American Psycho (15.03.2021), Benzol (15.02.2015), Fregaton (01.02.2015), Knut67 (01.02.2015), Open Thought (01.02.2015), phantomjunior (05.02.2015), Published (01.02.2015), Sido (01.02.2015), Varioas (01.02.2015)
Thema: [TUT] Trojaner aufspüren
-
01.02.2015, 13:07 #1
- Registriert seit
- 19.11.2011
- Beiträge
- 2.128
Thanked 1.936 Times in 1.180 Posts[TUT] Trojaner aufspüren
Hallo.
Da ich meine wissenschaftliche Arbeit über das Thema Sicherheit beim Surfen im Web
geschrieben habe, bin ich auf die Idee gekommen, in U-Labs zusammen mit euch
ein paar Threads zur Sicherheit zu erstellen.
In diesem Thread soll es darum gehen, Trojaner auf einem Windows Computer manuell
(das heißt ohne Antivirenprogramme, sondern per Hand) aufzuspüren.
Ausgerichtet ist dieser Thread für die Systeme: Vista, 7, 8, 8.1, 10.
Das klingt komplizierter, als es eigentlich ist. Sofern man es öfter gemacht hat, wird
man eigentlich immer schneller und besser darin.
Wenn ihr dieses Tutorial wirklich versteht, werdet ihr in der Lage sein
den Großteil von den Trojanern die existieren, aufzuspüren.
Natürlich gibt es immer Trojaner, die sich in anderen Prozessen verstecken (diese sind schwieriger
zu erkennen, dazu kommen wir aber auch im Thread). Diese Trojaner sind aber eher selten.
Gliederung:
-Generelles zu Trojanern
-Hook: Einschätzung Trojaner oder herkömmliches Programm?
-Schritt 1: Autostart Programme überprüfen (Registry, Autostartordner, MsConfig)
-Schritt 2: Verdächtige Prozesse im Taskmanager erkennen
-Schritt 3: Sicherheitszertifikate und Pfade
-Schritt 4: Der Tempordner
Generelles zu Trojanern
Spoiler:
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
Hook: Einschätzung Trojaner oder herkömmliches Programm?
Spoiler:
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
Schritt 1: Autostart Programme überprüfen (Registry, Autostartordner, MsConfig)
In Windows 8 hat man die Möglichkeit im Taskmanager ein paar Autostartprogramme
bereits anzuzeigen, aber vorsicht: DAS SIND NICHT IMMER ALLE PROGRAMME.
Hier könnt ihr schonmal die Programme durchschauen (siehe Hook).
Doch um wirklich zu Prüfen, welche Programme sich ALLE öffnen, wenn
wir unser System starten, muss man ein paar Schritte mehr machen.
Dazu gehört (wichtig!):
-Der Autostartordner
-Die Registry
-MsConfig Überprüfung
Zunächst WindowsTaste (gedrückt lassen) + R
um den Ausführen Dialog zu erhalten.
In der Box geben wir regedit ein und drücken Enter.
Jetzt wechseln wir in den Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Dort sind die Programme aufgelistet, die bei dem aktuellen Useraccount mit dem ihr eingeloggt seid, gestartet werden.
Jetzt führt ihr das aus, was unter dem Hook Spoiler in diesem Thread hier steht.
Das gleiche machen wir mit dem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
und dem Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce
Schauen wir uns doch den Pfad von dem Programm aus meinem Screen mal an:
UPS, da ist ja keine systemrun.exe ?
Offenbar ist diese versteckt. Das machen in der Regel nur Systemprozesse oder Trojaner.
Aufgrund der anderen Indizien ist das aufjedenfall ein Trojaner.
Weiteres Beispiel für einen Trojaner:
Spoiler:
Msconfig Prüfung:
Nun gebt ihr ein "msconfig" und wechselt in den Tab "Systemstart" (sofern ihr kein Win 8 oder Win 8.1 / Win 10 habt).
Vista/7 einfach die Programme dort prüfen und wieder ausführen, was unter dem Hook Spoiler steht.
Bei Win 8/8.1/ oder Win 10 geht das über Taskmanager -> Tab "Autostart"
Autostartordner Prüfung:
Als nächstes geht es darum, den Autostart Ordner (das ist nochmal ein besonderer Ordner), zu prüfen.
Dazu WindowsTaste + R drücken, danach shell:startup eingeben.
Da seht ihr möglicherweise .Exe Dateien , die ihr auch begutachten solltet (siehe dazu Hook Spoiler).
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
Schritt 2/3: Verdächtige Prozesse im Taskmanager erkennen / Sicherheitszertifikate und Pfade
Spoiler:
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
Schritt 4: Der Tempordner
WindowsTaste + R danach %TEMP% eingeben.
-Ihr löscht jetzt einfach alle Dateien aus dem Ordner (Strg + A zum auswählen aller Dateien, danach einfach löschen).
-Jetzt erscheint vermutlich ein Dialog, dass einige Dateien nicht gelöscht werden können, dort einfach auf Überspringen klicken.
Jetzt findet ihr möglicherweise immernoch .Exe Dateien im Ordner(das sind dann welche, die derzeit geöffnet sind).
Nun wieder das beachten, was in Hook Spoiler steht und was ihr in diesem Thread gelernt habt.
Das wäre es soweit. Falls ihr etwas nicht versteht, könnt ihr gerne Kontakt aufnehmen.Geändert von !lkay (01.02.2015 um 15:18 Uhr)
-
The Following 9 Users Say Thank You to !lkay For This Useful Post:
-
15.03.2021, 17:02 #2
AW: [TUT] Trojaner aufspüren
Bist du auch heute noch der Meinung, dass Signaturen vertrauenswürdig sind? Es ist ja zunehmend von Schadsoftware zu hören, die digital mit einem gültigen Zertifikat signiert wurde. Entweder haben die Angreifer das Zertifikat geklaut oder teils sogar ganze CAs infiltriert, sodass gültige Zertifikate ausgestellt werden konnten. Gibt noch weitere Methoden, aber mir scheint es zumindest heute so, als wäre das nicht mehr wirklich ein Anzeigen von Vertrauenswürdigkeit.
Jedenfalls Danke für deinen guten Thread und die Mühe die dahinter steckt! Ist interessant und informativ
Ähnliche Themen
-
BKA Trojaner
Von Published im Forum WindowsAntworten: 9Letzter Beitrag: 20.10.2013, 18:09 -
[Vorstellung] Trojaner
Von Trojaner im Forum UserankündigungenAntworten: 26Letzter Beitrag: 03.04.2012, 20:56 -
[TuT] Trojaner entfernen
Von The Don of NYC im Forum SecurityAntworten: 10Letzter Beitrag: 16.02.2012, 09:56
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.