Trojaner nistet ein

[KrayzieC]

Angenommen jemand schleust einen Trojaner bei mir ein dann verstehe ich nicht warum ich diesen nicht auf meiner Festplatte finden kann.
Auch die Vorgehensweise eines Hackers ist mir nicht ganz klar.
1.Portscann
2.Bzw erst Ping
3.IP abchecken
4.Ein PRogramm einschleussen

Aber dieses müsste man doch theoretisch finden oder nicht ???

Auch die sogenannten Bundestrojaner sollen für einen normalsterblichen
angeblich nicht auffindbar sein.Wo genau sind diese Programme denn versteckt.Ausserdem -netstat sollte doch ein Lösung sein um diese aufzufinden.

 

[bitmuncher]

Die Lösung heisst virtuelle Maschine. In einer solchen lässt sich ein Trojaner so verstecken, dass er vom Host-System nicht auffindbar ist. Ein verstecktes virtuelles Netzwerk-Interface hilft dann noch dabei den Traffic zu verstecken. Einfach mal nach 'Blue Pill Malware' googlen.

Ein vorgeschalteter Router kann aber den Traffic trotzdem finden.

 

[GrafZahl]

zu beachten ist bei solchen dingen eigentlich immer, dass man dem potentiell infizierten system nicht mehr vertrauen kann ... sprich du musst davon ausgehen, dass der trojaner jede funktion deines systems manipulieren kann, inklusive antivieren programmen, dem explorer, den kommandozeilen programmen wie netstat, dem taskmanager ... da du keinem dieser dinge mehr trauen kannst, da sein verhalten möglicherweise verändert wurde, bleibt nur das überwachen von aussen, oder offline untersuchungen ...

es sind allerdings bislang kaum schädlinge aufgetreten die sich mal absolut gar nicht mehr aufspüren/nachweisen lassen ...

selbst virtualisierungs root kits haben dahingehende makel, dass sie die art und weise wie der prozessor auf virtualisierungsanfragen reagiert nicht so recht beeinflussen können, ausser sie analysieren vor dem ausführen jeder instruktion welche folgen diese möglicherweise im bezug auf die entdeckung haben würde ... dieser fall dürfte sich durch die wahnsinnige verbleibende arbeitsgeschwindigkeit von nahezu null bemerkbar machen ...

 

[lightsaver]

Du brauchst theoretisch nicht mal eine virtuelle Maschine.
Das Stichwort für dich ist Rootkit. Kannst dazu ja mal Informationen suchen.

Es können dabei z.B. Systemdateien ersetzt werden, die dann einfach bestimmte Sachen (Dateien, Prozesse...) nicht mehr anzeigen. Auch netstat kann auf diese Weise natürlich manipuliert werden und dann einfach nur die entsprechenden Verbindungen ausfiltern.

Die meisten Trojaner werden aber vermutlich einfach nur unverdächtige Namen verwenden, so dass ein normaler Nutzer das gar nicht bemerken würde. Das ist zwar eigentlich keine wirklich sichere Tarnung, wird aber ziemlich oft erfolgreich sein.

Du musst aber auch bedenken, dass die meisten Trojaner nicht speziell auf bestimmte Rechner oder Personen angesetzt werden sondern einfach möglichst viele Rechner befallen sollen, um z.B. Passwörter auszuspähen. Da wird keiner für jedes Opfer die IP herausfinden und dann in den Rechner eindringen, um den Trojaner zu platzieren. Da werden eher Sicherheitslücken ausgenutzt. Beliebt sind dabei natürlich die Browser selber, Emailprogramme aber auch die Interaktion mit dem Benutzer, indem er z.B. eine infizierte Datei (etwas ausführbares oder auch wieder etwas, wo Sicherheitslücken bekannt sind wie z.B. PDF) öffnet. Für solche Angriffe sind aber IP, Port ... völlig egal.

Der Bundestrojaner könnte aber z.B. auch per Email kommen oder der Provider wird verpflichtet, deinen Datenstrom zu manipulieren, um dir den unterzuschieben. Hier war aber auch im Gespräch, dass Beamte heimlich in deine Wohnung eindringen und den dann direkt installieren allerdings wurde das glaube ich nicht erlaubt.