Refine
Document Type
Language
- German (3)
Has Fulltext
- yes (3)
Keywords
- Malware (3) (remove)
Institute
Open Access
- Closed (1)
- Closed Access (1)
- Open Access (1)
Webserver-Log-Forensik
(2011)
Im Zug der IT-forensischen Ermittlungen nach Einbrüchen in eines der größten deutschen Internetportale wurde im Labor für IT-Sicherheit und Computer Forensik der Hochschule Offenburg ein Forschungsprojekt gestartet, das sich mit der Analyse von Schadsoftwarespuren in Logfiles beschäftigt. Ein im Zug dieser Forschungsarbeit entstandenes Programm, der „Analyzer of Death“, analysiert und interpretiert Spuren, die PHPbasierte Backdoor-Programme in den Webserver-Logfiles hinterlassen.
Das Ziel dieser Thesis ist es, die Gefahren die von Makros in Microsoft Office Dokumenten ausgehen, zu beschreiben und geeignete Sicherheitsmaßnahmen zu finden. Dazu ist eine Literaturrecherche, sowie eine eigenständige Malware-Analyse durchgeführt worden. Das Ergebnis dieser Arbeit ist, dass von Makros eine große Sicherheitsgefahr ausgeht und, dass geeignete Sicherheitsmaßnahmen existieren, um die Gefahren von Makros deutlich einzuschränken. Jedoch werden diese Sicherheitsmaßnahmen oft nicht umgesetzt, da entweder kein Bewusstsein für diese Art von Gefahr herrscht oder die Implementierung zu teuer beziehungsweise zu aufwändig ist.
Diese Thesis beschäftigt sich mit den Techniken von Code Injection und API Hooking, die von Malware verwendet werden, um sich in laufende Prozesse einzuschleusen und deren Verhalten zu manipulieren. Darüber hinaus erklärt sie die Grundlagen der Betriebssystemarchitektur, der DLLs, der Win32 API und der PE-Dateien, die für das Verständnis dieser Techniken notwendig sind. Die Thesis stellt verschiedene Methoden von Code Injection und API Hooking vor, wie z.B. DLL Injection, PE Injection, Process Hollowing, Inline Hooking und IAT Hooking, und zeigt anhand von Codebeispielen, wie sie funktionieren. Des Weiteren wird auch beschrieben, wie man Code Injection und API Hooking mithilfe verschiedene Tools und Techniken wie VADs, Speicherforensik und maschinelles Lernen erkennen und verhindern kann. Die Thesis diskutiert außerdem mögliche Gegenmaßnahmen, die das Betriebssystem oder die Anwendungen anwenden können, um sich vor Code Injection und API Hooking zu schützen, wie z.B. ASLR, DEP, ACG, IAF und andere. Zuletzt wird mit einer Zusammenfassung und einem Ausblick auf die zukünftigen Herausforderungen und Möglichkeiten in diesem Bereich abgeschlossen.