitzer nicht mehr greifbar ist. IBM hat früher in solchen Fällen das Mainboard des Notebooks ausgetauscht - zumindest behaupteten sie es.

Mit dem kleinen Kommandozeilenprogramm CmosPwd kann man sich das BIOS-Passwort der meisten Systeme anzeigen lassen.

CmosPwd läuft unter allen Versionen von DOS und Windows (und Linux). Unter Windows muss vor der Benutzung der ioperm-Dienst installiert werden, da Windows sonst keinen direkten Zugriff auf das BIOS erlaubt. Nach der Benutzung sollte man den Dienst wieder entfernen (Sicherheitslücke).

Aus der von CmosPwd angezeigten Liste sucht man sich seinen BIOS-Hersteller heraus, neben dem dann hoffentlich das Passwort angezeigt wird. Es wird nicht das Original-, sondern ein äquivalentes Passwort angezeigt.

Benutzung von CmosPwd unter Windows

ioperm.exe -i
cmospwd_win
[Passwörter werden angezeigt...]
ioperm.exe -u

CmosPwd kann auch ein Backup vom CMOS speichern (und es wieder herstellen). Wenn nix gefunden wird, kann man als letzte Möglichkeit das BIOS-Passwort löschen.

Im Web zirkulieren auch diverse Listen mit Backdoor-Passwörtern der verschiedenen Hersteller. Kann allerdings ewig dauern, bis man eins gefunden hat das funktioniert.

Falls das Programm versagt, bittet der Programmierer um eine Mitteilung.

Links

CmosPwd Homepage, Download

Backup mit Robocopy

2007-01-11T00:35:00.000+01:00

Robocopy ist das "Robust File Copy for Windows". Das Kommandozeilenprogramm von Microsoft ist im Grunde ein aufgemotzter Copy-Befehl.

Robocopy eignet sich besonders zum Verschieben von größeren Datenmengen übers Netzwerk. Im Gegensatz zu den meisten anderen Programmen wird der Kopiervorgang nicht beim ersten Netzproblem abgebrochen (daher auch das "Robust").

Auch als Pseudo-Backup ist Robocopy erste Wahl. Die Option /MIR implementiert einen intelligenten Mirror. Dabei wird ein entferntes Verzeichniss mit einem lokalen stets synchron gehalten. Beim ersten Durchlauf werden alle Dateien aus dem lokalen Verzeichniss kopiert. Dann werden nur noch die geänderten Dateien kopiert. Wenn im lokalen Verzeichniss eine Datei gelöscht wird, wird sie auch auf dem Mirror gelöscht.

Das ist nicht so sicher wie ein richtiges Backup, aber extrem schnell, wartungsarm und einfach zu bedienen. Damit kann man einfach alles auf eine USB-Festplatte spiegeln. Mit der Option /COPYALL werden auch alle Berechtigungen kopiert. Im Gegensatz zu einem richtigen Backup wird der Mirror im Laufe der Zeit nicht immer größer. Außerdem braucht man keine spezielle Software um an die Daten zu kommen - jede einzelne Datei kann bei Bedarf einfach zurückkopiert werden.

Die neueste Version ist offensichtlich XP010. Sie ist Bestandteil des Windows Server 2003 Resource Kits (funktioniert auch unter älteren Versionen von Windows).

Wem die Kommandozeile zu kompliziert ist, dem bietet Microsoft Robocopy GUI an. Das .Net-Programm ist allerdings nicht wirklich übersichtlich. Die ganzen Optionen werden einfach ohne Erklärung angezeigt.

Robocopy kommt mit einer ausführlichen Anleitung als Word-Datei (die man besser lesen sollte).

Update: Mit der Option /CREATE gibt Robocopy auch ein erstaunlich brauchbares "Defragmentierungsprogramm" ab.

Links

Windows Resource Kit und Support Tools (enthält Robocopy). C-Ko
Robocopy GUI (benötigt .Net). Microsoft TechNet

Becksteins Lebenswerk

2007-01-10T23:51:00.000+01:00

Gibt es eigentlich Innenminister, die keine verhinderten Faschos sind?

Bayerns Kabinett hat in dieser Woche eine neue Bundesratsinitiative gestartet, die ein bereits zuvor von Bayerns Innenminister Günther Beckstein (CSU) vorgeschlagenes "Herstellungs- und Verbreitungsverbot von virtuellen Killerspielen" vorsieht. Dabei bleibt es jedoch nicht, auch Aktivitäten jenseits des Computers wie Gotcha, Paintball und Laserdrome sollen verboten werden - dem Schutz der Jugend zuliebe.
[...]
Mit weiteren Gesetzesänderungen sollen etwa höhere Bußgelder (500.000 statt 50.000 Euro) für Verstöße verhängt oder der Verleih und die Vermietung indizierter Spiele auch an Erwachsene verboten werden können.

Das musste ja kommen. Zuerst installiert man einen "Jugendschutz" durch eine "freiwillige" Selbstkontrolle. Dann ersetzt man die "freiwillige" Selbstkontrolle schleichend durch eine Behörde. Dann dehnt man die Zuständigkeit der Behörde auf alles und jedes aus. Dann ist die "Jugendschutz"-Behörde plötzlich auch für Erwachsene zuständig.

Beckstein sagte dazu: "Geben sie uns noch fünf bis sieben Jahre, dann haben wir das Grundgesetz so weit ausgehöhlt, dass es von selbst zusammenfällt."

Links

Windows Resource Kit und Support Tools

2007-01-08T22:42:00.000+01:00

Das Resource Kit von Microsoft ist eine Sammlung von Hilfsprogrammen für Windows. Früher gab es die Programme vollständig nur auf einer Buch-CD (das Resource Kit Buch). Heute kann man sich alles kostenlos herunterladen.

Neben dem Resource Kit gibt es auch noch die Support Tools von Microsoft. Die Support Tools sind auch eine Sammlung von Hilfsprogrammen. Die Aufteilung der Programme zwischen Resource Kit und Support Tools ist etwas mysteriös. Manche Programme die zum Windows 2000 Resource Kit gehörten, sind heute in den Windows Server 2003 Support Tools enthalten.

Die meisten Programme sind für die Kommandozeile, es sind aber auch aufwendige GUI-Programme dabei.

Beide kommen als eine Exe-Datei, die sich ab Windows XP installieren lässt. Trotz des "2003" im Namen funktionieren die meisten Programme auch unter Windows 2000. Manche Programme sind sogar unverändert aus dem alten Resource Kit übernommen wurden.

Unter Windows 2000 lässt sich die Exe allerdings nicht installieren. Man kann die Programme aber von Hand aus dem Installer holen. Auch Benutzer von XP und 2003 können es so machen, wenn sie nur ein einziges Programm aus dem Resource Kit haben wollen.

Resource Kit / Support Tools von Hand installieren

Benötigt 7-Zip.

rktools.exe -> Rechtsklick -> 7-Zip -> Öffnen
Doppelklick auf rktools.msi
Gewünsche Datei auswählen und irgendwo hin kopieren.

...-SupportTools-x86-ENU.exe -> Rechtsklick -> 7-Zip -> Öffnen
Doppelklick auf support.cab
s.o.

Highlights aus dem Resource Kit

Cleanspl (Spooler Cleaner) - Gut bei diversen Druckerproblemen
HLScan (Link Display Tool) - Einziges mir bekanntes Programm welches Hard Links anzeigt
Linkd - Erzeugt Namespace Junctions (Windows-Version von Unix-Symlinks)
Robocopy (Robust File Copy Utility) - Kopier- und Backup-Programm
SubInACL - Suchen und Ersetzen in Dateisystemberechtigungen (SubInACL aus dem 2003er Resource Kit ist fehlerhaft. Unter anderem funktioniert es nicht mit Windows 2000. Hier kann man eine neue Version herunterladen)
Winexit (Windows Exit Screen Saver) - Bildschirmschoner der Benutzer ausloggt

Highlights aus den Support Tools

Bitsadmin (BITS Administration Utility) - Kontrolliert den "Hintergrundübertragungsdienst" von Windows Update (Passend dazu: WinBITS Download-Manager, braucht Net 2.0)
Devcon (Device Console Utility) - Kommandozeilenversion des Geräte-Managers
Dnslint (DNS Lint) - Gut bei diversen Netzwerkproblemen
Msizap (Windows Installer Zapper) - Windows Installer (MSI) Krücke

Für alle Programme gibt es eine ausführliche Anleitung in Form einer CHM-Datei. Achtung: Die CHM-Datei vom Resource Kit ist fehlerhaft. In der Baumanzeige links werden nicht alle Programme angezeigt. Besser nach der Alphabetischen Anzeige im Hauptfenster richten.

Hinweis
Einige Programme aus dem Resource Kit stammen noch aus der Zeit von Windows 98. Teilweise sind die Programme etwas skuril, manche funktionieren nicht richtig unter XP/2000/2003.

Links

Sicherheitsrisiko Browser-Plugins

2007-01-07T18:11:00.000+01:00

Ich liebe ja Statistiken. Darum habe ich mir mal angesehen, welche Version des Flash-Plugins meine Besucher verwenden. Über die Versionsnummern von anderen Plugins verrät mir Google Analytics leider nichts.

Und ich bin entsetzt meine Freunde, entsetzt.

Nur 22,21 Prozent der Flash-Nutzer haben die aktuelle Version installiert. Dabei haben alle anderen Versionen bereits seit Monaten bekannte Sicherheitslücken!

Die Statistik zeigt nur die Besucher aus dieser Woche (1.Januar 2007 bis gestern). Die aktuelle Version des Flash-Plugins ist 9.0.28 (in der Grafik hervorgehoben).

Web-Browser-Plugins sind im Grunde kleine Programme, die innerhalb des Browsers laufen. Dabei gibt der Browser dem Plugin einen Platz auf dem Bildschirm und ihre Daten (zum Beispiel eine SWF-Datei von Flash). Die Plugins laufen dann quasi als unabhängige Tochterprogramme innerhalb des Browsers ab.

Jede Sicherheitslücke in einem Plugin ist daher genauso schlimm wie eine Sicherheitslücke im Browser selbst (aber schwerer auszunutzen).

Adobe Flash ist zwar zahlenmäßig die größte Sicherheitslücke, aber andere Mütter haben auch hässliche Töchter:

Sicherheitslücken in Browser-Plugins

Sun Java: Alles unterhalb 1.5.0.7 hat bekannte Sicherheitslücken
Adobe Flash: Alles unterhalb von Version 9.0.28 hat bekannte Sicherheitslücken
Adobe Reader Plugin: Alles unterhalb von Version 8 hat bekannte Sicherheitslücken
Apple Quicktime: ALLE Versionen haben bekannte Sicherheitslücken (ist von Apple)

(Stand: 7. Januar 2006)

Die Hard, Firefox

2007-01-05T15:40:00.000+01:00

Ich habe bei der Sueddeutschen eine faszinierende Software gefunden: DieHard. Durch eine verbesserte Speicherverwaltung soll es weniger Abstürze und Sicherheitslücken geben. Klingt zuerst mal wie eine Verarsche, sieht aber seriös aus.

Normalerweise reserviert ein Programm große, zusammenhängende Blöcke im RAM. Das verbessert die Chancen für einen Buffer-Overflow Angriff, da beim böswilligen Überschreiben eines Feldes fast sicher Programmcode zerstört wird. Bergers Programm „DieHard“ schützt gegen diese Schwachstellen.

Es sorgt dafür, dass eine Anwendung ihren Speicherbedarf über einen möglichst großen Bereich des RAM verteilt und voneinander trennt. So kann ein Angreifer, wenn er es schafft einen Buffer-Overflow hervorzurufen, nicht damit rechnen direkt im Anschluss an ein Feld Programmcode zu finden.

DieHard für Windows unterstützt bisher nur Firefox. Angesichts der notorischen Firefox-Speicherverwaltung vermutlich der ideale Kandidat für sowas.

DieHard funktioniert mit Firefox 1.5.0.9 oder 2.0.0.1 unter Windows XP und 2003.

Links

DieHard Homepage, Download
Browser mit Lebensversicherung. Sueddeutsche

Test Trend Micro RootkitBuster

2007-01-05T15:13:00.000+01:00

Ich habe mir mal die Anti-Rootkit Software RootkitBuster von Trend Micro angesehen. Das Programm ist eine Beta-Version und Freeware. Wie die meisten kommerziellen Kollegen ist es ein relativ simpler Ein-Klick Scanner.

RootkitBuster sucht nach versteckten Dateien, Registry-Schlüsseln, Prozessen, Treibern und Hooks.

Es können versteckte Dateien und Registry-Schlüssel entfernt werden. Dazu wird immer ein Neustart benötigt.

TEST Trend Micro RootkitBuster 1.6.0.1049 Beta vs Rootkits

System: Windows XP Pro SP2

RKU Test Rootkit 1.2 - Nichts. Kein Prozess, kein Treiber.
Zcodec-Ruins - Findet Dateien, Registry-Schlüssel, kann es löschen.
FUTo - Findet Prozess, Treiber.
BadRKDemo_XP - Findet versteckte Registry-Schlüssel. Kein Prozess, kein Treiber.
Rustock.B - Findet versteckte Registry-Schlüssel, kann sie löschen. Findet keine Datei, kein Treiber.
HideToolz 1.6 - Findet Prozess
Hacker Defender 100 - Findet Dateien, Registry-Schlüssel, Prozess. Kann es löschen.
AFX Rootkit 2005 - Findet Dateien, Registry-Schlüssel, Prozess. Kann es löschen.
Alpha-DVD - Findet Prozess. Kann es nicht löschen.
Vanquish 0.2.1 - Findet Dateien, Registry-Schlüssel. Kann es löschen.

Fazit
Das Simpel-Rootkit Alpha-DVD kann nicht entfernt werden, da es nur seinen Prozess versteckt. RootkitBuster kann nur Dateien und Registry-Schlüssel löschen.

Erkennung von Hooks ist miserabel. Das Programm hat keinen einzigen Hook gefunden. Die Funktion ist auch standardmäßig nicht aktiviert. Möglicherweise ist dieser Programmteil noch gar nicht implementiert.

Erkennung von versteckten Prozessen und Treibern ist nicht so gut. Aktuelle Kernel-Mode Rootkits werden so kaum gefunden. Nur gegen User-Mode Zeug scheint es ganz gut zu funktionieren.

Die Suche nach versteckten Dateien ist ziemlich schnell aber nicht so gut.

Die Erkennung von versteckten Registry-Schlüsseln ist gut und die Entfernung funktioniert zuverlässig.

RootkitBuster kann mehr als die meisten anderen kommerziellen Ein-Klick Scanner. Versteckte Treiber finden sonst nur wenige. Die Erkennungsrate läßt aber zu wünschen übrig.

"Highlight" (wenn es sowas überhaupt gibt) ist der Registry-Scanner. Hier profitiert das Programm vermutlich davon, dass es relativ unbekannt ist. Gegen die bekannteren der Branche hat die Malware spezielle Routinen. Bei Anti-Rootkit Software ist es immer gut, ein paar "Unbekannte" in der Hinterhand zu haben.

Links

Führ mich zum Schotter, Mitchell

2007-01-04T22:28:00.000+01:00

Von wegen "mit Open Source verdient man nichts":

Mozilla-Chefin Mitchell Baker, die sich selbst "Chief Lizard Wrangler" nennt, gab am 2. Januar auf ihrem Blog die Einnahmen für 2005 bekannt (das ist kein Tippfehler, wirklich 2005).

Der Hersteller des Web-Browsers Firefox schwimmt im Geld. Die Mozilla Foundation und ihre kommerzielle Tochterfirma Mozilla Corporation haben zusammen 52,9 Millionen Dollar verdient. Ausgegeben haben sie nur 8,2 Millionen, den größten Teil davon für Personalkosten.

Sie sagen nichts genaues, aber die Kohle scheint zu 95% von "Beziehungen mit Suchmaschinen" zu kommen. Auf Deutsch von Google und Yahoo.

Man muss sich ernsthaft fragen, wie sehr die Mozilla Foundation in der Lage ist "nein" zu sagen, wenn Google irgendwas will. Mozilla hat scheinbar auf Dauer kein Geschäftmodell, dass ohne die gute Google-Kohle auskommt.

Wenigstens wollen sie mit den überschüssigen Millionen Rücklagen bilden. Wenn die Einnahmen in 2006 genauso sind, können sie damit mindestens 10 Jahre lang durchhalten. Wenn sie nicht gierig werden. Ansonsten werden sie ihre Befehle in Zukunft direkt aus dem Googleplex empfangen. Oder die Mozilla Foundation wird gleich im Googleplex sitzen.

Links

The Mozilla Foundation: Achieving Sustainability. Mitchell's blog
Firefox mit Hand in Keksdose erwischt. C-Ko
Der Fuchs, der zuviel wusste. C-Ko

LKA: Rütteln und schütteln Sie am Geldautomaten

2007-01-04T20:29:00.000+01:00

Das LKA Niedersachsen warnt vor dem uralten Trick mit den gefälschten Geldautomaten, neuerdings "Skimming" genannt.

Die Täter montieren mit beidseitigem Klebeband ein Vorsatzgerät, welches vom Original kaum zu unterscheiden ist. Dadurch können die Daten abgelesen und zu den Tätern übermittelt werden. Während in der „ersten Generation“ lediglich Vorsatzgeräte für den Kartenschlitz (und eine in der Nähe versteckten Kamera) verwendet wurden, fälschen die Betrüger heute durch passgenaue Attrappen häufig die komplette, nach vorne gerichtete Außenhülle.

Wie billig! Bereits in den 80ern gab es in den USA Banden, die echte gebrauchte Geldautomaten gekauft und in Einkaufszentren aufgestellt haben - die wurden allerdings alle verhaftet.

Das Landeskriminalamt Niedersachsen rät:
In der Vergangenheit haben aufmerksame Bankkunden bemerkt, dass sich die Attrappe durch das Anfassen (und leichtes Rütteln bzw. Ziehen) gelöst hat. Verschraubten Originalgeräten macht dieses nichts aus.

Eine Frage bleibt allerdings offen: Wie erkläre ich es den Bankangestellten? Oder dem Überfallkommando der Polizei?

"Das LKA Niedersachsen hat mir gesagt, ich soll nach versteckten Kameras suchen und dann am Geldautomaten rütteln? Huch? Was meinen sie mit versuchter Raubüberfall?"

Nebenbemerkung: Das LKA Niedersachsen hat die hässlichste Homepage der Welt.

Links

Warnung vor sog. Skimming. LKA Niedersachsen

BlogAlm Blog-Verzeichnis

2007-01-03T23:49:00.000+01:00

Der Blogger Frank Helmschrott hat ein neues Blog-Verzeichnis gestartet: BlogAlm listet deutschsprachige Blogs mit eigenen Inhalten (keine Spamblogs).

In vielen kostenlosen Verzeichnissen dieser Art gibt es als Gegenleistung eine sogenannte “Backlinkpflicht”. Der Seitenbetreiber muss also im Gegenzug zum kostenlosen Eintrag einen Link zurück zum Verzeichnis in seine Seite einbauen. Diese Verpflichtung gibt es bei der Blogalm NICHT.

Bis jetzt steht noch kaum was drin, sieht aber gut aus.

Links

BlogAlm

Start des Space Shuttle von oben gesehen

2007-01-03T22:36:00.000+01:00

Das Bild wurde aufgenommen aus einem NASA WB-57 High Altitude Research Forschungsflugzeug (nicht aus der Weltraumstation ISS wie warrenellisdotcom fälschlicherweise behauptet).

Das Bild ist vom 9.9.2006.

Hier eine WB-57:

Links

Der 10. Planet. C-Ko
Shuttle Launch Seen From ISS. warrenellisdotcom
WB-57 Home. NASA

Oma im Glück

2007-01-02T21:08:00.000+01:00

Voller Stolz präsentierte Oma die Trophäen ihres Beutezugs in der Fußgängerzone:

"Eigentlich wollte ich nur ein Pfund Kaffee kaufen, aber bei Tchibo gab es diese elegante Krücke im Sonderangebot, da konnte ich natürlich nicht widerstehen".

Geheime Windows-Tricks 1 - Ordner-Inhalt in der Taskeiste

2007-01-02T09:36:00.000+01:00

Die Leute fragen mich immer wieder, mit welchem Programm ich dieses Menü in die Taskleiste kriege:

Antwort: Diese Fähigkeit ist bereits seit 10 Jahren in Windows eingebaut.

Rechtsklick auf die Taskleiste->Symbolleisten->Neue Symbolleiste

Die Taskleiste kann man übrigens schon genauso lange nach oben verschieben (mache ich immer). Einfach auf einen freien Bereich klicken und ziehen.

Einführung in IceSword - Dump GDT/IDT

2007-01-01T23:45:00.000+01:00

Beschreibung
Diese Funktion erzeugt zwei Textdateien im IceSword-Verzeichniss: GDT.log und IDT.log. Diese geben den Inhalt der jeweiligen Systemtabellen wieder.

Die Global Descriptor Table (GDT) ist ein Teil der Speicherverwaltung von Intel 80386 (alias 386 alias IA-32 alias x86) Prozessoren. Die GDT ist im Grunde eine Altlast und wird von modernen Systemen nicht mehr wirklich verwendet. Da die GDT aber von der Hardware vorgegeben ist, wird sie von Windows implementiert.

Die Interrupt Descriptor Table (IDT) ist auch Teil der x86-Architektur. Nähere Erklärungen siehe Links unter Informationen. In Multiprozessorsystemen hat jeder Prozessor seine eigene IDT.

Hinweis
Prozessor-Interrupts (Ints) sind nicht zu verwechseln mit den berüchtigten "Interrupt-Konflikten" von PCI-Karten oder den INT-Leitungen des PCI-Busses. Nennt sich zwar genauso, ist aber was völlig anderes.

Wenn die Funktion Dump GDT/IDT eine Fehlermeldung auswirft, läuft Windows entweder in einer virtuellen Maschine oder man hat ein sehr komisches Problem. Unter VMware funktioniert Dump GDT/IDT, wenn man die Beschleunigung ausschaltet.

Das Rustock.A-Rootkit manipuliert die IDT und erzeugt gelegentlich einen Bluescreen wenn man versucht die IDT zu dumpen.

Global Descriptor Table (GDT)

Die Datei GDT.log hat sechs Spalten. Hier ein Beispiel eines Eintrags:

1	2	3	4	5	6
028	Sys	802D8000: 000020AB (Base:Limit)	P	0(DPL)	B(type)
Index	Sys (System- funktion wie Call Gate) oder Mem (Speicher)	(Virtuelle) Adresse und Größe des Bereichs im Speicher	Present- Bit	DPL (Descriptor Privilege Level): Ring 0 (Kernel) oder Ring 3 (User)	IceSword zeigt hier bei System- funktionen den Typ als Hex-Wert an sonst ein Binärwert

Es gibt zwei grundsätzlich verschiedene Arten von GDT-Deskriptoren: In Spalte 2 werden diese Mem und Sys genannt. Die Mem-Einträge kann man ignorieren (siehe unten).

Spalte 4 zeigt an ob sich der entsprechende Bereich momentan im Speicher befindet (Present-Bit) oder ausgelagert wurde. Was IceSword anzeigt wenn der Bereich ausgelagert wurde, ist mir nicht bekannt.

Spalte 5: DPL ist der Descriptor Privilege Level. Bei Codesegmenten dürfen nur Prozesse mit diesem Level auf den Speicher zugreifen (d.h. der Kernel kann keinen Ring 3 Code ausführen und umgekehrt). Bei Datensegmenten ist es die Mindestberechtigung. Windows kennt hier Ring 0 (Kernel Mode) und Ring 3 (User Mode). Ring 1 und 2 werden von Windows nicht benutzt (sind aber theoretisch möglich).

Übersicht Systemfunktionen (Hex)

0 - Ungültig - ?
2 - LDT - Harmlos
5 - Task gate - Standard in IDT-Index 2 und 8
9 - Verfügbares TSS (386) - Harmlos
B - Belegtes TSS (386) - Harmlos
C - Call gate (386) - Kritisch
E - Interrupt gate (386) - Standard in IDT
F - Trap gate (386) - Ungewöhnlich

Andere Typen sollten eigentlich nicht vorkommen. Erweiterte Übersicht siehe Links unter Informationen.

Äußert bedenklich ist vor allem Typ C: Call Gate. Diese Funktion ist für Betriebssysteme gedacht, wird aber heute kaum noch verwendet. Windows verwendet von sich aus niemals Call Gates.

Mit einem Call Gate kann ein User-Mode Prozess ansonsten verbotene Kernel-Funktionen aufrufen.

Das Rootkit Gurong.a (vermutlich ein Vorläufer der Rustock-Serie) benutzt ein GDT-Call Gate um sich zu installieren. Leider habe ich keine Kopie dieses seltenen Rootkits zum testen.

Der Binärwert von Mem-Einträgen entspricht vermutlich den Bits 0-3 des Access Bytes des Gate Descriptors. Erläuterungen dazu siehe Links unter Informationen.

Der erste Eintrag der Liste (000) ist der "Null Segment Selector" und immer "Reserved". Wenn man die Binärwerte der nächsten vier Einträge studiert, könnte man glauben, dass jedes beliebige Programm auf den gesamten Speicher zugreifen kann. Das ist auch so, hat aber keine Bedeutung. Windows benutzt die nicht die GDT, sondern Page Tables zum Speicherschutz. Daher sind die GDT-Einträge vom Typ Mem weitgehend unbedeutend.

Bei x86 (32 Bit) Systemen lebt der Kernel normalerweise im (virtuellen) Bereich ab 80000000. Wenn die /3GB-Option in der boot.ini benutzt wird, im Bereich ab C0000000.

Der Bereich 80000000 bis 9FFFFFFF entspricht normalerweise dem Physikalischen Bereich 00000000 bis 0x1FFFFFFF.

Interrupt Descriptor Table (IDP)

Die Datei IDT.log hat fünf Spalten.

Für jeden der 256 Interrupts gibt es einen Handler (auch Gate genannt). Man kann sich den Handler ansehen, indem man einfach den Offset als Startadresse in den Disassembler eingibt (Prozess ist egal, siehe unten).

Die anderen Spalten entsprechen denen der GDT.

Interessant ist unter Windows 2000 vor allem Index 046 (Hex 2E). Das ist die Schnittstelle zu KiSystemService. Diverse Rootkits (unter anderem Rustock.A und Rustock.B) benutzen unter Windows 2000 Int 2E-Hooks.

Unter Windows XP und neueren Systemen wird der Sysenter-Befehl von neueren x86-Prozessoren verwendet (ist effizienter).

IceSword kann Sysenter-Hooks nicht anzeigen.

Auf was man achten sollte

Call Gates in der GDT. Ein "C(type)" ist praktisch immer Malware.

GDT Base (erste Zeile): Unnormale Adressen sind nicht gut.
Standard ist (soviel ich weiss):
Windows 2000 SP4 - GDT Base:0x80036000
Windows XP SP2 - GDT Base:0x8003F000

Die IDT kommt immer direkt danach (keine Ahnung wie es bei Multiprozessorsystemen gehandhabt wird).

Es gilt folgende Formel: GDT Base + GDT Limit + 1 = IDT Base

Das "0x" bedeutet, dass die Zahlen Hexadezimal sind, es ist nicht Teil der Zahl. Die Berechnung kann man mit dem Windows Rechner im Wissenschaftlichen Modus durchführen.

Wenn die IDT nicht direkt nach der GDT kommt, wurde sie vermutlich kopiert und verschoben. Es gibt keinen Grund das zu tun, der nichts mit Malware zu tun hat.

Komische Einträge in der IDT. Die Index-Spalte ist der Dezimalwert des Interrupts.

Kritisch sind (Hex / Dezimal):

Int 0E / 14 - Page Fault. Wird möglicherweise manipuliert vom Shadow Walker Rootkit.
Int 2E / 46 - KiSystemService. Diverse Rootkits unter Windows 2000. Windows XP und neuere benutzen Int 2E nicht.

IDT-Hooks kann man theoretisch mit dem eingebauten Disassembler finden. Damit in diesen Artikel mal ein Bild kommt, habe ich den Int 2E-Handler von Windows 2000 disassembliert:

Was IceSword nicht findet
Die IDT/ Int 2E-Manipulation von Rustock.A unter Windows 2000 ist mit IceSword 1.20 nicht zu finden.

Rustock.A hat einen Implementationsspezifischen Angriff gegen IceSword. Sobald IceSword startet, entfernt das Rootkit unter Windows 2000 seinen Int 2E-Hook und entlädt seinen Treiber. Deswegen sieht IDT.log unauffällig aus. Wenn man IceSword beendet, wird das Rootkit nicht wieder hergestellt. Mit Autoruns kann man jetzt leicht den nicht mehr versteckten Treiber deaktivieren.

Andere Werkzeuge
Rootkit Unhooker (findet Sysenter-Hooks)
GMER (findet auch Sysenter-Hooks)

Informationen
Einführung in Protected Mode (mit Systemsegment Typen-Übersicht)
Gates, Interrupts und Exceptions (IDT)
Playing with Windows /dev/(k)mem (siehe 4.2 What's a Callgate ff.). Phrack
From Russia with Rootkit (Informationen zum Gurong.a Rootkit). F-Secure

Einführung in IceSword - Setting

2006-12-31T18:37:00.000+01:00

Beschreibung
Der Setting-Dialog aus dem File-Menü hat in der Version 1.20 vier Optionen:

Donot display 'Deleting' process - Bestimmte Arten von "halboffenen" Prozessen mit dem Status "Deleting" werden nicht angezeigt (ist standardmäßig aktiviert). Wenn man den Haken entfernt, werden "Deleting"-Prozesse in rot angezeigt (wenn welche da sind).

Keep on top - Das IceSword-Fenster bleibt immer im Vordergrund.

Forbid all process/thread creating - Solange die Option aktiviert ist, kann kein Programm irgendwelche neuen Prozesse oder Threads erzeugen. Kann nützlich sein wenn man eine Malware hat, die aus mehreren Teilen besteht die sich gegenseitig neu starten. Siehe auch Create Process Rule / Thread Rule.

Disable coperator - "Cooperator" abschalten. Der Cooperator ist eine Schnittstelle, die andere Programme benutzen können um auf IceSword zuzugreifen. Der Cooperator wird benutzt von IceSword Helper (siehe Einleitung).

Zeitlimit für den Computer

2006-12-30T20:35:00.000+01:00

Aus aktuellem Anlass habe ich ein neues Programm in mein spektakuläres vier-Seiten-Wiki eingestellt: Uptime_limit.bat ist eine kleine Batchdatei, die eine Zeitbegrenzung für die Rechnernutzung implementiert.

Damit kann man einen Windows-Rechner nach X Minuten Laufzeit am Tag automatisch herunterfahren.

Tip: Wer die Internetnutzung begrenzen will, sollte sich einen geeigneten Router holen. Viele Consumer-Router haben bereits eine Art "Kindersicherung" eingebaut. Die billigen Router sind nicht immer besonders sicher, aber fast alle sind um Größenordnungen besser als schrottige "Kindersicherungen" für Windows. Einen gesicherten (!) Router kann man auch nicht durch Booten von einer Linux-CD beeindrucken.

Tip2: Netgear meiden.

Links

uptime_limit.bat Download von Joergs Wiki
Kindersicherung 2006 ist ein Marshmallow. C-Ko
Kindersicherung 2006 Passwort Finder. C-Ko

Sein Erfolgsgeheimnis

2006-12-30T20:28:00.000+01:00

Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden

Links

Das ist der Herr Bush

Gestohlene Kreditkartennummern

2006-12-30T00:05:00.000+01:00

Wer Angst hat seine Kreditkartennummer könnte bereits gestohlen worden sein, für den gibt es jetzt einen Prüfdienst. Man muss nur seine Kreditkartennummer eingeben...

Via geschonneck.com

Links

31337h4x0r (Formular) Tip: Irgendwas eingeben ins Formular und das Ergebniss bewundern.

Einführung in IceSword - Create Process Rule / Thread Rule

2006-12-29T23:05:00.000+01:00

Beschreibung
Die beiden Funktionen Create Process Rule und Create Thread Rule gehören zu den besseren Funktionen von IceSword. Sie verstecken sich im File-Menü.

Wie der Name vermuten lässt, arbeitet die eine Funktion mit Prozessen, die andere mit Threads. Da sie sich ansonsten nicht wesentlich unterscheiden, wird hier nur die erste beschrieben.

Die Funktionen ermöglichen es nach Art einer Firewall Regeln für die Erzeugung von Prozessen und Threads zu bestimmen. Damit kann man zum Beispiel verbieten, dass das Programm x.exe gestartet wird, außer von PID 437.

Funktionen
Mit "Add Rule" kann man neue Regeln hinzufügen. View und Delete sind wohl selbsterklärend.

Die Nummerierung der Regeln ist allerdings etwas verwirrend.

Die Nummerierung (Count) fängt immer bei 0 an - auch wenn Regel 0 noch gar nicht existiert. Wenn "Count" also 2 anzeigt, gibt es die Regeln 0 und 1. Wenn Count 0 anzeigt gibt es keine Regeln - auch wenn Regel 0 angezeigt wird. Die Regel 0 gibt es erst, wenn Count 1 anzeigt.

Wenn man eine existierende Nummer einträgt und auf "Add Rule" klickt, wird die alte nicht gelöscht sondern um eins "nach oben" verschoben. Wenn man also die Regeln 0, 1 und 2 hat und eine neue Regel 2 hinzufügt, wird die alte Regel 2 zu Regel 3.

Regel Nummer 0 ist voreingestellt. Neue Regeln werden also standardmäßig vor den existierenden Regeln eingefügt. Wenn man eine neue Regel am Ende haben will, muss man den Wert aus "Count" eintragen bevor man auf "Add Rule" klickt.

Achtung
Der bis zum nächsten Reboot geladene Treiber von IceSword erinnert sich an die Regeln, auch wenn man das Programm IceSword beendet.

Um die Regeln ohne Reboot loszuwerden, muss man sie tatsächlich mit "Delete Rule" löschen.

Regeln werden immer von 0 an verarbeitet. Wenn die Regel 0 den Start eines Programms erlaubt, hat die Regel 1 keinen Einfluss mehr darauf.

Hier im Beispiel wird eine neue Regel erzeugt, die dem Prozess mit der PID 768 verbietet irgendwelche neuen Prozesse zu erzeugen.

Man kann auswählen ob die neue Regel etwas erlauben (Permit) oder verbieten (Forbid) soll.

Unter "PathName" kann man Beispielsweise C:\Windows\system32\cmd.exe eintragen. Dann kann kein Programm mehr dieses Programm starten (wenn "Forbid" ausgewählt ist). Für "FileName" gilt das gleiche, nur ohne Pfad. Man würde in diesem Fall nur cmd.exe eingeben.

"Source Process" ist der neue Prozess.

"Parent Process" ist der Prozess, der den neuen Prozess erzeugt.

"Range" bedeutet, dass Prozesse mit der PID von ... bis betroffen sind. Wenn man nur auf eine PID filtern will, gibt man wie im Beispiel in beide Felder den gleichen Wert ein.

Foto des Jahres 2006

2006-12-29T19:40:00.000+01:00

Wie ich erst jetzt erfahre, veranstaltet unsere geliebte Bundesregierung einen großartigen Wettbewerb.

Alle Bürger sind aufgerufen, das Foto des Jahres 2006 zu wählen.

Leider sind die Motive etwas monothematisch: Auf allen 12 Fotos ist ~~der Teufel~~ Angela Merkel.

Höhepunkt des Wettbewerbs: Als Gewinn wird an drei der Teilnehmenden ein prächtiger Bildband mit Bildern von ~~dem Teufel~~ Angela Merkel und anderen Politikern gehen. Bezahlt wird das ganze natürlich von ~~Angela Merkel~~ dem Steuerzahler.

Links

Wählen Sie das Foto des Jahres 2006! REGIERUNGonline

Der mit spermaklebrigen Händen sucht

2006-12-29T16:41:00.000+01:00

Ich habe lange nicht mehr so gelacht wie bei der (an sich traurigen) Google-Suchbegriffe-Analyse dieses frustrierten Bloggers:

Und häng nicht mehr wie ein sabbernder idjot vor deinem brauser, wenn du mit zittrigen, spermaklebrigen händen begriffe wie »wichs methoden«, »ehefrau ficken«, »fickende elefanten«, »verdorbene frauen«, »ficken mit obst«, »fickende hamster«, »maschinen ficken«, »beim ficken pissen«, »bilder vom wichsen«, »gummistiefel ficken«, »wie baue ich einen dildo«, »ficken auf der straße«, »ficken im schlamm«, »ficken in erlangen«, »ficken mit elefanten«, »wichsen blog«, »affen ficken frauen«, »alien ficken«, »babystrich hannover«, »billig poppen«, »ficken im dreck«, »fickgedicht«, »hunde ficken weiber«, »im internet wichsen«, »kinder wichsen«, »porno-geschichten«, »sexy frauen adventskalender«, »sklaven wichsen« oder »spermaspritzer« in das guhgell-suchfeld eingibst. Du denkst ja nur an das »wichsen vor dem computer«, du hirnloses gesäuge du.
[...]
Ja, das sind harte worte, ich weiß das. Aber ich habe mir jetzt zwei jahre lang angeschaut, was die wirklichen interessen der meisten internetznutzer zu sein scheinen. Lachen konnte ich darüber schon lange nicht mehr.
[...]
Mein tema war die ganze zeit nur der gegenwärtige gesellschaftliche zerfall aus meiner eigenen sicht;

Der arme Mann schreibt über ernsthafte Themen, und die Leute kommen von Google auf der Suche nach "babystrich hannover". Gar schmerzhaft ist die Realität.

Wer den Artikel noch lesen will, muss sich beeilen: Aus Protest gegen die GEZ-Gebühren für Computer will Schwerdtfeger seinen Blog am 1.1.2007 abschalten (als ob es die GEZ interessiert).

Links

Wer suchet, der findet (20). Schwerdtfegers weblog
Sex mit Affen. C-Ko
Der Pimmelbrunnen. C-Ko

Analyse Windows Vista Content Protection

2006-12-28T22:54:00.000+01:00

Peter Gutmann aus Neuseeland hat eine leicht verstörende Analyse des "Content Protection" Systems von Windows Vista veröffentlicht. Das System soll DRM-geschützte Inhalte vor "Diebstahl" schützen.

Executive Summary

Windows Vista includes an extensive reworking of core OS elements in order to provide content protection for so-called "premium content", typically HD data from Blu-Ray and HD-DVD sources. Providing this protection incurs considerable costs in terms of system performance, system stability, technical support overhead, and hardware and software cost. These issues affect not only users of Vista but the entire PC industry, since the effects of the protection measures extend to cover all hardware and software that will ever come into contact with Vista, even if it's not used directly with Vista.

Die Details sind wirklich gruselig. Das System macht Windows teurer, langsamer und instabiler. Und das ist erst der Anfang! Selbst wenn man kein Windows benutzt, die Hardware-Hersteller werden ihre Kosten auf alle abwälzen, wie ungenannte Quellen vom Grafikkartenhersteller ATI im Dokument immer wieder sagen.

Warnung: Das Dokument kann einem echt den Tag versauen.

A Cost Analysis of Windows Vista Content Protection (Textdatei). Peter Gutmann

Wenn Architekten so ihre Häuser bauen würden...

2006-12-28T21:44:00.000+01:00

Guter Artikel bei Glorf IT: Thomas Glörfeld berichtet von dümmlichen Kunden, für die "Datensicherung" ein Fremdwort ist.

Gestern erlebten wir leider wieder einen von den Fällen in denen eine völlig defekte Datenbank eines Kunden an uns geschickt wurde, damit wir sie analysieren und retten was zu retten ist. Genau der Kunde hatte aber schon mal Datenbanken an uns geschickt. Mit nur geringen Datenverlusten konnten damals wieder konsistente Datenbestände restauriert werden. Seinerzeit wurde ihm mitgeteilt, dass seine Hardware ein Problem hat und sein EDV-Händler/-Betreuer das untersuchen und lösen soll, vermutlich ein Problem mit Festplatte und/oder Raid-Controller. Das passierte aber nicht…

Ja, wir haben alle unsere Fehler. Aber um Backups zu machen, braucht man weder Intelligenz noch viel Geld. Eine USB-Festplatte aus dem Computerladen um die Ecke und einmal die Woche ein paar Dateien kopieren. Kaum ein Problem lässt sich so billig aus der Welt schaffen wie "Datenverlust".

Das erinnert mich daran, dass ich noch mal was zu Backups schreiben muss...

Unrealistische Erwartungen. Glorf IT

AmigaOS 4: Rebellen ohne Hardware

2006-12-27T23:45:00.000+01:00

Die Computerspielefirma Hyperion Entertainment hat zu Weihnachten das "Final Update" des schon 2002 angekündigten Betriebssystems AmigaOS 4.0 ~~angekündigt~~ veröffentlicht. Vermutlich wollen sie uns damit sagen, dass das System jetzt "fertig" ist.

Dummerweise gibt es die benötigten PowerPC-Computer nicht mehr oder noch nicht zu kaufen. Die einzige Hardware auf der das Betriebssystem läuft - AmigaOne - gibt es schon lange nicht mehr zu kaufen. Neue Computer sollen erst nächstes Jahr "angekündigt" werden (und sind dann vermutlich 2011 käuflich).

Bis jetzt können nur Besitzer eines AmigaOne ein ISO des neuen Betriebssystems herunterladen.

Möglicherweise haben sie gar nicht vor, das System an Endkunden zu verkaufen. Die Werbung auf der Website des Herstellers richtet sich nur an Altkunden und OEMs.

"Neue" Funktionen von AmigaOS 4 wie die Unterstützung des Mausrads, 32-Bit Farbtiefe für Icons, Dateinamen mit mehr als 30 Zeichen und USB-Tastaturen wecken wirklich die Erinnerung an die gute alte Zeit...

AmigaOS kann sich immerhin rühmen, länger als Ataris TOS gelebt zu haben.

Links

AmigaOS 4.0 The Final Update New Features. Hyperion Entertainment
The AmigaOS advantage - your advantage. Werbeseite von Hyperion Entertainment
AmigaOS 4.0 erschienen. Golem
Commodore Amiga Spielkarten. C-Ko

Windows-Bildschirmschoner auf dem Desktop laufen lassen (oder sonstwo)

2006-12-27T22:20:00.000+01:00

Der Trick ist schon alt, aber gut: Alle Bildschirmschoner von Windows kann man mit dem Kommandozeilen-Parameter /p auf ein beliebiges Fenster (oder die Arbeitsoberfläche) projizieren.

Sollte funktionieren mit Windows 2000, XP, 2003 und Vista.

Vorgehensweise

Winspector installieren und starten.

Ein Handle aus der Liste links oben raussuchen oder per "Click and Drag" auswählen. Dazu auf das rote Fadenkreuz klicken, festhalten und auf das gewünschte Fenster ziehen. Führende Nullen kann man ignorieren. Wenn man den Bildschirmschoner als Desktop-Hintergrund haben will, einfach per Click and Drag auf eine freie Stelle auf der Arbeitsoberfläche zielen.

In diesem Beispiel nehmen wir den bereits gestarteten Windows-Rechner mit dem Handle 50096. Winspector zeigt die Handles in hexadezimaler Schreibweise an. Da wir sie in dezimaler Schreibweise brauchen, benutzen wir den Rechner um es umzurechnen.

Rechner starten. Start->Ausführen->calc

Im Menü des Rechners Ansicht->Wissenschaftlich auswählen.
Bei den Radio-Buttons unter der Anzeige "Hex" auswähnen und "50096" eingeben.
"Dez" auswähnen. In diesem Beispiel wird 327830 angezeigt. Mit Strg-C in die Zwischenablage kopieren.

Kommandozeile öffnen. Start->Ausführen->cmd

cd %SystemRoot%\system32
dir *.scr <-- Alle installierten Bildschirmschoner werden angezeigt
ssmyst.scr /p 327830 <-- Umgewandeltes Handle angeben

Bildschirmschoner beenden: Mit dem Windows Task-Manager den SCR-Prozess killen.

Links

Winspector (Freeware)

Die Erblast

2006-12-25T14:41:00.000+01:00

Gemacht mit Witty Comics.

Der neue Heiland ist geboren

2006-12-23T23:42:00.000+01:00

Befehle mir, Meister.

Im englischen Zoo von Chester steht zu Weihnachten eine Geburt nach unbefleckter Empfängnis an - bei den riesigen Komodo-Waranen aus Indonesien. Wie britische Tierforscher im Wissenschaftsblatt "Nature" berichten, dürfte das Waran-Weibchen Flora zum Wiegenfest von Jesus Christus, spätestens aber im Januar bis zu acht kleine Drachenechsen ausbrüten, die eine wichtige Besonderheit ausweisen: Bei ihnen sind Vater und Mutter eins. Flora war noch niemals einem männlichen Waran begegnet und befruchtete sich selbst. Dies belegten Gentests an drei nicht geschlüpften Eiern.

Deine Zeit ist abgelaufen. Lang lebe unser neuer Drachengott!

Unbefleckte Empfängnis gibt es wirklich - bei Komodo-Waranen. Yahoo

Einführung in IceSword - Registry

2006-12-21T23:14:00.000+01:00

Beschreibung
Die Registry. Um keinen anderen Teil von Windows ranken sich so viele Mythen, Halbwahrheiten und Falschinformationen.

Hinweis: Dieser Artikel erklärt nicht
was die Registry ist
das Layout der Registry
den Zweck der einzelnen Schlüssel
Dafür gibt es bereits eine Milliarde Webseiten und Bücher.

Kurze Terminologie

Schlüssel (Key) - Die "Ordner" der Registry. In dem Screenshot "Administratoren".
Werte (Value) - Die einzelnene Datensätze. Im Beispiel wird nur ein Default-Wert angezeigt. Jeder Wert hat einen bestimmten Datenyp.
Hive - Die Dateien auf der Festplatte, in denen die Registry gespeichert ist. Bei Windows XP sind die Hives unter \Windows\system32\config. Die .log Dateien gehören auch dazu. Daneben gibt es in jedem Benutzerverzeichniss einen Hive. Wenn der Benutzer sich anmeldet, wird der Hive als HKCU (HKEY Current-User) geladen.

Hinweis: Manchmal (oft) schreibe ich "Schlüssel" wenn ich eigentlich "Wert" meine. Muss meine eigenen Artikel irgendwann noch mal nach Fehlern durchsehen...

Der Registry-Editor von IceSword ist eigentlich nicht besonders toll. Der Registry-Editor funktioniert ähnlich wie regedit.exe. Im Gegensatz zu dem Standardprogramm von Windows sieht IceSword allerdings auch versteckte Schlüssel. Mit einem Doppelklick kann man einen Wert bearbeiten, mit einem Rechtsklick kommt ein Menü mit dem einzigen Punkt "Delete". Mehr Funktionen gibt es eigentlich nicht.

Im Zusammenhang mit der Registry ist auch der eingebaute Datei-Explorer nützlich. Damit kann man die Hives kopieren (geht mit dem normalen Explorer nicht). Die Kopie kann man dann beispielweise mit MiTeC Windows Registry Recovery laden.

Auf was man achten sollte
Da der Registry-Teil von IceSword keine automatische Suche hat, findet man nur dann versteckte Schlüssel, wenn man schon weiss wo sie sind.

Seit der Version 1.20 gibt es bei IceSword das FileReg-Plugin. Damit kann man (unter anderem) die Registry automatisch nach versteckten Schlüsseln durchsuchen. Das Plugin hat eine ausführliche Englische Anleitung.

Was IceSword nicht findet
IceSword 1.20 kann mit Registry-Schlüsseln mit eingebetteten Null-Bytes nichts anfangen. Die Schlüssel werden angezeigt, aber ein "Open error!" verhindert jeden Zugriff (siehe Bild). Unterschlüssel und Werte werden nicht angezeigt.

Für jeden Registry-Schlüssel speichert Windows Datum und Uhrzeit des letzten Schreibzugriffes. Weder IceSword noch regedit.exe können diese Informationen anzeigen.

Vermutlich kann IceSword 1.20 die vom Rustock.B-Rootkit versteckten Schlüssel nicht sehen (muss ich noch mal ausprobieren).

Andere Werkzeuge
DarkSpy. Die neue Version 1.0.5 hat einen ganz hervorragenden Registry-Editor. Findet versteckte Schlüssel in einem laufenden System und kann Hives öffnen und bearbeiten. Kann Schlüssel mit eingebetteten Null-Bytes verarbeiten. So gut, wie die GUI grausam ist. Einschränkung: Kann keine Schlüssel bearbeiten, nur Werte.

MiTeC Windows Registry Recovery. Geniales Programm um Registry Hives zu analysieren. Zeigt Datum des letzten Schreibzugriffes an. Schlüssel mit eingebetteten Null-Bytes sind unsichtbar für das Programm! Der Russinovich-Artikel (siehe unten) erklärt, was Hives überhaupt sind.

Aezay Registry Commander. Registry-Editor ähnlich wie regedit.exe, aber mit ein paar nützlichen Extras. Zeigt Datum des letzten Schreibzugriffes an. Alt aber gut.

NirSoft RegScanner. Durchsucht die Registry. Mit vielen nützlichen Optionen.

Rootkit Revealer. Das Programm von Microsoft / Sysinternals ist lahm aber gründlich. Die gesamte Registry - und das Dateisystem - werden automatisch nach versteckten Schlüsseln durchsucht. Schlüssel werden aber nur angezeigt, können nicht bearbeitet werden. Eingebettete Null-Bytes werden mit einem Warnhinweis angezeigt.

RegDelNull. Kleines Kommandozeilen-Programm von Microsoft. Kann Schlüssel mit eingebetteten Null-Bytes auflisten und löschen.

Process Monitor. Neues Programm von Microsoft. Zeigt (unter anderem) Zugriffe auf die Registry in Echtzeit an.

Informationen
Inside the Registry. Sehr kenntnissreicher Artikel von Mark Russinovich.

The beginning of the end for the system Registry. Registry soll abgeschaft werden? Weiss nicht ob das stimmt.

Die kleinen Vergnügen

2006-12-21T00:05:00.000+01:00

Bei dem Werbemüll im Briefkasten ist oft so ein Antwort-Umschlag dabei. Da soll man dann das ausgefüllte Gewinnspiel reintun oder was auch immer. Es steht üblicherweise "Bitte frankieren" auf dem Feld für die Briefmarke.

Was viele nicht wissen: Wenn "Antwort" über der Adresse des Empfängers steht, bezahlt der die Briefmarke - sofern man selbst keine draufmacht.

Ich fülle in diese Antwort-Umschläge immer etwas Müll und werfe sie irre kichernd in den Briefkasten.

Merken: Ich brauche eine Augenklappe.

Rootkit Unhooker 3.0 RC 4 erschienen

2006-12-20T23:42:00.000+01:00

EP_X0FF, MP_ART und DNY präsentieren uns kurz vor dem Fest ~~des Materialismus~~ der Liebe eine neue, verbesserte Version der Anti-Rootkit Software Rootkit Unhooker:

version 3.00 build 88/344 RC4 (20.12.2006)
improved: overall speed of all scanning engines
fixed: some bugs in ILHA hooks detection engine
further internal optimisation
VM detection moved as separate function in "Tools" menu
updated: program help file

Links

Rootkit Unhooker Homepage, Download
Rootkit Unhooker 3.0 RC 1 erschienen (ausführlicher Test). C-Ko
Übersicht Rootkits. C-Ko