Hallo und herzlich Willkommen zu Teil 1 von dem Tutorial, welches ich aufgrund großer Nachfrage, nun erstelle.
Was wird benötigt?
- PEditor ( Download: )
- Hexeditor ( )
So, nun zeige ich euch einfach mal wie ich in einem einfachen Fall vorgehen würde.Nehmen wir an, wir haben hier einen FUD Trojaner. Wie entlarven wir ihn nun?
-> als erstes natürlich mit dem installiertem AV scannen. Es wird nichts gefunden. Nun laden wir die Datei bei Virustotal hoch, man will ja auf Nummer sicher gehen. Absolut Nichts wurde erkannt.
Was nun? Wir öffnen die Datei im PEditor, klicken auf Directory. Dort nun auf Imports, dann sehen wir alle Dll's, welche diese Datei benötigt.So in diesem Fall nehmen wir an, wir sehen Wsock32.dll. Das sagt schonmal dass hier was faul sein kann, kommt natürlich drauf an als was die Datei getarnt ist. Nehmen wir an es ist als Spiele-Crack getarnt, nun wissen wir natürlich sofort, dass es ein Trojan ist. Was aber wenn es als ein Programm getarnt ist, welches vllt auch ein Socket benötigt? nun wird es schon schwieriger. Wir schauen ersteinmal nach ressourcen ( unter Imports). Steht da etwas wie CUSTOM, dann ist schonmal klar ( natürlich wiederrum nur, wenn es kein Builder o.ä. ist) dass da etwas sehr faul ist. nun hier würde aber nichts stehen. Öffnen wir die Datei im Hexeditor und suchen nach bestimmten zeichenfolgen ( Kommentare im Quellcode, die noch angezeigt werden etc ) steht da was von z.B. Pass Decrypter oder ReverseConnect oder so ist zu 100% klar, dass die Datei infected ist.
Natürlich war dies nur ein Beispiel wie man an so etwas rangehen kann.
Ausserdem war dies nur auf die Schnelle gemacht und nicht sehr ausführlich, deswegen werde ich nach und nach mehr hinzufügen.
Hallo und herzlich Willkommen zu Teil 1 von dem Tutorial, welches ich aufgrund großer Nachfrage, nun erstelle.
Was wird benötigt?
- PEditor ( Download: )
- Hexeditor ( )
So, nun zeige ich euch einfach mal wie ich in einem einfachen Fall vorgehenwürde.Nehmen wir an, wir haben hier einen FUD Trojaner. Wie entlarven wir ihn nun?
-> als erstes natürlich mit dem installiertem AV scannen. Es wird nichts gefunden. Nun laden wir die Datei bei Virustotal hoch, man will ja auf Nummer sicher gehen. Absolut Nichts wurde erkannt.
Was nun? Wir öffnen die Datei im PEditor, klicken auf Directory. Dort nun auf Imports, dann sehen wir alle Dll's, welche diese Datei benötigt.So in diesem Fall nehmen wir an, wir sehen Wsock32.dll. Das sagt schonmal dass hier was faul sein kann, kommt natürlich drauf an als was die Datei getarnt ist. Nehmen wir an es ist als Spiele-Crack getarnt, nun wissen wir natürlich sofort, dass es ein Trojan ist. Was aber wenn es als ein Programm getarnt ist, welches vllt auch ein Socket benötigt? nun wird es schon schwieriger. Wir schauen ersteinmal nach ressourcen ( unter Imports). Steht da etwas wie CUSTOM, dann ist schonmal klar ( natürlich wiederrum nur, wenn es kein Builder o.ä. ist) dass da etwas sehr faul ist. nun hier würde aber nichts stehen. Öffnen wir die Datei im Hexeditor und suchen nach bestimmten zeichenfolgen ( Kommentare im Quellcode, die noch angezeigt werden etc ) steht da was von z.B. Pass Decrypter oder ReverseConnect oder so ist zu 100% klar, dass die Datei infected ist.
Natürlich war dies nur ein Beispiel wie man an so etwas rangehen kann.
Ausserdem war dies nur auf die Schnelle gemacht und nicht sehr ausführlich, deswegen werde ich nach und nach mehr hinzufügen.
Finde VMWare + Wireshark wesentlich effiktiver, da einfache Malware trotz deiner Prüfung unerkannt bleiben kann und man außerdem gleich die dns-adresse (falls vorhanden) abusen kann. Optimal wäre wohl eine Kombination aus beidem.
Btw, es gibt sehr wohl Cracks die Sockets benutzen, versuche nacher mal ein Beispiel zu finden....
Question about GM detect and player detect script 05/16/2010 - Dekaron - 2 Replies The GM detect is working? how does it work and the combination of player detect script can i put then it will detect tell me the function also of player detect script hack I appreciate ur answer
How 2 detect FUD Trojan 05/11/2008 - WoW PServer Exploits, Hacks & Tools - 4 Replies Hallo und herzlich Willkommen zu meinem Tutorial, welches ich aufgrund großer Nachfrage, nun erstelle.
Was wird benötigt?
- PEditor ( Download: Download PEditor 1.7 - PEditor is a tool for PE (Portable Executable) files - Softpedia )
- Hexeditor ( Hex-Editor MX - Download - CHIP Online )
So, nun zeige ich euch einfach mal wie ich in einem einfachen Fall vorgehen würde.Nehmen wir an, wir haben hier einen FUD Trojaner. Wie entlarven wir ihn nun?
-> als erstes natürlich mit dem...
)
