Vinnaren i pepparkakshustävlingen!
2014-03-21, 12:16
  #1
Medlem
Det finns alltid en process i aktivitetshanteraren om något är igång eller hur?
Citera
2014-03-21, 13:02
  #2
Medlem
st0ckiss avatar
Citat:
Ursprungligen postat av atbajskorv
Det finns alltid en process i aktivitetshanteraren om något är igång eller hur?

I stort sett ja, men den kan dölja sig under annat namn eller annan process.
Inte alls ovanligt att svchost.exe, som är en processtjänst för Windows döljer olika virus
Citera
2014-03-21, 13:04
  #3
Medlem
Enoch.Thulins avatar
Om man är paranoid så kan man ju tänka sig att även aktivitetshanteraren hackats för att inte visa vissa processer.
Citera
2014-03-21, 15:43
  #4
Medlem
.Chloes avatar
Lite onödigt att svara då TS är avstängd men hoppas h*n och/eller andra läser detta ändå.

En trojan syns inte alltid i processhanteraren och faktum är att de är mycket enkla att gömma så de lite "bättre" trojaner kommer du inte se i processhanteraren. Windows taskmanager går igenom PsActiveProcessHead.

Det finns väldigt många sätt att gömma en process i Windows. Den vanligaste metoden är att injektera kod i en annan process som är helt legit, t.ex svchost.exe. När man injekterar kod i en annan process är det vanligt med DLL-injektering som sker via CreateRemoteThread->LoadLibrary men vad som är värt att notera med detta är att det blir som en helt vanlig DLL-hooking så det är inget optimalt sätt att gömma sig på, men det är det enklaste.

På tal om kodinjektering så är det möjligt att hitta vilka processer som har fått kod i sig genom att kolla filens PEB och se om processen finns med där, om så inte är fallet så är det ett solklart fall för kodinjektering. Vad vissa trojaner gör är att radera hela PE-headern så att man inte detekterar att processen fått kod i sig, lösningen på detta är att kolla processens VadS och se om processen har minnessegment för att skriva/läsa/köra kod, dumpa denna process och kolla alla API-anrop. Faktum är att om du dumpar en process som har raderad PE-header så kan du bygga om IAT genom att just kolla alla API-anrop.

Windows har något som heter tjänster. Dessa tjänster kan köras både som en driver eller usermode EXE. Detta kommer inte synas i din processhanterare.
Citera
2014-03-21, 15:48
  #5
Medlem
Citat:
Ursprungligen postat av .Chloe
[...]Windows har något som heter tjänster. Dessa tjänster kan köras både som en driver eller usermode EXE. Detta kommer inte synas i din processhanterare.
Är det då inte bättre att göra en trojan som installerar sig som en tjänst/drivrutin?
Citera
2014-03-21, 16:04
  #6
Medlem
.Chloes avatar
Citat:
Ursprungligen postat av SweCrime
Är det då inte bättre att göra en trojan som installerar sig som en tjänst/drivrutin?
Jo, men för detta så krävs admin-rättigheter då det är ett rootkit vi talar om. Det finns userland rootkits som fungerar på ungefär samma sätt men kräver inte admin och de använder sig av olika sorters hooking(driverhooking och syscallhooking) istället för att arbeta direkt i kerneln.
Citera
2014-03-21, 16:11
  #7
Medlem
Citat:
Ursprungligen postat av .Chloe
Jo, men för detta så krävs admin-rättigheter då det är ett rootkit vi talar om. Det finns userland rootkits som fungerar på ungefär samma sätt men kräver inte admin och de använder sig av olika sorters hooking(driverhooking och syscallhooking) istället för att arbeta direkt i kerneln.
Jaha då förstår jag. Tack för förklaring.
Mvh
Citera

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback