Wo wir gerade bei Rootkits sind. 2 Artikel der letzten Phrack-Ausgabe waren sehr interessant:

A portable Userland Rootkit : *snip*
und natürlich dein Liebling @ Olli :

Kernel-Mode Backdoor *snip*

[edit=alcaeus]Links entfernt. Begruendung siehe naechster Beitrag. Mfg, alcaeus[/edit]

Hallo ihr,

es ist ja schoen dass ihr euch hier amuesiert
aaaaber: Einen Prozess vor dem Taskmanager zu verstecken ist ja gut und Recht (auch wenn ich keine "gute" Absicht dahinter sehe; wie Olli bereits gesagt hat, gibt es bessere Loesungen), aber sobald es zum Thema Rootkits kommt, ist Schluss mit lustig. Diese "Programme" erfuellen nur einen Sinn und Zweck, und diese Arten von Programmen sind IMO nicht mit dem DP-Kodex vereinbar. Also, bleibt bitte beim Thema (Prozess verstecken), und ueberlegt welche Links ihr postet.
Die Links im vorherigen Beitrag habe ich mal rausgeschnitten, da es IMO keinen wirklich legalen Verwendungszweck fuer Rootkits gibt, und solche Links uns (die DP) eventuell auch in Probleme bringen kann. Ich lasse mich aber gerne vom Gegenteil ueberzeugen (dann aber bitte per PN ).

Greetz
alcaeus

[edit]Italiener und die Rechtschreibung [/edit]

Ich versuchs mal ohne PN, weil es ja oft zu Mißverständnissen bei "Unwissenden" kommt. Erstmal kann man ein (echtes) Rootkit nicht ohne weiteres schreiben (da muß man schon ein paar Nächte mit NT im Bett verbracht haben ... ). Zum anderen ist in mind. 99,9% der Fälle einer Rootkit-"Infektion" von irgendeiner bewußten Aktion des Anwenders auszugehen (nehmen wir mal die IE-Anwender aus *hüstel*).

Ich verstehe die Einwände dagegen sowas in der DP zu posten - ist das gute Recht des Hausherrn, aber hier scheint immer ein Verkennen von solchen Themen vorzuliegen. Wie gesagt, daß es meinetwegen nicht in die DP gehört mag sein, jedoch von einer generellen Tabusituation auszugehen ist gewagt, weil dann keine normale Consulting-Firma, kein IT-Sicherheitsexperte, und all die anderen die sich damit beschäftigen, arbeiten *dürften*. Egal wie sehr einige dem auch entgegenstehen mögen, es gibt keine "Security through Obscurity"!

Aber da das hier sowieso in den Orkus der Codelib verschwindet .............

Hi Olli,
kurze Klarstellung: gegen den Thread selber ist gar nichts einzuwenden. Wenn der SourceCode soweit korrekt ist und funktioniert – und einigermaßen formatiert worden ist – wird er in ein paar Tagen Wochen Einzug in die CodeLibrary erhalten. Also gegen den Thread ist nichts einzuwenden.
Andreas' Problem betrifft – und da sollten wir uns eigentlich einig sein – lediglich die Links. Denn Links zu Seiten mit illegalen oder fragwürdigem Inhalt bereiten nicht dem Postenden Probleme sondern uns bzw. im Normalfall Daniel als Verantwortlichen selber. Und ich denke du verstehst, das wir uns da lieber auf sicherem Boden bewegen, als auf dünnem Eis.

Schönen Abend noch,
Chris

Klaro ... habe ich ja auch gesagt. Es ging halt darum zu sagen, daß z.B. auf einer gewissen Webseite, die den Namen rootkit trägt eigentlich mehr Sicherheitsexperten als Blackhats unterwegs sind. Die Absichten sind durchaus nicht so dunkel wie mancher meint.

Gruß ans Team,

Hmm ok, sorry. Ich muss mich an das neue Umfeld mal gewöhnen. Da wo ich so rumgelungert bin, war das üblich.
Aber ich sehe ein, dass es einfach nicht hier reingehört.

Rootkits schreiben viele um aufzuzeigen was möglich ist, nicht um zu spionieren o.ä. Die Motivation ist eine ganz andere, als man vlt. auf dem ersten Blick vermutet.

Zwei Sachen: Der Code aus der Code-Lib scheint unter XP SP2 nicht mehr zu funktionieren und ebenso das gepostete Programm hier. Der Code aus der Code-Lib stürzt ab und das hier verlinkte Programm erscheint immer noch im Taskamanger.

außerdem wird die dll von jedem Virenscanner, der Dateiheuristik unterstützt, als gefährlich oder auch als möglicher Virus erkannt...

die frage ist immernoch wieso???