IceRage
0
Hallo,
ich bin mir eigentlich ziemlich sicher, dass man trotz Firewall und Antivieren-Software nicht sicher sein kann, dass nicht doch schadhafter Code "auf dem Rechner" aktiv ist. Ich schätze mal da werden mir alle soweit zustimmen. Frage jetzt, wie kann man das herausfinden?
Kurz vorweg: Mit schadhaftem Code meine ich jegliche Art von Code (sagen wir mal Programme), den ich nicht bewusst auf dem Rechner installiert habe. Also eben alles was da nix zu suchen hat.
Ein paar Annahmen:
Wenn sich schadhafter Code auf meinem Rechner befindet und ausgeführt wird, dann muss dieser auch im Arbeitsspeicher meines Rechners aktiv sein oder?
Es gibt Techniken, API-Hooking oder was sonst noch, mit dem man im RAM aktiven Code vor dem Benutzer verbergen kann. Sich also einfach mal den Prozessmanager anzusehen und nach exen zu suchen, von denen man nichts weiß, wird nicht ausreichen um Schädlichen zu entdecken nehme ich an
Wenn das so ist, gibt es vielleicht die Möglichkeit einem geschulten Auge einmal ein Speicherabbild in einer passenden Form zu zeigen, so dass derjenige einmal herausfinden kann, ob da etwas auffälliges zu entdecken ist?
Das nun ein "Speicherabbild" also solches, wie es von Betriebssystemen beim Herunterfahren angelegt wird, sicher nicht sonderlich hilfreich sein dürfte ist mir klar. Aber vielleicht gibt es ja auch Programme die auf einer Ebene ansetzen, die so tief liegt, dass tatsächlich sämtliche aktiven Prozesse aufgelistet werden können, ohne das jemand die Möglichkeit hätte einen bestimmten Prozess zu verstecken?
Oder meint ihr dass das so nicht geht, weil man Code tatsächlich so im Speicher verstecken kann, dass er einfach nicht auffindbar ist?
Oder ist es darüber hinaus möglich Code zur Ausführung zu bringen, der den RAM überhaupt nicht zur Ausführung benötigt?! (Kann ich mir nicht vorstellen, aber bin mir da nicht sicher)
Gruß, IceRage
ich bin mir eigentlich ziemlich sicher, dass man trotz Firewall und Antivieren-Software nicht sicher sein kann, dass nicht doch schadhafter Code "auf dem Rechner" aktiv ist. Ich schätze mal da werden mir alle soweit zustimmen. Frage jetzt, wie kann man das herausfinden?
Kurz vorweg: Mit schadhaftem Code meine ich jegliche Art von Code (sagen wir mal Programme), den ich nicht bewusst auf dem Rechner installiert habe. Also eben alles was da nix zu suchen hat.
Ein paar Annahmen:
Wenn sich schadhafter Code auf meinem Rechner befindet und ausgeführt wird, dann muss dieser auch im Arbeitsspeicher meines Rechners aktiv sein oder?
Es gibt Techniken, API-Hooking oder was sonst noch, mit dem man im RAM aktiven Code vor dem Benutzer verbergen kann. Sich also einfach mal den Prozessmanager anzusehen und nach exen zu suchen, von denen man nichts weiß, wird nicht ausreichen um Schädlichen zu entdecken nehme ich an
Wenn das so ist, gibt es vielleicht die Möglichkeit einem geschulten Auge einmal ein Speicherabbild in einer passenden Form zu zeigen, so dass derjenige einmal herausfinden kann, ob da etwas auffälliges zu entdecken ist?
Das nun ein "Speicherabbild" also solches, wie es von Betriebssystemen beim Herunterfahren angelegt wird, sicher nicht sonderlich hilfreich sein dürfte ist mir klar. Aber vielleicht gibt es ja auch Programme die auf einer Ebene ansetzen, die so tief liegt, dass tatsächlich sämtliche aktiven Prozesse aufgelistet werden können, ohne das jemand die Möglichkeit hätte einen bestimmten Prozess zu verstecken?
Oder meint ihr dass das so nicht geht, weil man Code tatsächlich so im Speicher verstecken kann, dass er einfach nicht auffindbar ist?
Oder ist es darüber hinaus möglich Code zur Ausführung zu bringen, der den RAM überhaupt nicht zur Ausführung benötigt?! (Kann ich mir nicht vorstellen, aber bin mir da nicht sicher)
Gruß, IceRage