PathScan

Autor: AHT

PathScan


Durch ein kleines Sicherheitsloch in Windows ist es möglich,
Pfade zu laufenden EXE Dateien und DLLs so umzubiegen,
dass diese nicht mehr auf die wirklich laufenden Dateien
zeigen, sondern auf andere, die in Wirklichkeit gar nicht laufen.

Szenario dazu:
Malware injiziert über ein Injektorprogramm eine
DLL in den WindowsExplorer - wir nennen diese DLL mal
malware.dll. Nach der Injektion biegt diese DLL in der
"Registrierungsstruktur für DLLs" im Speicher den Pfad zur DLL
so um, das dieser auf die System-DLL wininet.dll zeigt. Im Explorer
läuft nun weiterhin die malware.dll, sämtliche Programme zum Listen
ausgeführter DLLs zeigen aber an, das wininet.dll im Windows
Systemverzeichnis ausgeführt wird (mit Hersteller Microsoft,
Beschreibung und Dateigröße der wininet.dll). Zwar ist der Injektor
in der Regel über seine Starteintrag aufzufinden - es gibt aber Tricks,
diesen verschwinden zu lassen, solange Windows läuft.

PathScan soll Prozesse ausfindig machen, deren Pfade nicht korrekt
sind - das ist Sinn der Sache. Dafür gibt es bislang scheinbar nichts.
PathScan ist quasi der kleine, etwas abgespeckte, Bruder von
Path-Scout-2 (von Horst Horn).


Betriebsysteme:
Windows2000/XP/Vista/Windows7

[Blockierte Grafik: http://www.postimage.org/Ts1wTLBJ.jpg]
Bild 1: Die Programmoberfläche von PathScan mit als Explorer.exe getarntem Prozess

[Blockierte Grafik: http://www.postimage.org/Ts1xi0ZS.jpg]
Bild 2: Die Programmoberfläche von PathScan mit einer in den Explorer
eingeschleusten DLL, deren Pfad auf die ipnathlp.dll umgebogen wurde


:arrow: Download: PathScan

Ich habe gerde gesehen, dass die Angabe der Betriebsysteme noch fehlte.