28. März 2024, 10:11:36 Uhr

Keylogger

Begonnen von Sanchy, 13. Dezember 2006, 18:31:47 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Sanchy

Hat man gegen die Dinger überhaupt eine Chance?

von den meisten kommerziellen sec-suiten werden sie eh nicht entdeckt und auch bei rootkit-revealern ist googln angesagt. ich kenne jedenfalls kein anständiges programm dagegen.

American

Eigentlich sollte jedes Av Programm es anzeigen können, auch der Security Task Manager.
Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

Sanchy

eigentlich ja. tun sie aber nicht.
ice sword soll ganz gut sein. bloß die bedienung ist für mich bissle hakelig.

kmailman4

Alsi ich benutze das Programm Sophos Anti-Rootkit und es ist einfach zu bedienen aber ob es gut ist weiss ich auch nicht hat bei mir auf jedenfall noch nichts gefunden.
CPU Typ
Arbeitsspeicher
Grafikkarte
Monitor
Festplatte
Netzteil
  Intel Core 2 Quad Q6700
4 GB  ( DDR2 CorsairCM2X1024-6400C2)
Nvidia GeForce 560 Ti
Samsung SyncMaster940BF[19" LCD] 
Seagate Barracuda250GB,7200 SATA-II
Enermax Liberty 500Watt
 


Sanchy

hab ich auch drauf. soll aber nicht so effektiv arbeiten. hat bei mir auch noch nie was verdächtiges gefunden.
rootkit-revealer dagegen findet immer ne ganze palette an verdächtigen registry-einträgen, meisten versteckt vor windows api.
mehr is mit rootkit-revealer dann aber nicht möglich. und ob man die eínträge dann löschen sollte, is ne andere frage.

kmailman4

Ja da kannst du Recht haben Sophos hat bei mir auch noch nichts gefunden.Das kam mir schon manchmal komisch vor.Werde das andere Programm mal ausprobieren.
CPU Typ
Arbeitsspeicher
Grafikkarte
Monitor
Festplatte
Netzteil
  Intel Core 2 Quad Q6700
4 GB  ( DDR2 CorsairCM2X1024-6400C2)
Nvidia GeForce 560 Ti
Samsung SyncMaster940BF[19" LCD] 
Seagate Barracuda250GB,7200 SATA-II
Enermax Liberty 500Watt
 


Sanchy

leider gibts nur recht wenige programme die speziell auf die bekämpfung von rootkits ausgerichtet sind.

ne firewall, sollte denke ich wenigstens verhindern dass die daten nach außen gelangen können.

kmailman4

Ja genau.Und wenn es gute Programme gibt dann kosten die ein Heiden Geld.Wenn einer ein guter Anti Rootkit Programm kennt kann  ja hier mal den Namen posten.Danke.
CPU Typ
Arbeitsspeicher
Grafikkarte
Monitor
Festplatte
Netzteil
  Intel Core 2 Quad Q6700
4 GB  ( DDR2 CorsairCM2X1024-6400C2)
Nvidia GeForce 560 Ti
Samsung SyncMaster940BF[19" LCD] 
Seagate Barracuda250GB,7200 SATA-II
Enermax Liberty 500Watt
 


gandal

http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx (http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx)
         
Real Programmers code in binary

kmailman4

Besten Dank.Läuft und hat auch was gefunden.Kann man das was er gefunden hat ohne bedenken löschen?
CPU Typ
Arbeitsspeicher
Grafikkarte
Monitor
Festplatte
Netzteil
  Intel Core 2 Quad Q6700
4 GB  ( DDR2 CorsairCM2X1024-6400C2)
Nvidia GeForce 560 Ti
Samsung SyncMaster940BF[19" LCD] 
Seagate Barracuda250GB,7200 SATA-II
Enermax Liberty 500Watt
 


gandal

Zitat von: kmailman4 am 14. Dezember 2006, 20:21:26 Uhr
Besten Dank.Läuft und hat auch was gefunden.Kann man das was er gefunden hat ohne bedenken löschen?
Wie soll man diese Frage beantworten ? Wenn es ein Rootkit ist, ja.

Das Programm analysiert Auffälligkeiten am System, die auf ein Rootkit hindeuten können. Die Datei kann auf jeden Fall mal umbennant werden und auch mit http://virusscan.jotti.org/ (http://virusscan.jotti.org/) geprüft werden.
Falls Du immer noch unsicher bist, kannst Du das Teil auch zur Analyse an einen einen AV-Anbieter schicken, mit der Schilderung, daß er über das Tool gefunden wurde bzw. mit dem Protokol-Auszug.
         
Real Programmers code in binary

Sanchy

Mit normalen Bordmitteln sind keylogger praktisch nicht zu entdecken. sie werden auch nicht mit irgendwelchen Hotkeys aktiviert, sondern mit der Eingabe eines Passworts in irgendeiner Eingabezeile. Da sie sich als Treiber im Kernel (Ring 0) - embedded 0 -  verankert, sind sie auch mit anderen Tools nur schwer auffindbar.
ich kann nur die kostenlose firewall von zonelabs empfehlen um zu verhindern dass sensible daten nach außen gelangen.

um rootkits zu enttarnen: ice sword (zum aufspüren und entfernen), rootkit revealer (aufspüren)
zum sicheren löschen: erase, Blacklight Rootkit Eliminator
um die aktivität von rootkits zu blocken: PrivacyKeyboard, ProcessGuard

ist aber immer noch ne ziemliche fummelei. ein tool für one-4-all gibts leider noch nicht.

gandal

Zitat von: Sanchy am 15. Dezember 2006, 16:09:34 Uhr
Da sie sich als Treiber im Kernel (Ring 0) - embedded 0 -  verankert, sind sie auch mit anderen Tools nur schwer auffindbar.
Das ist abhängig von den Rechten, die man hat, wenn das Programm aktiv wird.
Da ich keine Rechte habe, um Treiber im Kernel zu laden, kann sich der Keylogger auch dort nicht einnisten.
Das ist natürlich anders, wenn man immer als Admin arbeitet.
         
Real Programmers code in binary

Sanchy

das stimmt allerdings  ;D