Hypercell ein ] Hypercell aus ] Zeige Navigation ] Verstecke Navigation ]
c++.de  
   

Die mobilen Seiten von c++.de:
http://m.c-plusplus.de
Infos hier [BETA]

 Startseite ] [ FAQs ] [ Compiler ] [ Bücher ] [ Magazin ] [ Tutorials ] [ Impressum & AGB ] [ Kontakt ]
Twitter Twitter ] [ Facebook Facebook ]
Anleitung ] [ Suchen ] [ Profil ] [ Eigene Beiträge ] [ Registrieren ]
Login ]
   
c++.de :: Assembler ::  Frage zum Thread Enviroment Block     Zeige alle Beiträge auf einer Seite Auf Beitrag antworten
Autor Nachricht
malware
Unregistrierter
Beitrag malware Unregistrierter 13:27:17 29.05.2012   Titel:   Frage zum Thread Enviroment Block            Zitieren
Hallo kann mir jemand sagen was hier genau im TEB abgefragt wird?
Assembler:
0F014ECD  |. 64:A1 18000000 MOV EAX,DWORD PTR FS:[18]
0F014ED3  |. 8988 180F0000  MOV DWORD PTR DS:[EAX+F18],ECX


Ich habe das in einem Programm gefunden wo ich die vermutung habe das es sich um Malware handelt.

GData hatte bei mir einen Viren Meldung ausgeben kurz danach öffnete sich ein Programm mit dem Namen: somoto-master.exe
Aber das Programm ist kurz danach abgestürtzt da es wohl auf ungültige Opcodes getroffen ist

Dieses somoto ding war im Temp Verzeichniss es gibt sehr viele Funktionen in dem Programm die mit Zw Anfangen aber die werden doch eigentlich nur von Kernel Mode Programm verwendet oder täusche ich mich da?

Wobei scheint ja auch so zu gehen, ich hab auch mal ein User Mode Programm gesehen was als PE Datei vorlag und auf den Kernel zugreiffen konnte ...

Würde mich mal interessieren was dieses somoto-master ding genau macht.

Funktionen wie WSAStartup, Connect oder Send konnte ich nicht finden.

Ich hab nicht wirklich Ahnung von Malware Analyse aber ist es eigentlich möglich sich z.b. eigene Netzwerk Funktionen zu schreiben ohne die WIN API zu verwenden?
masm
Unregistrierter
Beitrag masm Unregistrierter 14:01:08 29.05.2012   Titel:              Zitieren
Ohne weiter Code würde ich mal sagen, das in irgendeiner Art an der NTVDM manipuliert werden soll (betrifft also nur 32Bit-Systeme) - meine mich zu erinner dass es in dieser einen Bug gab/gibt, durch den man Admin-Rechte bekommen konnte/kann (Privilege escalation).
Einige Zw* Funktionen könne auch aus dem User Mode aufgerufen werden ... ist aber schon sehr verdächtig.
c++.de :: Assembler ::  Frage zum Thread Enviroment Block   Auf Beitrag antworten

Zeige alle Beiträge auf einer Seite




Nächstes Thema anzeigen
Vorheriges Thema anzeigen
Sie können Beiträge in dieses Forum schreiben.
Sie können auf Beiträge in diesem Forum antworten.
Sie können Ihre Beiträge in diesem Forum nicht bearbeiten.
Sie können Ihre Beiträge in diesem Forum nicht löschen.
Sie können an Umfragen in diesem Forum nicht mitmachen.

Powered by phpBB © 2001, 2002 phpBB Group :: FI Theme

c++.de ist Teilnehmer des Partnerprogramms von Amazon Europe S.à.r.l. und Partner des Werbeprogramms, das zur Bereitstellung eines Mediums für Websites konzipiert wurde, mittels dessen durch die Platzierung von Werbeanzeigen und Links zu amazon.de Werbekostenerstattung verdient werden kann.

Die Vervielfältigung der auf den Seiten www.c-plusplus.de, www.c-plusplus.info und www.c-plusplus.net enthaltenen Informationen ohne eine schriftliche Genehmigung des Seitenbetreibers ist untersagt (vgl. §4 Urheberrechtsgesetz). Die Nutzung und Änderung der vorgestellten Strukturen und Verfahren in privaten und kommerziellen Softwareanwendungen ist ausdrücklich erlaubt, soweit keine Rechte Dritter verletzt werden. Der Seitenbetreiber übernimmt keine Gewähr für die Funktion einzelner Beiträge oder Programmfragmente, insbesondere übernimmt er keine Haftung für eventuelle aus dem Gebrauch entstehenden Folgeschäden.