Hilfe
Neues Thema
Antworten
Hi Leute!
Habe folgende Frage an die Profies unter euch: können Würmer, Trojaner, Viren + Co. Daten auf versteckten Partitionen verseuchen?
Hintergrund: Schleppi mit versteckter Recovery Partition, z. B. IBM-Thinkpad R51. Meine Idee / Befürchtung: wenn nun son Sauteil auf dem Rechner ist, kann er dann auch die Recovery-Daten verseuchen, oder nicht? Können diese Biester überhaupt Images versauen? Sind doch alles gepackte Daten, oder?
Seite 1 von 1
Infektion Versteckter Partitionen? Gefahr durch Würmer, Trojaner + Co?
#1
Tangotiger 
- Gruppe: aktive Mitglieder
- Beiträge: 99
- Beigetreten: 26. Mai 05
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Bärlin
geschrieben 30. Oktober 2005 - 18:01
Nach oben#2 _Breaker_
geschrieben 30. Oktober 2005 - 18:43
Wenn die Partition von Windows aus zugänglich ist, wäre es im Bereich des technisch machbaren.
Kannst du denn z.b. über die Suchfunktion oder die Datenträgerverwaltung auf die Partition zugreifen (lesend oder schreibend ist erstmal egal, ist nur eine Frage der Rechte), oder hat sie ein nicht lesbares Dateisystem/Verschlüsselung, so das unter Win der Zugriff unmöglich ist?
Kannst du denn z.b. über die Suchfunktion oder die Datenträgerverwaltung auf die Partition zugreifen (lesend oder schreibend ist erstmal egal, ist nur eine Frage der Rechte), oder hat sie ein nicht lesbares Dateisystem/Verschlüsselung, so das unter Win der Zugriff unmöglich ist?
Dieser Beitrag wurde von Breaker bearbeitet: 30. Oktober 2005 - 18:44
#3
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 31. Oktober 2005 - 00:51
Als würde das die Malware kümmern, die bringen einfach ihre eigenen Dateisystemtreiber mit. Ja, das machen die wirklich.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#4
TheBrain
geschrieben 31. Oktober 2005 - 02:33
@Rika: Hast du Beweise (Link) für deine Aussage?
#5
BachManiac
- Gruppe: aktive Mitglieder
- Beiträge: 1.466
- Beigetreten: 10. August 04
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Wels-Land
geschrieben 31. Oktober 2005 - 07:14
Also so eine Funktion hat bestimmt nur ein geringer Prozentsatz der malware, da bis dato das NTFS-System noch nichteinmal komplett bekannt ist in der Open Source Szene...
Wie funktioniert das mit der versteckten Partition eigentlich bei den IBM's?
Ist das einfach ne Partition, der im Windows einfach kein Laufwerksbuchstabe zugeordnet ist, also unter systemsteuerung -> verwaltung -> computerverwaltung -> datenverwaltung sichtbar oder gehen die gleich nen schritt weiter und geben dieser partition ein ibm eigenes Dateisystem, was vom Windows gar nicht erkannt wird?
Jedenfalls würd ich mir in beiden Fällen keine Sorgen machen wegen dem.
Wie funktioniert das mit der versteckten Partition eigentlich bei den IBM's?
Ist das einfach ne Partition, der im Windows einfach kein Laufwerksbuchstabe zugeordnet ist, also unter systemsteuerung -> verwaltung -> computerverwaltung -> datenverwaltung sichtbar oder gehen die gleich nen schritt weiter und geben dieser partition ein ibm eigenes Dateisystem, was vom Windows gar nicht erkannt wird?
Jedenfalls würd ich mir in beiden Fällen keine Sorgen machen wegen dem.
Lenovo / IBM Thinkpad W500 2,8 GHZ Core 2 Duo | ATI FireGL v5700 | WUXGA LED Mod | 1TB HDD, 128GB SSD | 8GB Ram
#6 __maggus__
geschrieben 31. Oktober 2005 - 16:19
Malware nistet sich auch ganz gerne im ADS ( Alternate Data Stream) des NTFS Dateisystems ein. Eine Textdatei mit 4 Kbyte Größe kann durchaus einen 4 Gbyte ADS-Stream enthalten, das Tückische daran ist, dass dieser nicht angezeigt wird.
Man braucht ein Malware Tool, dass auch den ADS durchsuchen kann.
Man braucht ein Malware Tool, dass auch den ADS durchsuchen kann.
#7 _max_
geschrieben 31. Oktober 2005 - 17:19
Zitat (Tangotiger: 30.10.2005, 18:01)
Können diese Biester überhaupt Images versauen? Sind doch alles gepackte Daten, oder?
Wenn es eine Recovery Partition ist, muss sie nicht gepackt sein und kann somit genauso befallen werden wie andere Daten.
#8
Tangotiger
- Gruppe: aktive Mitglieder
- Beiträge: 99
- Beigetreten: 26. Mai 05
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Bärlin
geschrieben 31. Oktober 2005 - 17:21
Zitat
Wie funktioniert das mit der versteckten Partition eigentlich bei den IBM's?
Ist das einfach ne Partition, der im Windows einfach kein Laufwerksbuchstabe zugeordnet ist, also unter systemsteuerung -> verwaltung -> computerverwaltung -> datenverwaltung sichtbar oder gehen die gleich nen schritt weiter und geben dieser partition ein ibm eigenes Dateisystem, was vom Windows gar nicht erkannt wird?
Ist das einfach ne Partition, der im Windows einfach kein Laufwerksbuchstabe zugeordnet ist, also unter systemsteuerung -> verwaltung -> computerverwaltung -> datenverwaltung sichtbar oder gehen die gleich nen schritt weiter und geben dieser partition ein ibm eigenes Dateisystem, was vom Windows gar nicht erkannt wird?
Das kann ich dir nicht genau sagen. Auf jeden Fall wird dem Laufwerk kein Buchstabe zugewiesen. Unter z.B. PartitionMagic kann man die Partition aber sehen + auf Bachups zugreifen. Das Dateisysten ist Fat32. Die anderen sind NTFS. Der Schleppi hat ja auch son "tollen" IBM-Knopf mit dem kannste ihn in den Auslieferungszustand zurückstzen (Image von besagter Partition).
Aber, wenn ich Rika richtig verstanden habe, heißt das doch daß auch diese Partition gefährdet ist. Also Backup nur auf externe HD, oder was?
#9
Skippy
geschrieben 31. Oktober 2005 - 17:50
Viren bringen eigentlich keine Dateisystem treiber mit jedenfalls kenn ich keinen und auch google spuckt zu dem Thema nichts aus 
aber es gibt viren die könne auf sogannte interrupt routinen zugreifen z.b. interrupt 13h dieser ist für die festplatte zuständig (wurde z.b. von dos für den zugriff auf die festplatte genutzt) diese werden vom Bios bereitgestellt ausgenutzt wurden diese früher vorallem von Bootsektor viren) heutzutage ist der zugriff nur noch bis zum Booten von windows möglich genauer gesagt bis alle wichtigen treiber geladen sind dann sperrt windows den zugriff auf bios funktionen.
aber es gibt natürlich auch die möglichkeit den dateisystemtreiber direkt anzusprechen da die ganzen windows schutzfunktionen nicht im treiber selbst eingebaut sind sondern in der nächst höheren zugriffs ebene die dann die API für den zugriff auf ein quasi transparentes dateisystem bereitält sprich programme müssen sich nur mit den dateien selbst beschäftigen nicht aber mit den eigenheiten des dateisystems
zur versteckten Partition sollte man wissen das diese aus drei nacheinanderfolgenden Blöcken besteht dem header der Dateisystemtabelle(eng. File Allocation Tabel =FAT) und den Datenblock
im header so im header findet man allerhand informationen unteranderem in codierter form steht dort welches dateisystem verwendet wird ob diese aktiv ist (die aktive ist die von der gebootet wird genauer esagt in der der Bootmanager steckt) und die gesuchte information ob ne partition verteckt ist oder nicht prinzipjell hat also jeder virus zugriff auf dies partition ob versteckt oder nicht
EDIT: hoffe damit ist ersteinmal alles geklärt?
aber es gibt viren die könne auf sogannte interrupt routinen zugreifen z.b. interrupt 13h dieser ist für die festplatte zuständig (wurde z.b. von dos für den zugriff auf die festplatte genutzt) diese werden vom Bios bereitgestellt ausgenutzt wurden diese früher vorallem von Bootsektor viren) heutzutage ist der zugriff nur noch bis zum Booten von windows möglich genauer gesagt bis alle wichtigen treiber geladen sind dann sperrt windows den zugriff auf bios funktionen.
aber es gibt natürlich auch die möglichkeit den dateisystemtreiber direkt anzusprechen da die ganzen windows schutzfunktionen nicht im treiber selbst eingebaut sind sondern in der nächst höheren zugriffs ebene die dann die API für den zugriff auf ein quasi transparentes dateisystem bereitält sprich programme müssen sich nur mit den dateien selbst beschäftigen nicht aber mit den eigenheiten des dateisystems
zur versteckten Partition sollte man wissen das diese aus drei nacheinanderfolgenden Blöcken besteht dem header der Dateisystemtabelle(eng. File Allocation Tabel =FAT) und den Datenblock
im header so im header findet man allerhand informationen unteranderem in codierter form steht dort welches dateisystem verwendet wird ob diese aktiv ist (die aktive ist die von der gebootet wird genauer esagt in der der Bootmanager steckt) und die gesuchte information ob ne partition verteckt ist oder nicht prinzipjell hat also jeder virus zugriff auf dies partition ob versteckt oder nicht
EDIT: hoffe damit ist ersteinmal alles geklärt?
Dieser Beitrag wurde von Skippy bearbeitet: 31. Oktober 2005 - 17:51
#10
ph030
- Gruppe: aktive Mitglieder
- Beiträge: 4.739
- Beigetreten: 14. Juli 04
- Reputation: 36
- Geschlecht:unbekannt
geschrieben 31. Oktober 2005 - 22:17
Zitat
Viren bringen eigentlich keine Dateisystem treiber mit jedenfalls kenn ich keinen und auch google spuckt zu dem Thema nichts aus
Oh doch, manche schon
Wenn die Partition dann wie angegeben auch noch FAT32 formatiert ist, besteht erst recht kein größeres Problem mehr für Malware darauf zuzugreifen und IIRC sind die erforderlichen Funktionen selbst in einigen Skript-Kiddie-Baukästen vorhanden.
Abgesehen davon, nimmt einem eine Recovery-Partition auf dem Notebook selbst nur Platz weg und wird manchmal übersehen, wenn man ein alternatives OS aufspielen möchte.
Eine Mini-CD oder ein USB-Stick mit den erforderlichen Backup-Daten macht imho mehr sinn, aber das muss natürlich jeder selber wissen.
Fakt ist, was selbst ein DAU kann, kann prinzipiell auch die "dümmste" Malware.
/fuck you - really, I mean it!
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
#11 _Hinterwäldler_
geschrieben 01. November 2005 - 15:52
Hallo Leute
Ich mußte auch erst mal überlegen. Natürlich kann man meist nicht so dumm denken, wie es ein Malewareautor tut. Sonst käme er auch nicht auf die Idee, derartiges zu schreiben. Sowas ist nur noch vergleichbar mit Gewaltverbrechen, deren Aufklärungsrate auch sehr hoch ist: http://www.silicon.d...il.php?nr=24192
Um es für einige Leser klar zu stellen:
Diese Leute haben mit Hackern nichts gemeinsam. Hier handelt es sich um Verbrecher mit Kenntnissen zur Herstellung und Einsatz von Schadsoftware.
Also, Malware hat doch nur eine Chance, wenn sie sich auf einer aktiven Partition, am besten innerhalb des Systems befindet. Ich selbst habe schon von welcher gelesen, die innerhalb weniger Sekunden alle bekannte Security-Software abschaltet oder patcht, einige 100 KByte aus dem Internet installiert, vorgefundene Systemdateien für ihre Zwecke mit anderen Namen kopiert, einen Server einrichtet, diesen perfekt tarnt und mit Systemschutz versieht, für sich selbst einen Systemwiederherstellungspunkt erstellte, danach gelöscht wird und zum Schluß der Trojaner (das erste Glied in der Kette) nur noch in der Systemwiederherstellung durch einen Scanner (lacht nicht, es war Antivir) gefunden wurde. Ihr glaubts nicht? Na dann guckt mal hier http://www.wer-weiss-was.de/cgi-bin/forum/...tikelID=3163449 und da http://www.viruslist.com/de/viruses/encycl...usid=93858#doc2 Was eine solche Schadsoftware mit unseren Systemen anrichtet, läßt sich nur noch erahnen.
Nun zur Frage:
Ich bin überzeugt, das eine Malware auf einer passiven oder sogar versteckten Partition keine Chance hat und wird sich dort vermutlich auch nicht "freiwillig" befinden. Wie soll sie auch unauffällig aufgerufen und aktiviert werden. In einem Image-Archiv kann sie sein, wenn sie darin eingepackt wurde. Dies kann insbesonders dort auftreten, wo per Scheduler unkontrolliert eine Aktualisierung des Archives vorgenommen wird (Ghost etc.). Aber ein Image nachträglich zu infizieren widerspricht jedem logischen Denken.
Sollte es wirklich so sein, dann muß ja auch die im Header eingetragene Checksumme geändert werden. Stimmen beide Summen nicht überein, dann lehnt jedes halbwegs vernünftige Packprogramm und damit auch Imagingproggy ab. Eine logisch richtige Backupstrategie trägt zusätzlich erheblich bei. Letztlich muß der Autor davon ausgehen, das sich auf den meisten Systemen ein Image an einer ganz bestimmten Position befindet. Wo sich das Verzeichnis System32 ausschlieslich befindet, ist hinlänglich bekannt.
Das von Rika eingeworfene Argument bezüglich des eigenen Dateisystems ist zwar nicht abwegig, dürfte sich aber in der Praxis für den Autor sehr aufwendig gestalten und uns durch seinen Trojaner noch mehr Software auf die HD schaufeln. Natürlich haben es uns Paragon, VMWare und andere vorgemacht, in dem sie ihr eigenes autonomes Dateisystem verwenden, aber zwei verschiedene Systeme zur gleichen Zeit ist aus meiner Sicht etwas sehr utopisch. Ich lasse mich natürlich gern vom Gegenteil überzeugen (ich lese auch gern überzeugende Links).
Das gänge aus meiner Sicht nur dann, wenn das eine System in die Hypernation gebracht und das andere aufgeweckt wird.
Wie kann nun auf inaktive oder nicht zugeordnete Partitionen Malware gelangen? Grundsätzlich, von selbst nicht. Sie kann beispielsweise durch Download dorthin gelangen, falls wir infizierte Software dort speichern oder dort Browsercaches eingerichtet sind (solche Leute soll es auch geben). Dies können Scripte oder anderer ausführbarer Code jeder Art sein, die sich in Bildern oder ähnlichen Containern befinden und durch gezielten Aufruf zur Ausführung gelangen. Software, die sich von selbst installiert und ausführt, gehört ins Reich der Legenden einiger vielbebilderter Zeitungen. Es muß auch die aufrufende oder bearbeitende Software dazu geeignet sein. Klar macht es MS zB mit seinen Thump.db in Verbindung mit dem Explorer sehr leicht. Das eine solche Möglichkeit bekannt ist, dürfte noch kein Beweis für die Praxistauglichkeit sein.
Ich meine:
Ausschlaggebend ist immer noch das Wissen darüber, wie und auf welchem Weg Malware in unser System gelangt und diese Wege kann man sehr gut mit Brain kontrollieren und filtern. Letztlich gibt es ja noch solche Online-Scannersysteme wie Jotti und Virustotal. Wer sie angesichts einer verdächtigen Datei nicht benutzt, ist im Schadensfall nicht zu bedauern. Auch alternative Software für das Internet hat in den seltensten Fällen versagt.
Ich mußte auch erst mal überlegen. Natürlich kann man meist nicht so dumm denken, wie es ein Malewareautor tut. Sonst käme er auch nicht auf die Idee, derartiges zu schreiben. Sowas ist nur noch vergleichbar mit Gewaltverbrechen, deren Aufklärungsrate auch sehr hoch ist: http://www.silicon.d...il.php?nr=24192
Um es für einige Leser klar zu stellen:
Diese Leute haben mit Hackern nichts gemeinsam. Hier handelt es sich um Verbrecher mit Kenntnissen zur Herstellung und Einsatz von Schadsoftware.
Also, Malware hat doch nur eine Chance, wenn sie sich auf einer aktiven Partition, am besten innerhalb des Systems befindet. Ich selbst habe schon von welcher gelesen, die innerhalb weniger Sekunden alle bekannte Security-Software abschaltet oder patcht, einige 100 KByte aus dem Internet installiert, vorgefundene Systemdateien für ihre Zwecke mit anderen Namen kopiert, einen Server einrichtet, diesen perfekt tarnt und mit Systemschutz versieht, für sich selbst einen Systemwiederherstellungspunkt erstellte, danach gelöscht wird und zum Schluß der Trojaner (das erste Glied in der Kette) nur noch in der Systemwiederherstellung durch einen Scanner (lacht nicht, es war Antivir) gefunden wurde. Ihr glaubts nicht? Na dann guckt mal hier http://www.wer-weiss-was.de/cgi-bin/forum/...tikelID=3163449 und da http://www.viruslist.com/de/viruses/encycl...usid=93858#doc2 Was eine solche Schadsoftware mit unseren Systemen anrichtet, läßt sich nur noch erahnen.
Nun zur Frage:
Ich bin überzeugt, das eine Malware auf einer passiven oder sogar versteckten Partition keine Chance hat und wird sich dort vermutlich auch nicht "freiwillig" befinden. Wie soll sie auch unauffällig aufgerufen und aktiviert werden. In einem Image-Archiv kann sie sein, wenn sie darin eingepackt wurde. Dies kann insbesonders dort auftreten, wo per Scheduler unkontrolliert eine Aktualisierung des Archives vorgenommen wird (Ghost etc.). Aber ein Image nachträglich zu infizieren widerspricht jedem logischen Denken.
Sollte es wirklich so sein, dann muß ja auch die im Header eingetragene Checksumme geändert werden. Stimmen beide Summen nicht überein, dann lehnt jedes halbwegs vernünftige Packprogramm und damit auch Imagingproggy ab. Eine logisch richtige Backupstrategie trägt zusätzlich erheblich bei. Letztlich muß der Autor davon ausgehen, das sich auf den meisten Systemen ein Image an einer ganz bestimmten Position befindet. Wo sich das Verzeichnis System32 ausschlieslich befindet, ist hinlänglich bekannt.
Das von Rika eingeworfene Argument bezüglich des eigenen Dateisystems ist zwar nicht abwegig, dürfte sich aber in der Praxis für den Autor sehr aufwendig gestalten und uns durch seinen Trojaner noch mehr Software auf die HD schaufeln. Natürlich haben es uns Paragon, VMWare und andere vorgemacht, in dem sie ihr eigenes autonomes Dateisystem verwenden, aber zwei verschiedene Systeme zur gleichen Zeit ist aus meiner Sicht etwas sehr utopisch. Ich lasse mich natürlich gern vom Gegenteil überzeugen (ich lese auch gern überzeugende Links).
Das gänge aus meiner Sicht nur dann, wenn das eine System in die Hypernation gebracht und das andere aufgeweckt wird.Wie kann nun auf inaktive oder nicht zugeordnete Partitionen Malware gelangen? Grundsätzlich, von selbst nicht. Sie kann beispielsweise durch Download dorthin gelangen, falls wir infizierte Software dort speichern oder dort Browsercaches eingerichtet sind (solche Leute soll es auch geben). Dies können Scripte oder anderer ausführbarer Code jeder Art sein, die sich in Bildern oder ähnlichen Containern befinden und durch gezielten Aufruf zur Ausführung gelangen. Software, die sich von selbst installiert und ausführt, gehört ins Reich der Legenden einiger vielbebilderter Zeitungen. Es muß auch die aufrufende oder bearbeitende Software dazu geeignet sein. Klar macht es MS zB mit seinen Thump.db in Verbindung mit dem Explorer sehr leicht. Das eine solche Möglichkeit bekannt ist, dürfte noch kein Beweis für die Praxistauglichkeit sein.
Ich meine:
Ausschlaggebend ist immer noch das Wissen darüber, wie und auf welchem Weg Malware in unser System gelangt und diese Wege kann man sehr gut mit Brain kontrollieren und filtern. Letztlich gibt es ja noch solche Online-Scannersysteme wie Jotti und Virustotal. Wer sie angesichts einer verdächtigen Datei nicht benutzt, ist im Schadensfall nicht zu bedauern. Auch alternative Software für das Internet hat in den seltensten Fällen versagt.
Thema verteilen:
Seite 1 von 1