WCM Forum - Einzelnen Beitrag anzeigen

HONGXING · 29.07.2005, 21:10

Gegen Kernelmode-Prozesse ist aber Antivir und jeder andere Scanner machtlos, weil Dienste, die den Kernel patchen jegliche Informationen zensieren koennen, also auch Verzeichnisse "verschwinden" lassen koennen, die aber noch da sind, aber weder mit dem Explorer, noch mit der CMD-Konsole noch mit sonst irgendeinem Programm sichtbar sind

Z.b. kann ich einen Kernelmode-Wurm programmieren, der Dateien infiziert - so weit so gut... Wenn jetzt Norton scannt und mein Wurm das bemerkt, liefert er Norton eine saubere Version der Datei zurueck, oder eine ganz andere, nicht-infizierte Datei ohne das Norton das bemerkt.

Anderes Beispiel: Der Wurm entdeckt Norton im Speicher und sorgt dafuer, dass die infizierten Dateien garnicht existieren, solange Norton scannt.

Vielleicht ist das der Grund fuer solche komischen Verzeichnisse.

29.07.2005, 21:10	#13
HONGXING Senior Member Registriert seit: 25.01.2005 Beiträge: 140	Gegen Kernelmode-Prozesse ist aber Antivir und jeder andere Scanner machtlos, weil Dienste, die den Kernel patchen jegliche Informationen zensieren koennen, also auch Verzeichnisse "verschwinden" lassen koennen, die aber noch da sind, aber weder mit dem Explorer, noch mit der CMD-Konsole noch mit sonst irgendeinem Programm sichtbar sind Z.b. kann ich einen Kernelmode-Wurm programmieren, der Dateien infiziert - so weit so gut... Wenn jetzt Norton scannt und mein Wurm das bemerkt, liefert er Norton eine saubere Version der Datei zurueck, oder eine ganz andere, nicht-infizierte Datei ohne das Norton das bemerkt. Anderes Beispiel: Der Wurm entdeckt Norton im Speicher und sorgt dafuer, dass die infizierten Dateien garnicht existieren, solange Norton scannt. Vielleicht ist das der Grund fuer solche komischen Verzeichnisse. ____________________________________ -- DCT4Calc research & development Entsperren.at - Gratis, schnell und zuverlaessig Nokias online entsperren! (inkl. WAP-Service, werbefrei)