|
You last visited: Today at 02:08
Advertisement
How 2 detect FUD Trojan
Discussion on How 2 detect FUD Trojan within the Tutorials forum part of the Off-Topics category.
05/10/2008, 13:16
|
#1
|
elite*gold: 0 
Join Date: Feb 2008
Posts: 3,038
Received Thanks: 1,581
|
How 2 detect FUD Trojan
Hallo und herzlich Willkommen zu Teil 1 von dem Tutorial, welches ich aufgrund großer Nachfrage, nun erstelle.
Was wird benötigt?
- PEditor ( Download:  ) - Hexeditor ( )
So, nun zeige ich euch einfach mal wie ich in einem einfachen Fall vorgehen würde.Nehmen wir an, wir haben hier einen FUD Trojaner. Wie entlarven wir ihn nun?
-> als erstes natürlich mit dem installiertem AV scannen. Es wird nichts gefunden. Nun laden wir die Datei bei Virustotal hoch, man will ja auf Nummer sicher gehen. Absolut Nichts wurde erkannt.
Was nun? Wir öffnen die Datei im PEditor, klicken auf Directory. Dort nun auf Imports, dann sehen wir alle Dll's, welche diese Datei benötigt.So in diesem Fall nehmen wir an, wir sehen Wsock32.dll. Das sagt schonmal dass hier was faul sein kann, kommt natürlich drauf an als was die Datei getarnt ist. Nehmen wir an es ist als Spiele-Crack getarnt, nun wissen wir natürlich sofort, dass es ein Trojan ist. Was aber wenn es als ein Programm getarnt ist, welches vllt auch ein Socket benötigt? nun wird es schon schwieriger. Wir schauen ersteinmal nach ressourcen ( unter Imports). Steht da etwas wie CUSTOM, dann ist schonmal klar ( natürlich wiederrum nur, wenn es kein Builder o.ä. ist) dass da etwas sehr faul ist. nun hier würde aber nichts stehen. Öffnen wir die Datei im Hexeditor und suchen nach bestimmten zeichenfolgen ( Kommentare im Quellcode, die noch angezeigt werden etc ) steht da was von z.B. Pass Decrypter oder ReverseConnect oder so ist zu 100% klar, dass die Datei infected ist.
Natürlich war dies nur ein Beispiel wie man an so etwas rangehen kann.
Ausserdem war dies nur auf die Schnelle gemacht und nicht sehr ausführlich, deswegen werde ich nach und nach mehr hinzufügen.
|
|
|
|
05/10/2008, 13:39
|
#2
|
elite*gold: 0
Join Date: May 2006
Posts: 7,808
Received Thanks: 4,569
|
Quote:
Originally Posted by drogii
Hallo und herzlich Willkommen zu Teil 1 von dem Tutorial, welches ich aufgrund großer Nachfrage, nun erstelle.
Was wird benötigt?
- PEditor ( Download: ) - Hexeditor ( )
So, nun zeige ich euch einfach mal wie ich in einem einfachen Fall vorgehenwürde.Nehmen wir an, wir haben hier einen FUD Trojaner. Wie entlarven wir ihn nun?
-> als erstes natürlich mit dem installiertem AV scannen. Es wird nichts gefunden. Nun laden wir die Datei bei Virustotal hoch, man will ja auf Nummer sicher gehen. Absolut Nichts wurde erkannt.
Was nun? Wir öffnen die Datei im PEditor, klicken auf Directory. Dort nun auf Imports, dann sehen wir alle Dll's, welche diese Datei benötigt.So in diesem Fall nehmen wir an, wir sehen Wsock32.dll. Das sagt schonmal dass hier was faul sein kann, kommt natürlich drauf an als was die Datei getarnt ist. Nehmen wir an es ist als Spiele-Crack getarnt, nun wissen wir natürlich sofort, dass es ein Trojan ist. Was aber wenn es als ein Programm getarnt ist, welches vllt auch ein Socket benötigt? nun wird es schon schwieriger. Wir schauen ersteinmal nach ressourcen ( unter Imports). Steht da etwas wie CUSTOM, dann ist schonmal klar ( natürlich wiederrum nur, wenn es kein Builder o.ä. ist) dass da etwas sehr faul ist. nun hier würde aber nichts stehen. Öffnen wir die Datei im Hexeditor und suchen nach bestimmten zeichenfolgen ( Kommentare im Quellcode, die noch angezeigt werden etc ) steht da was von z.B. Pass Decrypter oder ReverseConnect oder so ist zu 100% klar, dass die Datei infected ist.
Natürlich war dies nur ein Beispiel wie man an so etwas rangehen kann.
Ausserdem war dies nur auf die Schnelle gemacht und nicht sehr ausführlich, deswegen werde ich nach und nach mehr hinzufügen. |
du hast
greeZ Disasta
vergessen 
Quelle:
|
|
|
|
|
05/10/2008, 13:41
|
#3
|
elite*gold: 0
Join Date: Feb 2008
Posts: 3,038
Received Thanks: 1,581
|
Quote:
Originally Posted by Vulcanraven
du hast
greeZ Disasta
vergessen
Quelle:
|
rat mal wer ich bin 
mfg
|
|
|
|
|
05/10/2008, 13:43
|
#4
|
elite*gold: 0
Join Date: May 2006
Posts: 7,808
Received Thanks: 4,569
|
Quote:
Originally Posted by drogii
rat mal wer ich bin
mfg |
Ein Mensch
Und rat du mal wer ich bin
|
|
|
|
|
05/10/2008, 13:47
|
#5
|
elite*gold: 0
Join Date: Feb 2008
Posts: 3,038
Received Thanks: 1,581
|
Quote:
Originally Posted by Vulcanraven
Ein Mensch
Und rat du mal wer ich bin |
würde sagen nen mod? o.0
ne spass beiseit, jetzt weisst wer ich bin :> naja wayne.
mfg
|
|
|
|
|
05/10/2008, 13:53
|
#6
|
elite*gold: 0
Join Date: May 2006
Posts: 7,808
Received Thanks: 4,569
|
Quote:
Originally Posted by drogii
würde sagen nen mod? o.0
ne spass beiseit, jetzt weisst wer ich bin :> naja wayne.
mfg
|
Jo 
|
|
|
|
|
05/10/2008, 15:28
|
#7
|
elite*gold: 81
Join Date: Jul 2005
Posts: 1,921
Received Thanks: 2,239
|
Die Datei könnte man übrigens auch gleich in einen Texteditor oder Hexeditor laden,
man braucht dazu aber 「Perception」 LvL 6 und 「Common Sense」 LvL 3.
|
|
|
|
|
05/12/2008, 00:49
|
#8
|
elite*gold: 0
Join Date: May 2008
Posts: 76
Received Thanks: 11
|
einfach uploaden und fedich
|
|
|
|
|
05/12/2008, 00:56
|
#9
|
elite*gold: 0
Join Date: May 2006
Posts: 7,808
Received Thanks: 4,569
|
Quote:
Originally Posted by Ins4ne1992
einfach uploaden und fedich |
FUD *hust*
|
|
|
|
|
05/12/2008, 12:00
|
#10
|
elite*gold: 20
Join Date: Feb 2006
Posts: 3,174
Received Thanks: 1,152
|
anmerkung: FUD = Fully UnDetected (heißt ca.~ komplett unentdeckbar)
|
|
|
|
|
06/06/2008, 22:01
|
#11
|
elite*gold: 0
Join Date: May 2007
Posts: 18
Received Thanks: 0
|
Finde VMWare + Wireshark wesentlich effiktiver, da einfache Malware trotz deiner Prüfung unerkannt bleiben kann und man außerdem gleich die dns-adresse (falls vorhanden) abusen kann. Optimal wäre wohl eine Kombination aus beidem.
Btw, es gibt sehr wohl Cracks die Sockets benutzen, versuche nacher mal ein Beispiel zu finden....
|
|
|
|
 |
Similar Threads
|
s>water,trojan 126 or t>for trojan no rb or trojan warrior in BlueBird
09/12/2012 - Conquer Online 2 Trading - 2 Replies
s>water,trojan 126 or t>for trojan no rb or trojan warrior in BlueBird
|
Question about GM detect and player detect script
05/16/2010 - Dekaron - 2 Replies
The GM detect is working? how does it work and the combination of player detect script can i put then it will detect tell me the function also of player detect script hack I appreciate ur answer
|
How 2 detect FUD Trojan
05/11/2008 - WoW PServer Exploits, Hacks & Tools - 4 Replies
Hallo und herzlich Willkommen zu meinem Tutorial, welches ich aufgrund großer Nachfrage, nun erstelle.
Was wird benötigt?
- PEditor ( Download: Download PEditor 1.7 - PEditor is a tool for PE (Portable Executable) files - Softpedia )
- Hexeditor ( Hex-Editor MX - Download - CHIP Online )
So, nun zeige ich euch einfach mal wie ich in einem einfachen Fall vorgehen würde.Nehmen wir an, wir haben hier einen FUD Trojaner. Wie entlarven wir ihn nun?
-> als erstes natürlich mit dem...
|
All times are GMT +2. The time now is 02:08.
|
|
