Forum: Programmieren allgemein
by hitzi,
23. Okt 2006
Ein "Anzeigen eines JPEG-Bildes reicht zur Infektion" kann Code im Speicher ausführen, richtig? Aber was bringt das? Es kann ja keine Anwendung aufgerufen werden. Oder könnte man über so einen Bug aus dem Speicher heraus, den von dir weiter oben genannten Weg gehen und den Hook herausfinden und löschen/umgehen?
Ich gehe erstmal von einem Einzelplatz aus.
Forum: Programmieren allgemein
by hitzi,
23. Okt 2006
Mir geht es um die Sicherheit eines solchen Systems. Ausgangslage soll ein fertig abgesichertes System sein, d.h. nur authorizierte Programme können gestartet werden. Welche Möglichkeiten bestehen evt. diesen Schutz zu umgehen. Kann man Programme evt. noch anders starten lassen? By the way ... NTCreateProcessEx ist genauso "gehookt".
Mich fasziniert die Möglichkeit eines solchen Systems zum...
Forum: Programmieren allgemein
by hitzi,
23. Okt 2006
Hallo,
ich bin im Netz über dieses PDF gestolpert: http://www.csnc.ch/static/download/misc/kernelhooks_csnc_german.pdf
In diesem PDF wird die Verwendung eine Kernelfiltertreibers beschrieben, welcher die Funktion NTCreateProcess "hooked" und vor der Ausführung eines Programmes überprüft, ob dieses Programm ausgeführt werden darf.
Ist dieses Vorgehen sicher oder gibt es Techniken, die...