Hallo Community,

ich habe mich in letzter Zeit mit Viren, mit Augenmerk auf das Einnisten im System, beschäftigt.
Ich bin auf diversen Seiten fündig geworden. Einses der genannten Methode war, den Virus an eine Datei zu hängen. Dazu wird der eigendliche Zeiger auf das Programm umgelengt auf den Virus und anschließend zurück auf das eigenendlich Programm.
So weit zur Theorie.
Doch wie sieht es mit der praktischen Umsetzung aus?

Ich habe mir dazu folgende Gedanken gemacht:
Angesichts der Antwort von Daniel, habe ich diesen Teil entfernt.

Zu welchen Themengebieten, sollte man sich belesen, um diese Art von Infektion erfolgreich zu verstehen?

Ich freue mich auf eure Antworten
Gruß

Wir können hier im Allgemeinen besprechen, wie Schadcode sich auf einen System verhält und welche Optionen er hat, sich an seinen Wirt zu binden. Was wir nicht tun können, ist hier eine konkrete Bastel-Anleitung für einen (trivialen) Virus zu erstellen.
Die Themen lassen sich nicht scharf abgrenzen, aber eine sachliche, fachliche Diskussion ist bestimmt spannend.

Das ist vollkommen nachvollziehbar. Dem entsprechend habe ich meine anfängliche Frage umformuliert, und grob niedergeschrieben Umsetzungsideen entfernt.

Das "Einzige" was du wissen musst, ist das "Portable Executable" Format (Spezifikation lässt sich hier finden)

Was genau willst du bezwecken? Wenn ich mir so deine Threads ansehe, geht es glaube ich eher um die Analyse von Viren. Heutzutage ist es jedoch so,
dass Viren (Virus per Definition) so nicht mehr existieren. Meist sind es Trojaner oder Würmer, die sich per 0-Day flächendeckend ausbreiten, wovor man
sich mit regelmäßigen Updates schützen kann.
Diese sind potenziell natürlich viel gefährlicher als nur destruktive Viren.

Es gibt da noch die Binder - die machen aus N Anwendungen 1 einzige. Meistens handelt es sich dabei auch wieder um Trojaner!

Die Infecktionsmethode, die merovinger hier vorschlägt, wird in der Praxis ohnehin von jeder AV-Software abgefangen.

Oft sogar schon vorher vom Betriebssystem - seit Programme signiert werden, laufen sie einmal manipuliert nicht mehr. Somit ist "Anhängen" irrelevant, sobald es um die Infektion von Betriebssystemdateien oder solchen aus seriösen Quellen geht.

Hab hier auch ein Win7 64 Bit:

• explorer.exe (64 Bit, 32 Bit): unsigniert
• notepad.exe (64 Bit, 32 Bit): unsigniert
• shell32.dll (64 Bit, 32 Bit): unsigniert
• calc.exe (64 Bit, 32 Bit): unsigniert
• wmplayer.exe (64 Bit, 32 Bit): unsigniert

You catch my drift? So einfach ist es nicht, wobei die genannten Dateien sicherlich durch den DLL-Cache geschützt sind, aber es gibt auch weniger wichtige Programme wie z.B. dxdiag.exe, die diesen Schutz evtl. nicht haben.

MfG Dalai

I catch your drift... you missed some details

Mag sein, dass der Explorer-File Properties-Dialog hier keine Signaturen anzeigt, weil diese Dateien nicht in der Datei selber signiert sind.

Gehst Du allerdings mal über die WinTrust.dll und prüfst mit der entsprechenden API, wirst Du staunen - sie sind's doch. Die Signaturen dazu liegen in Katalogdateien in C:\Windows\System32\catroot\.

Und ganz einfach machen es einem die Sysinternals. Die erlauben es zu jedem laufenden Prozess mit Hilfe des Process Explorers die Signatur zu überprüfen (Properties, Image, Verify). Und schon stellt man fest, die erwähnten Dateien sind signiert.

Sherlock

Hm, stümmt. Wusste nicht, dass MS da einen anderen Weg geht.

MfG Dalai