|
Code Injection - Nachtrag 1 In den letzten Tagen und Wochen habe ich weiter an meinen kleinen Tools gebastelt und sie so verändert, dass nur noch eine Anwendung benötigt wird. Diese Konsolenanwendung beinhaltet auch die Dll selbst, welche mittels LoadLibrary in dem Remote Prozess geladen wird. Der Ablauf: - Konsolenanwendung startet
- PID Eingabe
- Dll wird im tmp Ordner erzugt ( versteckt in einer Text Datei mittels Alternate Data Stream )
- Code Injection wird durchgeführt
- Tmp Datei wird gelöscht
- Programm beendet sich
Getestet habe ich das Programm unter folgenden Betriebssystemen und Virenscannern: | Betriebssystem | Virenscanner
| Code Injection
| Windows Vista - Ultimate 64 Bit
| Kaspersky Antivirus 8
| erfolgreich
| Windows XP - Professional 32 Bit
| Avira AntiVir Personal 9
| erfolgreich | Windows 7 - Home Premium 64 Bit
| McAfee | erfolgreich | Windows Server 2003 - 32 Bit
| ---
| erfolgreich |
Wer das Programm selber gerne mal testen möchte kann es hier downloaden: http://wcqtff.willcodejoomlaforfood.de/botoxconsole.7z Folgende Testpunkte sind interessant: - Erkennt der Virenscanner Schadcode in der botoxconsole.exe ?
- Wird die CodeInjection erfolgreich ausgeführt
Ob die Injection geklappt hat oder nicht, merkt man wenn man dem entsprechenden Programm den Focus verleiht und die F1 Taste drückt. Nun sollten mehr oder weniger Messageboxen erscheinen. Nach dem Neustart der Anwendung ist wieder alles beim alten. |
|
Last Updated on Monday, 04 January 2010 15:11 |