Hallo und herzlich Willkommen zu Teil 1 von dem Tutorial, welches ich aufgrund großer Nachfrage, nun erstelle.
Was wird benötigt?
- PEditor ( Download: [Only registered and activated users can see links. Click Here To Register...] )
- Hexeditor ( [Only registered and activated users can see links. Click Here To Register...] )
So, nun zeige ich euch einfach mal wie ich in einem einfachen Fall vorgehen würde.Nehmen wir an, wir haben hier einen FUD Trojaner. Wie entlarven wir ihn nun?
-> als erstes natürlich mit dem installiertem AV scannen. Es wird nichts gefunden. Nun laden wir die Datei bei Virustotal hoch, man will ja auf Nummer sicher gehen. Absolut Nichts wurde erkannt.
Was nun? Wir öffnen die Datei im PEditor, klicken auf Directory. Dort nun auf Imports, dann sehen wir alle Dll's, welche diese Datei benötigt.So in diesem Fall nehmen wir an, wir sehen Wsock32.dll. Das sagt schonmal dass hier was faul sein kann, kommt natürlich drauf an als was die Datei getarnt ist. Nehmen wir an es ist als Spiele-Crack getarnt, nun wissen wir natürlich sofort, dass es ein Trojan ist. Was aber wenn es als ein Programm getarnt ist, welches vllt auch ein Socket benötigt? nun wird es schon schwieriger. Wir schauen ersteinmal nach ressourcen ( unter Imports). Steht da etwas wie CUSTOM, dann ist schonmal klar ( natürlich wiederrum nur, wenn es kein Builder o.ä. ist) dass da etwas sehr faul ist. nun hier würde aber nichts stehen. Öffnen wir die Datei im Hexeditor und suchen nach bestimmten zeichenfolgen ( Kommentare im Quellcode, die noch angezeigt werden etc ) steht da was von z.B. Pass Decrypter oder ReverseConnect oder so ist zu 100% klar, dass die Datei infected ist.
Natürlich war dies nur ein Beispiel wie man an so etwas rangehen kann.
Ausserdem war dies nur auf die Schnelle gemacht und nicht sehr ausführlich, deswegen werde ich nach und nach mehr hinzufügen.
Was wird benötigt?
- PEditor ( Download: [Only registered and activated users can see links. Click Here To Register...] )
- Hexeditor ( [Only registered and activated users can see links. Click Here To Register...] )
So, nun zeige ich euch einfach mal wie ich in einem einfachen Fall vorgehen würde.Nehmen wir an, wir haben hier einen FUD Trojaner. Wie entlarven wir ihn nun?
-> als erstes natürlich mit dem installiertem AV scannen. Es wird nichts gefunden. Nun laden wir die Datei bei Virustotal hoch, man will ja auf Nummer sicher gehen. Absolut Nichts wurde erkannt.
Was nun? Wir öffnen die Datei im PEditor, klicken auf Directory. Dort nun auf Imports, dann sehen wir alle Dll's, welche diese Datei benötigt.So in diesem Fall nehmen wir an, wir sehen Wsock32.dll. Das sagt schonmal dass hier was faul sein kann, kommt natürlich drauf an als was die Datei getarnt ist. Nehmen wir an es ist als Spiele-Crack getarnt, nun wissen wir natürlich sofort, dass es ein Trojan ist. Was aber wenn es als ein Programm getarnt ist, welches vllt auch ein Socket benötigt? nun wird es schon schwieriger. Wir schauen ersteinmal nach ressourcen ( unter Imports). Steht da etwas wie CUSTOM, dann ist schonmal klar ( natürlich wiederrum nur, wenn es kein Builder o.ä. ist) dass da etwas sehr faul ist. nun hier würde aber nichts stehen. Öffnen wir die Datei im Hexeditor und suchen nach bestimmten zeichenfolgen ( Kommentare im Quellcode, die noch angezeigt werden etc ) steht da was von z.B. Pass Decrypter oder ReverseConnect oder so ist zu 100% klar, dass die Datei infected ist.
Natürlich war dies nur ein Beispiel wie man an so etwas rangehen kann.
Ausserdem war dies nur auf die Schnelle gemacht und nicht sehr ausführlich, deswegen werde ich nach und nach mehr hinzufügen.
