Liebe Hakin9 Leser, die neue Ausgabe von Hakin9 behandelt das Thema Malware.

Größe: px
Ab Seite anzeigen:

Download "Liebe Hakin9 Leser, die neue Ausgabe von Hakin9 behandelt das Thema Malware."

Transkript

1

2 Herausgegeben vom Verlag: Hakin9 Media Sp. z o.o. Sp. Komandytowa Geschäftsführer: Paweł Marciniak Chefredakteurin: Ewa Strzelczyk Redaktion: Andy Stern, Sven Amberger, Nils Kuhnert, Jörg Schaarschmidt Produktion: Andrzej Kuca DTP: Marcin Ziółkowski Umschlagsentwurf: Marcin Ziółkowski Werbung: Anschrift: Hakin9 Media Sp. z o.o. Sp. Komandytowa ul. Bokserska 1, Warszawa, Poland Tel , Fax Die Redaktion bemüht sich, dafür Sorge zu tragen, dass die im Magazin enthaltenen Informationen und Anwendungen zutreffend sind, übernimmt jedoch keinerlei Gewähr für derer Geeignetheit für bestimmte Verwendungszwecke. Alle Markenzeichen, Logos und Handelsmarken, die sich in der Zeitschrift befinden, sind registrierte oder nicht-registrierte Markenzeichen der jeweiligen Eigentümer und dienen nur als inhaltliche Ergänzungen. Liebe Hakin9 Leser, die neue Ausgabe von Hakin9 behandelt das Thema Malware. Wir empfehlen Ihnen besonders zwei Artikel von Olivia von Westernhagen. Werbung oder Spionage? Analyse der Adware Sanctioned Media und Anti-Debugging-Techniken. In dem ersten Artikel zeigt die Autorin am Beispiel der.net-basierenden Malware Sanctioned Media, wie fließend die Grenzen zwischen Werbung und Spionage sein können. Interessierte Leser können die Dateien zu dem Artikel vom haking.eu-server herunterladen; das Passwort zum Archiv lautet infected. In dem zweiten Artikel werden einige Beispiele der Anti-Debugging-Techniken erläutert. Unsere weitere Empfehlung ist der Artikel von Michael Spreitzenbarth Android Malware: aktuelle Gefahren und Einblicke in eines der bekanntesten Anaysesysteme. In diesem Artikel wird ein Überblick darüber gegeben wie die aktuelle Bedrohungslage für Android Telefone aussieht. Darüber hinaus wird eines der bekanntesten Analysesysteme für schadhafte Android Applikationen vorgestellt. Viel Spaß bei der Lektüre! Ewa Strzelczyk Falls Sie Interesse an einer Kooperation oder Themenvorschläge hätten, wenden Sie sich bitte an unsere Redaktion: Anmerkung! Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIEßLICH in eigenen Rechnernetzen zu testen! Die Redaktion übernimmt keine Haftung für eventuelle Schäden oder Konsequenzen, die aus der unangemessenen Anwendung der beschriebenen Techniken entstehen. Die Anwendung der dargestellten Techniken kann auch zum Datenverlust führen! hakin9 erscheint in folgenden Sprachversionen und Ländern: deutsche Version (Deutschland, Schweiz, Österreich, Luxemburg), englische Version (Kanada, USA)

3 Hakin9 ANTI-DEBUGGING 5. ANTI-DEBUGGING-TECHNIKEN Olivia von Westernhagen Anti-Debugging kann als Teilbereich des Anti-Reverse-Engineering verstanden werden: Durch geeignete Techniken wird versucht, speziell die Analyse im Kontext eines Debuggers zu erschweren. Eingesetzt werden Anti-Debugging-Techniken sowohl von Herstellern kommerzieller Software als auch von Programmierern von Viren, Trojanern und anderer Malware. Erstere wollen verhindern, dass Algorithmen zu Generierung von Seriennummern analysiert oder der Kopierschutz ihres Programms anderweitig umgangen wird; sie verfolgen somit kommerzielle Interessen. Kommerzielle Interessen nehmen in Zeiten des Kontodaten- und sonstigen Datendiebstahls auch im Lager der Malware-Autoren mehr und mehr zu; bei ihnen sind es die Engines der Anti-Viren-Scanner sowie auch die manuelle Analyse durch Sicherheitsexperten, die es auszutricksen bzw. zu verhindern gilt. MALWARE 11. WERBUNG ODER SPIONAGE? ANALYSE DER ADWARE SANCTIONED MEDIA Olivia von Westernhagen Lästige Werbebanner werden häufig durch so genannte Adware oder Spyware verursacht, die im Installationspaket mit legitimen Programmen, oft aber auch völlig unbemerkt auf den PC gelangt. Sie sammelt Informationen über unsere Surf-, Klick- und Kaufgewohnheiten, um uns anschließend als potenziellen Kunden die passende Werbung vorzusetzen. Doch welche Informationen werden gesammelt, und werden diese wirklich nur für personalisierte Ads verwendet? Der vorliegende Artikel zeigt am Beispiel der.net-basierenden Malware Sanctioned Media, wie fließend die Grenzen zwischen Werbung und Spionage sein können. MOBILE SECURITY 18. HARMLOSE SENSOREN? Gefahr für die privatsphäre abseits herkömmlicher sensordaten-interpretationen Dirk Bade Früher hantierten Ganoven und Agenten noch mit Peilsendern, versteckten Mikrofone und Kameras in fremden Wohnungen und beschatteten verdächtige Subjekte noch persönlich auf der Straße. Dank des technologischen Fortschritts lässt sich all dies heutzutage noch wesentlich subtiler bewerkstelligen. Warum sollte man sich noch selbst draußen die Hände schmutzig machen und eigene Geräte für Eingriffe in die Privatsphäre anderer Personen nutzen, wo sich doch Mobiltelefone als Sensorplattform zur umfassenden Fernüberwachung der Privatsphäre nahezu beliebiger Subjekte geradezu anbieten?

4 IAM MIGRATIONSSTRATEGIE 21. LEBT IHR IDENTITY MANAGEMENT NOCH ODER STIRBT ES SCHON? Barbara Müller Philipps Sohn Anwender von Identity & Access Management (IAM) Lösungen leiden in letzter Zeit verstärkt unter den oft fatalen Folgen eines sich rasch verändernden IAM-Anbieter-Marktes, oft verbunden mit einer unfreiwilligen Verkürzung der Lebensdauer ihrer Identity & Access Management Lösungen. Anwenderunternehmen, die sich oft erst vor kurzem aus Sicherheitsgründen für die Softwarelösung eines Global Players entschieden hatten, stehen heute bereits vor der Frage: Wie geht es weiter? MOBILE SECURITY 25. ANDROID MALWARE: AKTUELLE GEFAHREN UND EINBLICKE IN EINES DER BEKANNTESTEN ANALYSESYSTEME Michael Spreitzenbarth Da sich Mobiltelefone immer größerer Beliebtheit erfreuen, rücken sie auch immer weiter in den Fokus von Kriminellen. Waren vor ein bis zwei Jahren nur einige hundert bösartige Applikationen für mobile Endgeräte in der freien Wildbahn bekannt, sind es heute schon weit über und es kommen täglich neue Schädlinge hinzu. Der Funktionsumfang dieser Schädlinge reicht vom Versenden von einfachen premium SMS, über Banking-Trojaner bis hin zu ausgereiften Exploits, die das infizierte Telefon zu einem fernsteuerbaren Bot verwandeln. In diesem Artikel wird ein Überblick darüber gegeben wie die aktuelle Bedrohungslage für Android Telefone aussieht. Darüber hinaus wird eines der bekanntesten Analysesysteme für schadhafte Android Applikationen vorgestellt. Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen, möchten wir ankündigen, dass hakin9-abwehrmethoden Magazin seinem Profil treu bleibt. Unser Magazin dient ausschließlich den Erkenntniszwecken. Alle im Magazin präsentierten Methoden sollen für eine sichere IT fungieren. Wir legen einen großen Wert auf die Entwicklung von einem sicheren elektronischen Umsatz im Internet und der Bekämpfung von IT Kriminalität.

5 Hakin9 IsDebuggerPresent / CheckRemoteDebuggerPresent Eine der populärsten zu Anti-Debugging-Zwecken eingesetzten API-Funktionen ist IsDebuggerPresent aus der Win32-API kernel32.dll. Mit Hilfe dieser Funktion lässt sich überprüfen, ob die die Funktion aufrufende Anwendung im Kontext eines Debuggers ausgeführt wird oder nicht; allerdings ist die Überprüfung auf Ring 3-Debugger begrenzt, also auf solche, welche im User Mode mit begrenzten Pri- Anti-Debugging- Techniken Olivia von Westernhagen Anti-Debugging kann als Teilbereich des Anti-Reverse-Engineering verstanden werden: Durch geeignete Techniken wird versucht, speziell die Analyse im Kontext eines Debuggers zu erschweren. Eingesetzt werden Anti-Debugging-Techniken sowohl von Herstellern kommerzieller Software als auch von Programmierern von Viren, Trojanern und anderer Malware. Erstere wollen verhindern, dass Algorithmen zu Generierung von Seriennummern analysiert oder der Kopierschutz ihres Programms anderweitig umgangen wird; sie verfolgen somit kommerzielle Interessen. Kommerzielle Interessen nehmen in Zeiten des Kontodaten- und sonstigen Datendiebstahls auch im Lager der Malware-Autoren mehr und mehr zu; bei ihnen sind es die Engines der Anti-Viren-Scanner sowie auch die manuelle Analyse durch Sicherheitsexperten, die es auszutricksen bzw. zu verhindern gilt. Im vorliegenden Artikel werden, stellvertretend für eine große Vielfalt unterschiedlichster Anti-Debugging-Techniken, einige wenige Beispiele herausgegriffen und erläutert. Zur Sprache kommen dabei das API-basierte Anti-Debugging, das hardwareund register-basierte Anti-Debugging sowie die so genannten TLS-Callbacks. Es handelt sich hier um abgewandelte Auszüge aus meiner Bachelor-Arbeit zum Thema Anti-Debugging-Techniken unter Windows-NT-basierten 32-Bit-Betriebssystemen - und selbstverständlich nur um einen Bruchteil dessen, was in der Praxis an Anti-Debugging-Techniken zum Einsatz kommt. Ziel ist es zu zeigen, wie komplex, vielfältig und interessant die Thematik sein kann. Zur vertiefenden Lektüre sei Interessierten vor allem die englischsprachige Abhandlung Anti-Debugging A Developers View von Tyler Shields empfohlen. Dort nimmt Shields eine ausführliche Kategorisierung der existierenden Techniken vor und beschreibt viele von ihnen im Detail. Zusätzlich enthält die Anti-unpacker tricks -Artikelserie von Peter Ferrie einige sehr ungewöhnliche und spannende Tricks und bietet somit eine gute Ergänzung zu Shields. API-basiertes Anti-Debugging Beim Einsatz von Windows-API-Funktionen zu Anti-Debugging-Zwecken muss zwischen regulären Win-API-Funktionen sowie solchen aus der so genannten Native API unterschieden werden (wobei erstere häufig auch auf letztere zugreifen). Funktionen der Native API sind zumeist wesentlich schlechter dokumentiert, was mögliche Gegenmaßnahmen oft weniger offensichtlich und die Umgehung der Techniken schwieriger macht. Auch ist in einigen Fällen aufgrund der fehlenden Dokumentation erst einmal gar nicht wirklich klar, was da passiert und warum. Zu beiden APIs liefere ich im Folgenden einige Beispiele. 5 1/2013

6 Anti-Debugging-Techniken vilegien und ohne Zugriff auf Elemente des Kernel (Ring 0) arbeiten. Zu den Rückgabewerten heißt es in der Dokumentation des MSDN: If the current process is running in the context of a debugger, the return value is nonzero. If the current process is not running in the context of a debugger, the return value is zero. Intern liest IsDebuggerPresent einen Wert aus einem Feld des Process Environment Block (PEB) aus. Der PEB ist eine Datenstruktur, welche bei jedem Start eines neuen Prozesses erzeugt wird und sich dann im virtuellen Adressraum des zugehörigen Prozesses befindet. Das betreffende, für den Debug-Prozess relevante Feld heißt BeingDebugged. IsDebuggerPresent ist keine Anti-Debugging-Funktion per se, sondern dient vor allem dazu, während der Entwicklung eines Programms dessen Verhalten im Debugger gezielt zu beeinflussen. So kann auf einen positiven Rückgabewert (= 1) beispielsweise der Aufruf von OutputDebugString() folgen, einer Funktion, welche das Anzeigen benutzerdefinierter Strings im Debugger bzw. in speziellen Programmen wie DebugView ermöglicht. Die Abfrage eines Passworts oder einer Seriennummer könnte aus praktischen Gründen im Rahmen des Entwicklungsprozesses ebenso entfallen (wobei es fatal wäre, in der finalen Version das Entfernen/Auskommentieren der Funktionsaufrufe zu vergessen). Sofern die Funktion zum Anti-Debugging verwendet wird, folgt auf einen Aufruf von IsDebuggerPresent und einen positiven Rückgabewert typischerweise ein Aufruf von ExitProcess(), um das Programm mitsamt aller laufenden Threads zu beenden. Alternativ wäre auch ein Szenario denkbar, bei dem im Falle eines positiven Rückgabewertes der Programmablauf geändert würde, um den Reverse Engineer auf eine falsche Fährte zu führen. IsDebuggerPresent ist recht einfach zu umgehen, indem man den stets im Register EAX auftauchenden Rückgabewert von 0 nach 1 ändert; alternativ lässt sich auch das BeingDebugged- Feld direkt modifizieren. In der Praxis taucht IsDebuggerPresent meist in Kombination mit weiteren Anti-Debugging-Maßnahmen auf, da die Funktion für sich allein gesehen kaum Sicherheit vor einer Analyse bietet und ihr Rückgabewert leicht manipuliert werden kann. CheckRemoteDebuggerPresent Es ist auch möglich, aus dem Kontext einer weiteren Programmkomponente zu überprüfen, ob ein Programm gedebuggt wird oder nicht. Zu diesem Zwecke dient die ebenfalls in der dll kernel32.dll enthaltene Funktion CheckRemoteDebuggerPresent. Die zu übergebenden Parameter sind einerseits die Handle-ID des Prozesses, der überprüft werden soll und andererseits eine (boolesche) Variable, in welche der Rückgabewert TRUE oder FALSE (1 oder 0) geschrieben wird. Auch in diesem Fall wird der Wert von BeingDebugged aus dem PEB (in diesem Fall aus dem PEB des entfernten Prozesses) ausgelesen. OpenProces Ebenfalls kernel32.dll entstammt die Funktion OpenProcess, welche, je nach übergebener Prozess-ID, ein offenes Handle (also einen Objektschlüssel/eine Referenz) zum laufenden Prozess zurückgibt. HANDLE WINAPI OpenProcess( in DWORD dwdesiredaccess, in BOOL binherithandle, in DWORD dwprocessid ); dwprocessid legt die Prozess-ID fest. Während binherithandle für die Thematik des Anti-Debugging nicht relevant ist (es legt fest, ob neu erzeugte Prozesse das Handle erben und kann auf FALSE gesetzt werden), legt dwdesiredaccess die gewünschten Zugriffsrechte fest. Während der Ausführung wird gegengeprüft, ob der aufrufende Prozess berechtigt ist, den zweiten Prozess mit den gewünschten/übergebenen Rechten zu öffnen; ist dies nicht der Fall, so wird statt des Handles NULL zurückgegeben. Weiter heißt es bei MSDN zum Parameter dwdesiredaccess: If the specified process is the Idle process or one of the CSRSS processes, this function fails and the last error code is ERROR_ACCESS_DENIED because their access restrictions prevent user-level code from opening them. Abb. 1: Beispiel für OpenProcess 6

7 Hakin9 Aber: If the caller has enabled the SeDebugPrivilege privilege, the requested access is granted regardless of the contents of the security descriptor. Die Kombination dieser beiden Fakten ist der Schlüssel zur Verwendung von OpenProcess als Anti-Debugging-Methode: Anwendungen, die im Kontext eines Debuggers laufen, erhalten nämlich automatisch das oben erwähnte Privileg - das sie als gewöhnliche Programme im User-Mode nicht hätten. Ist der Aufruf von OpenProcess mit den Parametern PRO- CESS_ALL_ACCESS sowie der ID eines CSRSS-Prozesses (csrss.exe) erfolgreich, d.h. wird nicht NULL, sondern ein offenes Handle zurückgegeben, so läuft der Prozess in einem Debugger (siehe Abbildung 1). NtSetInformationThread / ZwSetInformationThread Im Hinblick auf die nachfolgend beschriebenen nativen API- Funktionen muss bemerkt werden, dass viele Funktionen sowohl mit dem Präfix Nt als auch mit dem Präfix Zw existieren. Ein bereits 2003 veröffentlichter Artikel aus dem NT Insider erläutert, dass Funktionen mit den Präfixen Nt bzw. Zw zumindest bei Aufrufen aus dem User-Mode gleichwertig behandelt werden können, da sie beide auf dieselbe Speicheradresse in ntdll.lib verweisen. In MSDN findet sich bei der Dokumentation von Nt - und Zw -Funktionen mehrfach die Aussage, dass beide zwei verschiedene Versionen ein und derselben nativen Windows System Services-Routine darstellen. Zwar widersprechen die Ausführungen im NT-Insider-Artikel dem Statement, beide Funktionsaufrufe würden identisch behandelt; da deren detaillierte Differenzierung jedoch den Rahmen der vorliegenden Arbeit sprengen würde, werden Aufrufe mit Nt bzw. Zw in diesem und den folgenden Kapiteln gleichwertig bzw. gemeinsam behandelt. Kommen wir nun jedoch zu NtSetInformationThread bzw. ZwSetInformationThread. Zugrunde gelegt wird hier die MS- DN-Dokumentation von ZwSetInformationThread, nach der die ursprüngliche Bestimmung der Funktion die Rückgabe der Priorität eines Threads ist. Die Syntax ist die Folgende: NTSTATUS ZwSetInformationThread( in HANDLE ThreadHandle, in THREADINFOCLASS ThreadInformationClass, in PVOID ThreadInformation, in ULONG ThreadInformationLength ); Soll ZwSetInformationThread als Anti-Debugging-Technik angewendet werden, so ist der erste zu übergebende Parameter die Handle-ID des Debugger-Threads. Zum zweiten Parameter liefert MSDN keine brauchbaren Hinweise. In Anti-Debugging A Developers View heißt es jedoch in Bezug auf NtSetInformationThread, welches dieselben Parameter wie ZwSetInformationThread übergeben bekommt: Of interest to us for anti-debugging purposes are the first and second parameters, which contain the target handle and the ThreadInformationClass constant. By setting this constant to 0x11 (ThreadHideFromDebugger) and submitting the call we can disconnect a debugger from our running process. Das Setzen der letzten zwei Parameter auf 0 bewirkt also eine Abkopplung des Prozesses vom Debugger. NtYieldExecution / ZwYieldExecution Bei NtYieldExecution handelt es sich um eine durch Microsoft völlig undokumentierte Funktion aus ntdll.dll, welche unter anderem von Peter Ferrie (Anti-unpacker tricks - part one, erschienen im Virus Bulletin 12/08) sowie von einem Autor mit dem Nicknamen gabri3l im ARTeam E-Zine (Ausgabe 2/06) beschrieben wurde. Ein Aufruf von NtYieldExecution soll den laufenden Thread dazu veranlassen, einem beliebigen anderen im Scheduler gelisteten Thread eines laufenden Prozesses die Nutzung der CPU zu überlassen. In der Wine API, einer Open Source-Implementation der Windows-API, findet sich folgender Quellcode für NtYield- Execution: NTSTATUS WINAPI NtYieldExecution(void) { #ifdef HAVE_SCHED_YIELD sched_yield(); return STATUS_SUCCESS; #else return STATUS_NO_YIELD_PERFORMED; #endif } Abb 2: Beispiel für ZwYieldExecution 7 1/2013

8 Anti-Debugging-Techniken Es existieren also, abhängig davon, ob es möglich ist, einem anderen Thread CPU-Zeit zu überlassen oder nicht, zwei mögliche Rückgabewerte, welche laut Wine API die Folgenden sind: #define STATUS_NO_YIELD_PERFORMED #define STATUS_SUCCESS 0x x Da beim Single-Stepping, also der Ausführung eines Programms in Einzelschritten, wie es im Debugger möglich ist, jeder Schritt ein Debug-Event mit sich bringt, ist der entsprechende Thread ständig auf der Warteliste. Ruft man NtYieldExecution also im Rahmen einer Schleife mehrfach auf und bekommt jedes Mal eine STATUS_SUCCESS- Meldung zurück, so ist es sehr wahrscheinlich, dass die Anwendung im Kontext eines Debuggers läuft. Abbildung 2 zeigt ein Beispiel für die Implementierung der Funktion. Im Beispiel wird ZwYieldExecution insgesamt fünfzehnmal und jedes Mal mit einer Verzögerung von 15 Millisekunden aufgerufen. Ist das Ergebnis eines der Aufrufe ungleich 0, was STATUS_NO_YIELD_PERFORMED entspricht, so wird der Wert von ESI, der ursprünglich 0 ist, jeweils um 1 erhöht. Nach der 15ten Wiederholung wird getestet, ob ESI noch immer 0 ist ist dies der Fall, so wird die Nachricht Debugger detected ausgegeben. Hardware- und register-basiertes Anti-Debugging Anders als Sofware-Breakpoints bringen Hardware-Breakpoints keine Modifikationen des Codes mit sich. Für sie stehen stattdessen insgesamt acht spezielle 32-Bit Debug-Register zur Verfügung: DR0 bis DR7. Ein Auszug aus der Struktur des Abb. 3: Aufbau der Debug-Register. 8

9 Hakin9 Registers ist in Abbildung 3 zu sehen. Da nur die Register DR0 bis DR3 zum Speichern der entsprechenden linearen Adressen vorgesehen sind und jedes der 32-Bit-Register nur eine Adresse aufnehmen kann, können jedoch jeweils nur vier Hardware-Breakpoints gesetzt werden. Je nachdem ob ein bestimmtes Flag gesetzt ist oder nicht, werden DR4 und DR5 entweder synonym mit DR6 und DR7 verwendet, oder aber es wird beim Zugriff eine Invalid Opcode -Ausnahme ausgelöst. Bei DR6 handelt es sich um ein Status-Register, in welchem jeweils die Bedingungen gespeichert werden, die herrschten, als die letzte Debug-Exception auftrat. Das Debug-Kontroll-Register DR7 schließlich enthält Informationen über die in DR0 bis DR3 gespeicherten Hardware-Breakpoints. Landet man im Debugger nun an einer der in den Registern gespeicherten Adresse, so wird eine so genannte Single-Step Exception (INT 1) ausgelöst. Der für den Benutzer sichtbare Effekt ist derselbe wie im Falle eines Software-Breakpoints, d.h. das laufende Programm hält in der Ausführung bei der Adresse, an welcher der Breakpoint gesetzt wurde. Adressiert werden können die Debug-Register über eine so genannte Context Structure, deren erstes Element das Feld ContextFlags ist. Eine mögliche Methode, um Hardware-Breakpoints ausfindig zu machen, ist die Verwendung der Funktion GetThread- Context. Bei MSDN heißt es zu GetThreadContext: The function retrieves a selective context based on the value of the ContextFlags member of the context structure. Weist man ContextFlags nun vor dem Aufruf CONTEXT_ DEBUG_REGISTERS zu, so erhält man als Rückgabewert von getthreadcontext die gewünschten Registerinhalte nämlich die der Debugregister DR0 bis DR3 und kann so überprüfen, ob Hardware-Breakpoints gesetzt wurden oder nicht. Josh Jackson liefert in seinem Anti-Reverse Engineering Guide folgende Implementierung dieser Methode: int CheckHardwareBreakpoints() { unsigned int NumBps = 0; CONTEXT ctx; ZeroMemory(&ctx, sizeof(context)); ctx.contextflags = CONTEXT_DEBUG_REGISTERS; HANDLE hthread = GetCurrentThread(); if(getthreadcontext(hthread, &ctx) == 0) } return -1; if(ctx.dr0!= 0) ++NumBps; if(ctx.dr1!= 0) ++NumBps; if(ctx.dr2!= 0) ++NumBps; if(ctx.dr3!= 0) ++NumBps; return NumBps; Eine zweite Variante beinhaltet statt des Ausesens der Register deren Manipulation: Vorhandene Speicheradressen sowie weitere Inhalte aus allen Debug-Registern werden gelöscht (auf 0 gesetzt) und die Hardware-Breakpoints auf diese Weise gelöscht. TLS-Callbacks Anders als lokale Variablen, welche stets auf dem Stack des jeweiligen Threads gespeichert werden und somit für andere Threads nicht ansprech- bzw. manipulierbar sind, besitzen globale und statische Variablen normalerweise festgelegte virtuelle Adressen. Dies birgt die Gefahr, dass mehrere Threads parallel auf die dort gespeicherten Daten zugreifen und diese manipulieren. Um Threadsicherheit zu gewährleisten, ermöglicht der so genannte lokale Threadspeicher (engl. Thread Local Storage, kurz: TLS), die Verwendung so genannter thread-lokaler Variablen in einem Programm. Jede globale bzw. statische Variable genauer: Jedes Datenobjekt- erhält im Kontext eines bestimmten Threads einen eigenen Speicherbereich. Zur Laufzeit können dort gespeicherte Variablenwerte bzw. thread-spezifische Daten durch Aufrufe der API-Funktionen TlsGetValue und TlsAlloc abgerufen oder um weitere so genannte TLS- Indices erweitert werden. In diesen können per TlsSetValue wiederum Daten gespeichert werden. TlsFree dient zum Entfernen einzelner Indices. TLS kann sowohl zur Laufzeit auf der Grundlage der aufgezählten API-Funktionen als auch mit Hilfe vordefinierter, programmiersprachenabhängiger Schlüsselwörter oder, im Falle von C/C++, auf Compiler-Ebene implementiert werden. Letztere Möglichkeit ist relevant fürs Anti-Debugging. Realisiert wird TLS durch Zugriffe auf den bereits aus einigen vorangegangen Kapiteln bekannten Thread Environment Block. Wie bereits erläutert wurde, besitzt jeder Thread einen eigenen TEB, dessen Adresse im File Segment Register ge- Abb. 4: Entrypoint-Liste in IDA mit TLS-Callback-Funktion. 9 1/2013

10 Anti-Debugging-Techniken Abb. 5: Dialogfenster in Olly 2.x speichert ist (FS:[0]). An Offset 0x2C findet sich ein Zeiger auf den so genannten Thread Local storage table, der auch als TLS array bezeichnet wird. Dazu heisst es in der Microsoft Portable Executable and Common Object File Format Specification: The TLS array is an array of addresses that the system maintains for each thread. Each address in this array gives the location of TLS data for a given module (EXE or DLL) within the program. The TLS index indicates which member of the array to use. Über ein und denselben TLS-Index können nun mehrere Threads ein und dasselbe Daten-Objekt ansprechen, verwenden und manipulieren und kommen sich dabei aufgrund der Nutzung unterschiedlicher, in ihrem jeweiligen TLS-Array definierter Speicherbereiche, nicht in die Quere. Interessant für das Anti-Debugging ist nun die Tatsache, dass für jedes TLS-Datenobjekt eine oder auch mehrere so genannte TLS-Callback-Funktionen definiert werden können, die als Array in einem Feld der jeweiligen TLS-Struktur gespeichert sind. Diese Rückruffunktionen werden vor dem eigentlichen, im PE-Header definierten Einsprungspunkt des Programms ausgeführt. Da in einem Debugger für gewöhnlich die Code-Analyse erst mit dem Erreichen des Einsprungspunktes beginnt, können vorher diverse Anti-Debugging-Maßnahmen ergriffen werden; im Falle von Malware kann sogar die Infektion des Systems innerhalb einer Callback-Funktion erfolgen. Der Disassembler und Debugger IDA Pro zeigt in seiner Entryppoint-Liste jegliche TLS-Callback-Funktionen samt Adressen an (siehe Abbildung 4). Auch die Version 2.x des populären Debuggers OllyDbg, die sich aktuell noch in der Beta-Phase befindet, verfügt über ein Dialogfenster, in welchem sich eine TLS-Callback-Funktion statt dem normalen Einsprungspunkt als gewünschte Startpunkte angeben lässt, sofern diese zuerst ausgeführt wird (siehe Abbildung 5). Diese Funktionalität erreicht jedoch ihre Grenzen, sobald mehr als eine TLS-Callback-Funktion vorhanden ist; jeder weitere Callback nach dem Ersten wird nämlich nicht beachtet. Daher empfiehlt es sich in jedem Falle, zunächst zumindest eine statische Analyse in IDA Pro durchzuführen, um anschließend einen Breakpoint auf die Startadressen der entsprechenden Funktionen setzen zu können. Olivia von Westernhagen hat Medieninformatik studiert und zusätzlich die Prüfung zum Certified Reverse Engineering Analyst (CREA) abgelegt. Sie arbeitet als Malware-Analystin für Doctor Web Deutschland GmbH; dort ist sie für die statistische Erhebung und Evaluierung aktueller Virenbedrohungen zuständig und verantwortet die manuelle Analyse ausgewählter Malware-Samples. Für hakin9 schreibt sie regelmäßig über die von ihr durchgeführten Analysen. Die Autorin freut sich über Feedback und kann über Twitter und Xing kontaktiert werden. 10

11

12 Hakin9 Werbung oder Spionage? Analyse der Adware Sanctioned Media Olivia von Westernhagen Lästige Werbebanner werden häufig durch so genannte Adware oder Spyware verursacht, die im Installationspaket mit legitimen Programmen, oft aber auch völlig unbemerkt auf den PC gelangt. Sie sammelt Informationen über unsere Surf-, Klick- und Kaufgewohnheiten, um uns anschließend als potenziellen Kunden die passende Werbung vorzusetzen. Doch welche Informationen werden gesammelt, und werden diese wirklich nur für personalisierte Ads verwendet? Der vorliegende Artikel zeigt am Beispiel der.net-basierenden Malware Sanctioned Media, wie fließend die Grenzen zwischen Werbung und Spionage sein können. Unter dem Begriff Adware versteht man üblicherweise ein Programm, das dem Zweck dient, in Browsern oder Programmen Werbeanzeigen einzublenden bzw. entsprechende Pop-Ups zu öffnen. Adware kann auch funktionale Software sein, die Werbung einblendet, z.b. im Falle von Toolbars oder einiger Instant Messaging-Programme. Fließend ist der Übergang zur Spyware; laut Wikipedia handelt es sich hierbei um Software, die Daten eines Computernutzers ohne dessen Wissen oder Zustimmung an den Hersteller der Software [...] sendet oder dazu genutzt wird, dem Benutzer über Werbeeinblendungen Produkte anzubieten. Wirft man einen detaillierteren Blick auf die Software Sanctioned Media, so wird man schnell feststellen, dass letztere Definition zutrifft. Zumindest im Falle des hier analysierten Samples werden ohne Wissen und Zustimmung des PC-Nutzers Daten zum Zwecke personalisierter Werbung gesammelt und gesendet. Welche Daten im Einzelnen an die Server gesendet und in welcher Weise diese anschließend verwendet werden, werde ich ausführlich erklären und anhand einiger Beispiele demonstrieren. Zunächst einmal jedoch stellt sich die Frage, auf welchem Wege Sanctioned Media überhaupt auf den PC gelangt. Dazu vergleiche ich die Angaben auf der Internetpräsenz von Sanctioned Media mit dem tatsächlichen Verbreitungsweg. Auf eine kurze Analyse des Droppers folgt die statische und dynamische Analyse der eigentlichen Adware. Interessierte Leser können beide Dateien vom haking.eu-server herunterladen; das Passwort zum Archiv lautet infected. Das Wissen darum, dass es sich hier um Schadsoftware handelt, die das System manipulieren kann und die nur in einer virtuellen Maschine ausgeführt werden sollte, ist Mindestvoraussetzung für eine verantwortungsvolle und erfolgreiche Analyse. Viel Spaß dabei! Sanctioned Media eine seriöse Software? Unter sanctionedmedia.com findet man sowohl eine Übersicht der Funktionsweise der Software als auch einen Lizenzvertrag und eine Datenschutzerklärung. Offen wird auf der Startseite geschildert, dass das Programm nach der Installation kontextbasierte Anzeigen anhand in den Browser eingegebener URLs einblendet angeblich maximal 3mal täglich. Hierzu werden 12 1/2013

13 Werbung oder Spionage? Abbildung 1: Die Startseite von sanctionedmedia.com Daten gesammelt und an die Server von Sanctioned Media gesendet, der die entsprechenden Ads zurückgibt. Zudem erfährt man, wenn auch nicht im Rahmen eines ordentlichen Impressums, dass hinter Sanctioned Media eine Firma namens White Paw Products steckt. Auf deren Website whitepawproducts.com wiederum wird erwähnt, dass monatlich 10 % der Werbeeinahmen, die mit Sanctioned Media erzielt werden, für humanitäre Zwecke eingesetzt würden. Dies alles weckt erst einmal Vertrauen und Sympathie. Wichtig ist daher, kritisch zu überprüfen, ob bzw. inwieweit die beschriebene Funktionsweise mit der Realität übereinstimmt und ob Lizenzvertrag und Datenschutzerklärung auch wirklich eingehalten werden. Abbildung 2: Der zweite Redirect, der zum Download des Archivs führt. 13

14 Hakin9 Drei wesentliche Punkte werden im Verlauf dieses Artikels überprüft werden: Hat der Benutzer eine Wahl bezüglich der Installation des Programms auf seinem PC? Dies würde voraussetzen, dass er im Rahmen einer Installationsroutine von der Installation in Kenntnis gesetzt wird und diese ablehnen kann. Welche privaten Daten werden während der Installation und Programmausführung gesammelt, und werden diese wirklich nur an die Server von Sanctioned Media gesendet? Dies zumindest wird in der Datenschutzerklärung behauptet. Lässt sich Sanctioned Media tatsächlich in jedem Fall problem- und vor allem rückstandslos deinstallieren? Infektionsherd Eisdiele Der im vorigen Abschnitt aufgeführte erste Punkt nämlich die Freiwilligkeit der Installation - setzt voraus, dass Sanctioned Media im Bundle mit anderer Software installiert und im Kontext eines Installationsmenüs abgewählt werden kann. Tatsächlich scheint dies bei einigen Versionen der Fall zu sein: Bemüht man eine Suchmaschine, so finden sich einige Beschreibungen der Adware, in denen diese zusammen mit legitimen Programmen wie z.b. Bildschirmschonern installiert wird. Im vorliegenden Fall jedoch, auf den mich einer der Moderatoren des bekannten Malware-Entfernungs-Forums trojaner-board.de aufmerksam machte, wollte ein betroffener Forumsnutzer eigentlich nur ein Eis essen. Unbedarft gab er bei Google eine bestimmte Begriffskombination ein, um eine Eisdiele in einer bestimmten Stadt zu finden. Beim Klicken auf den ersten Link in der Ergebnisliste dürfte dem Eis-Fan die Vorfreude jedoch im Halse stecken geblieben sein: Sofern ein Google-Referer gesetzt ist, leitete die gehackte Eisdielen-Seite nämlich auf einen weiteren, vermutlich ebenfalls gehackten, Server um, der seinerseits auf einen dritten Server weiterleitete. Dieser nun bot dem Nutzer ein Zip-Archiv namens goog1e_gelato_bt.zip an, welches eine gleichnamige.exe-datei enthielt. Ob besagter Nutzer diese nun ausführte oder nicht, ist mir nicht bekannt; sollte er es getan haben, hätte er es jedenfalls mit einem Dropper zu tun bekommen, der seinerseits die Spyware Sanctioned Media heruntergeladen hätte. Folgende Verbindungen wurden im Falle eines erfolgreichen Downloads geführt: Abbildung 3: 33 von 44 Scannern erkennen den Dropper als Malware. 14 1/2013

15 Werbung oder Spionage? Anfrage: GET Antwort: HTTP/ Found -> js&a= &dpid= &fpc=bt6sjsj_%7cmtsf83fmaa%7cfses % 3D%7CpEzdcLfMaa%7CBT6SjSJ_%7Cf- vis %3d%7c8mt8100m8m%7c8mt- 8100M8M%7C8MT8100M8M%7Cs%7C8MT8100M8M% 7C8MT8100M8M&ittidx=0&flv=Shockwave%20Flash% %20r102&n=-7&g=en-US&h=N&j=1280x720&k=24&l= true&f=http%3a%2f%2fwww.[platzhalter].de%2f&b=hamil%20akibat%20pergi%20ke%20warung%20pakai%20 Handuk%20-%20Yahoo!%20News%20Indonesia&enc=U- TF-8&e=http%3A%2F%2Fwww.[platzhalter].de%2F&d=- Mon%2C%2009%20Jul%202012%2004:35:27%20GMT Anfrage: GET pl?v= js&a= &dpid= &fpc=BT6SjSJ_%7Cmtsf83fMaa%7Cfses %3D%7CpEzdcLfMaa%7CBT6SjSJ_% 7Cfvis %3D%7C8MT8100M8M%7C8MT- 8100M8M%7C8MT8100M8M%7Cs%7C8MT8100M- 8M%7C8MT8100M8M&ittidx=0&flv=Shockwave%20Flash% %20r102&n=-7&g=en-US&h=N&j=1280x720&k=24&l=tru e&f=http%3a%2f%2fwww.[platzhalter].de%2f&b=hamil%20 Akibat%20Pergi%20ke%20Warung%20Pakai%20Handuk%20 -%20Yahoo!%20News%20Indonesia&enc=UTF-8&e=http%3A%2F%2Fwww.[platzhalter].de%2F&d=Mon%2C%20 09%20Jul%202012%2004:35:27%20GMT Antwort: HTTP/ Found -> com Anfrage: GET Antwort: Der Zipfiledownload ( goog1e_gelato_bt.zip ) Pro IP-Adresse wurde der Download nur ein einziges Mal ausgeführt, während bei einem zweiten Klick auf den Link auf die korrekte Internetseite weitergeleitet wurde. Bei einem nächsten ersten Versuch wurde nach erneutem Öffnen des Browsers zu Google zurückgeleitet. Diese Tatsache macht es relativ unwahrscheinlich, dass den Betreibern der Eiscafé-Seite in naher Zukunft aufgefallen wäre, dass ihr Server gehackt wurde zumal sie selbst und auch Freunde und Bekannte vermutlich ohnehin eher den direkten Weg auf ihre Website statt die Suche über Google bevorzugen. Mittlerweile wurden sie jedoch informiert. Der heruntergeladene Dropper, welcher Sanctioned Media installiert, ohne den Nutzer im Rahmen einer Installationsroutine um Erlaubnis zu fragen, wird im nachfolgenden Abschnitt zusammenfassend beschrieben. Hierbei wurden hauptsächlich Details beachtet, die direkt mit der Installation in Verbindung stehen. Mehr als nur ein Dropper goog1e_gelato_bt.exe mit der MD5-Prüfsumme 2d9ad 58a7b2bda0c29cbc9ffcab9ff6b wurde in C++ geschrieben und mit MS Visual Studio in Version 6.0 kompiliert. Das Sample verfügt über einen Custom Verschlüsselungslayer und ist im Inneren zusätzlich mit UPX gepackt. Diese Geheimniskrämerei hat gute Gründe, haben wir es doch nicht nur mit einem simplen Dropper, sondern mit einem Trojaner mit eigenen Schadfunktionen zu tun. Im Vordergrund steht hierbei das Sammeln von Informationen, beispielsweise über die Prozessorarchitektur, Betriebssystem-Version und Windows Product-ID, den NetBIOS-Namen, die BIOS-Version, das verwendete Dateisystem, den freien Speicherplatz auf der Festplatte, Adminrechte des Nutzers, eingegebene URLs und kürzlich betrachtete Dokumente. Verwendet werden zu diesem Zweck meist native und teils recht exotische API-Funktionen wie ntdll.versetconditionmask in Kombination mit kernel32.verifyversioninfo, kernel32.get- VolumeInformation und GetVolumeNameForVolumeMount- Point, kernel32.globalmemorystatusex und GetFreeDiskSpaceEx. Unter anderem werden auch Werte aus den Registrykeys HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ RecentDocs, HKCU\Software\Microsoft\Internet Explorer\TypedURLs und SOFTWARE\Microsoft\Windows NT\Current Version ausgelesen. Zum Teil werden die gewonnenen Informationen für Anti- Debugging- und Anti-VM-Zwecke genutzt; zum Teil wurden sie jedoch auch in verschlüsselter Form an die hardgecodete IP gesendet, die mittlerweile offline ist. Das Nachladen personalisierter, optimal auf das übermittelnde System abgestimmter Malware an dieser Stelle mehr als wahrscheinlich. Bekräftigt wird diese Annahme noch durch die Tatsache, dass der Dropper unter Verwendung der Funktionen ResetSR und DisableSR aus srclient.dll alle Systemwiederherstellungspunkte löscht und das Erstellen künftiger Punkte deaktiviert. Auch die Information über den Erfolg oder Misserfolg dieser Aktion wird an den entfernten Server zu übermitteln versucht. Eine DNS-Anfrage seitens der Malware zur Domain intohave. com sowie auch die bei einem VirusTotal-Scan der Datei angezeigten Aliases zeigen, dass wir es hier mit einer Malware zu tun haben, die auch als Pirminay oder Ponmocup bekannt ist. Weitere Ausführungen hierzu würden Rahmen und Thematik dieses Artikels sprengen; interessierte Leser können auf eigene Faust analysieren, recherchieren und beispielsweise unter weitere Informationen zu diesem Trojaner finden. Einige der Informationen legen die Existenz eines Ponmocup-Botnetzes nahe; eine eingehendere Betrachtung des Samples lohnt mit Sicherheit. Doch nun weiter mit der Sanctioned-Media-Analyse. Für Leser, die noch immer nicht an der Seriosität der Adware zweifeln, sei an dieser Stelle festgehalten, dass das Übermitteln von Nutzerdaten an einen Server, der nicht zur Firma White Paw Products gehört, gegen die auf der Internetpräsenz aufgeführten Datenschutzerklärung verstößt. Die Sanctioned-Media-Adware wird unter zufälligem Namen in den system32-ordner kopiert, bevor ein entsprechender Autostart-Eintrag unter Software\Microsoft\Windows\Current- Version\Policies\Explorer\Run angelegt und die Adware per CreateProcess gestartet wird. Der Dropper löscht sich anschließend selbst per Batch-File. Leicht durchschaubar: Sanctioned Media Wenden wir uns nun Sanctioned Media selbst zu, das im Archiv unter dem Namen c_949z.exe zu finden ist. Die 146,5 KB große Executable mit der MD5-Prüfsumme ce664510fb7a06dcbae6eaaf47ef5e85 wurde unter Verwendung der.net-plattform umgesetzt. Mögliche Programmiersprachen sind also beispielsweise C#, C++/CLI, Visual Basic.NET, J# oder auch F#. Die Tatsache, dass zum Ausführen das.net Framework (hier in Version 4.0) benötigt wird, macht das Entdeckt werden der ausgeführten Malware auf Betriebssystemversionen vor Windows Vista recht wahrscheinlich, sofern das.net Framework nicht bereits in anderem Zusammenhang installiert wurde. Ab Windows Vista sind die.net-laufzeitumgebung und die zugehörigen Komponenten wie Bibliotheken und Services 15

16 Hakin9 Stattdessen kommen Programme zum Einsatz, die das Modell der Reflexion nutzen. Mittels der Reflection-API kann ein Programm seine eigenen Metadaten zur Laufzeit sehen und zurückgeben. Tools wie.net Reflector oder auch die kostenlose Open-Source-Alternative ILSpy ermöglichen es, wie in einem Browserfenster durch die Klassen und Methoden einer Executable zu blättern ; auch die Ressourcen und XML-Dokumentation sind verfügbar. Abhängigkeiten bzw. Zusammengehörigkeit werden dabei in einer Baumstruktur deutlich und können gezielt analysiert werden. Im kostenfreien ILSpy kann der Programmcode kann wahlweise in C#, VB.NET oder Common Intermediate Language betrachtet werden, während.net Reflector noch weitere Sprachen (z.b. F#, Oxygene) anbietet. Abbildung 4: Das.NET-Basisprinzip. Quelle: Wikipedia (http:// de.wikipedia.org/w/index.php?title=datei:net_basisprinzip_ext.svg) fester Bestandteil des Betriebssystems; diese Tatsache wird.net in naher Zukunft für Malware-Autoren immer interessanter machen. Im vorliegenden Fall allerdings müssen Analysten keinen großen Aufwand betreiben; das Sanctioned Media-Sample ist weder gepackt noch irgendeiner Form obfuskiert, obwohl für.net eine Vielzahl entsprechender Tools angeboten wird..net-code, der zunächst in eine Zwischensprache namens Common Intermediate Language (CIL) übersetzt und erst beim Ausführen innerhalb der Laufzeitumgebung kompiliert wird, lässt sich mit herkömmlichen Reverse-Engineering-Tools wie z.b. IDA Pro oder OllyDbg nicht analysieren. Programmstruktur Das Programm enthält zwei getimte Events, die direkt oder indirekt für den Aufruf fast aller übrigen Methoden verantwortlich sind. Zum einen handelt es sich hierbei um die stündlich ausgeführte Updatemethode UpdateCheck(), zum anderen um eine Methode namens OnTimedEvent(), die alle 5 Minuten Logdaten und gesammelte Informationen an zwei verschiedene Server sendet und folglich auch den Aufruf aller Methoden auslöst, die für das Sammeln bzw. Loggen verantwortlich sind. Basierend auf diesen Informationen werden Ads empfangen, die anschließend in gehookten Browsern angezeigt werden. UpdateCheck() ruft checkfornewversion() auf; unter wird nach neuen Versionen der Adware gesucht. version2.xml hat folgende Struktur: <?xml version= 1.0 encoding= utf-8?> <Smad> <version> </version> <url>http://www.sanctionedmedia.com/prot54.exe</url> </Smad> Abbildung 5: Ausschnitt aus der Update-Methode in C#-Darstellung in ILSpy. 16 1/2013

17 Werbung oder Spionage? Die Versionsangabe im XML wird mit der aktuellen Version verglichen; ist sie größer, so wird die Datei heruntergeladen, unter dem Namen Up.exe im aktuellen Verzeichnis gespeichert und anschließend ausgeführt. OnTimedEvent() ruft die Methode SendData() mit zwei Parametern auf; der erste Parameter ist der Name des Browsers, aus dem der zweite Parameter, nämlich die zuletzt eingegebene URL, ausgelesen wurde. Zum Gewinnen letzterer Information steht eine recht komplexe Klasse namens URLGrabber zur Verfügung, deren Methoden dazu dienen, URLs aus den Browsern Internet Explorer, Opera, Chrome, Navigator, Safari und Firefox auszulesen. SendData() wiederum führt einen HTTP GET-Request zu durch; folgende Parameter werden hierbei übergeben: uid=, &pid=, &ver= : Alle drei Werte werden aus gleichnamigen Registry-Werten ausgelesen, die theoretisch unter HKEY_CURRENT_USER\Software\MSRebar\SysVer gespeichert sein sollten. Im Falle der Installation durch unseren Dropper existiert dieser Key jedoch nicht. Dies zeigt, dass es auch eine andere, reguläre Art der Installation geben muss. &ua= : Der verwendete User Agent (siehe erster an SendData() übergebener Parameter). &os= : Die Betriebssystemversion samt Servicepack und Zielprozessorarchitektur; diese wird von Methoden der Klasse SmadOS bestimmt. &url= : Die zuletzt eingegebene URL (siehe zweiter an SendData() übergebener Parameter). Der Server liefert nun entweder den Satz nothing to pop zurück, oder aber Parameter für die Werbeeinblendung Titel, Link, Breite und Höhe bzw. modale Größe - in einer XML-Datei. Diese Parameter werden von der Methode Adserver() ausgelesen und an RunAd() im Kontext eines neuen Threads übergeben; es folgen weitere Methoden zum Anzeigen der Werbung im Browser. Die beiden Methoden LogEvent() und LogException() werden sowohl von verschiedenen Methoden als auch beim Beenden des Programms aufgerufen. Hier wird eine Reihe von Buchstaben und Zahlencodes zur Dokumentation von Events und Exceptions verwendet; die so erstellten Kombinationen werden in minimal 10-minütigen Intervallen an gesendet. Events können z.b. der Aufruf von SendData()(Zuordnung eines Buchstabens zu einem bestimmten User Agent) oder auch das Beenden des Programms(Zuordnung eines Buchstabens zu einem Beendigungsgrund, siehe Abbildung 6) sein. und die Deinstallation? Auf der Internetpräsenz von Sanctioned Media wird beschrieben, wie sich die Adware angeblich über den Software - Punkt im Systemsteuerungsmenü schnell und rückstandslos deinstallieren lässt. Tatsächlich enthält der Programmcode die Möglichkeit, per Übergabe eines uninstall -Kommandozeilenparameters entsprechende Funktionen aufzurufen; der Ablauf wäre dann wie folgt: Kopieren der eigenständigen, als Ressource enthaltenen Executeble smuninstall.exe in %temp%, dann Aufruf von process.start() unter Angabe des Pfad zu smuninstall.exe. Ausgabe einer Meldung: Are you sure you want to Uninstall MSRebar? Wenn ja : SmadUninstaller.StopSmad(): Beenden des laufenden Abbildung 6: Beispiel für den Einsatz von LogEvent(). 17

18 Hakin9 Abbildung 7: Die Main()-Methode in smuninstall.exe. Sanctioned Media-Prozesses unter Annahme von SysVer. exe als Default-Name. SmadUninstaller.DeleteRegistry(): Öffnen des Autostart-Subkeys HCKU\Software\Microsoft\Windows\CurrentVersion\Run, dort Löschen des Wertes SysVer. Der Uninstall-Registry-Key unter HKLM\Software\Microsoft\ Windows\CurrentVersion\Uninstall\SysVer wird ebenfalls gelöscht. SmadUninstaller.DeleteFiles(): Aufruf Directory.Delete() unter Angabe des Pfades %LOCALAPPDATA% \MSRebar\SysVer.exe. Ausgabe der Meldung Uninstall Complete. Fazit Zusammenfassend lässt sich sagen, dass die Adware Sanctioned Media im Falle einer bewussten Installation recht einfach zu deinstallieren ist und dass sich aus dem Programmcode kein Missbrauch der gesammelten Daten schließen lässt. Undurchsichtig mutet lediglich die Tatsache an, dass Updates ohne Benachrichtigung des Nutzers heruntergeladen und installiert werden; somit kann man nie ganz sicher sein, ob eine neue Version nicht auch neue, ungewollte Funktionen mit sich bringt. Neben der lästigen Werbung könnten wegen des ständigen Netzwerktraffics auch Performanceprobleme auftreten. Und dennoch: Im Normalfall hält die Adware das, was sie auf sanctionedmedia. com verspricht. Sehr bedenklich ist die Installation durch den Trojaner Ponmocup, welche offenbar ganz bewusst heimlich geschieht und eine manuelle Entfernung durch die zufällige Namensgenerierung fast unmöglich macht. Die eingangs vorgenommene Definition von Spyware trifft im Falle des Bundles Ponmocup/ Sanctioned Media eindeutig zu. Ob White Paw Products mit den Ponmocup-Autoren kooperiert, ist nicht klar geworden. Einerseits stellt sich die Frage, warum sie ausgerechnet diese Adware als Payload wählen sollten, wenn keinerlei Verbindung bestünde. Die Tatsache, dass dem Ponmocup-Team offenbar das Wissen darüber fehlt, welche Registrykeys für eine korrekte Sanctioned-Media-Ausführung notwendig sind (siehe Parameterliste im Abschnitt Programmstruktur ), legt andererseits nahe, dass die Verbindung so eng nicht sein kann. Die Analyse zeigt in jedem Fall, dass Adware nicht immer nur durch Unachtsamkeit bei Programminstallationen auf den PC gelangen muss- und dass Werbung und Spionage oft dicht beieinander liegen. Es empfiehlt sich eine regelmäßige Systemüberprüfung mit dem Anti-Viren-Programm Ihres Vertrauens. Mein Dank gilt Markus vom trojaner-board.de-team für seinen Hinweis auf diese interessante Malware-Kombination! Hier wird deutlich, dass die vollständige Deinstallation von Sanctioned Media im Falle einer gewöhnlichen Installation im Bundle mit einem anderen Programm sehr wohl möglich wäre. Im vorliegenden Fall jedoch, wo die Installation im system32-ordner unter zufälligen Namen stattfindet und kein Uninstall-Registrykey existiert, um das Programm in der Software-Liste anzuzeigen, nützt nicht einmal die Übergabe des uninstall-parameters per Kommandozeile. Hier kann im Grunde nur ein Anti-Viren-Programm zur Entfernung verwendet werden. Olivia von Westernhagen hat Medieninformatik studiert und zusätzlich die Prüfung zum Certified Reverse Engineering Analyst (CREA) abgelegt. Sie arbeitet als Malware-Analystin für Doctor Web Deutschland GmbH; dort ist sie für die statistische Erhebung und Evaluierung aktueller Virenbedrohungen zuständig und verantwortet die manuelle Analyse ausgewählter Malware-Samples. Für hakin9 schreibt sie regelmäßig über die von ihr durchgeführten Analysen. Die Autorin freut sich über Feedback und kann über Twitter und Xing kontaktiert werden. 18 1/2013

19 Hakin9 Harmlose Sensoren? Gefahr für die Privatsphäre abseits herkömmlicher Sensordaten-Interpretationen Dirk Bade Früher hantierten Ganoven und Agenten noch mit Peilsendern, versteckten Mikrofone und Kameras in fremden Wohnungen und beschatteten verdächtige Subjekte noch persönlich auf der Straße. Dank des technologischen Fortschritts lässt sich all dies heutzutage noch wesentlich subtiler bewerkstelligen. Warum sollte man sich noch selbst draußen die Hände schmutzig machen und eigene Geräte für Eingriffe in die Privatsphäre anderer Personen nutzen, wo sich doch Mobiltelefone als Sensorplattform zur umfassenden Fernüberwachung der Privatsphäre nahezu beliebiger Subjekte geradezu anbieten? Heutige Mobiltelefone sind mit einer Vielzahl an Sensoren ausgestattet: Kamera, Mikrofon, GPS, Helligkeits-, Näherungs- und Beschleunigungssensoren, Gyroskop, Kompass, Barometer, NFC, W-LAN und Bluetooth, ganz zu schweigen von beliebigen software-basierten, sogenannten virtuellen Sensoren, welche Adressbuch, Terminkalender, startende Anwendungen, den Browserverlauf, Telefongespräche, SMS, s etc. im Auge behalten können. Die vergleichsweise junge Disziplin des Mobile Computing birgt eine Vielzahl von Angriffspunkten um an die Daten all dieser Sensoren heranzukommen. Die Gründe für existierende Einfallstore sind mannigfaltig: hohe Komplexität der Infrastruktur, inhärente Unsicherheit des Übertragungsmediums, hochgradig dynamische Umwelt, hoher Kostendruck, sehr kurze Entwicklungszyklen, unerfahrene Softwareentwickler, unvorsichtige Benutzer etc. Dabei gehört zu den wohl beliebtesten Angriffszielen im weitesten Sinne die Privatsphäre der Benutzer, denn mit sensiblen Informationen lassen sich vielerlei Vorteile erringen, allen voran auch auf legalem Wege Geld verdienen. Jedoch sind gerade die mobilen Technologien diejenigen, die in unserem Alltag allgegenwärtig sind und somit den tiefsten Einblick in unser Verhalten und unsere Vorhaben, unsere Aktivitäten und Beziehungen, unsere Einstellungen und unser Wissen, unsere Vorlieben und Abneigungen sowie unser momentanes Wohlbefinden haben. Kurzum: Mobile Technologien durchdringen unsere Privatsphäre fast vollständig und stellen somit einerseits geeignete Mittel für Angriffe und andererseits selbst auch Angriffsziele dar. Natürlich ist der Zweck mobiler Technologien ein gänzlich anderer: Sie sollen uns im Alltag unterstützen. Mark Weiser brachte den Begriff des Ubiquitous Computing hervor, welcher eine Welt beschreibt, in der intelligente Objekte allgegenwärtig sind. Computer sollen lernen in der Welt der Menschen zu leben und uns als nützliche, unaufdringliche Werkzeuge in Form von Alltagsgegenständen bei all unseren Tätigkeiten 19 1/2013

20 TOP helfend zur Hand gehen. Hierfür ist es unabdingbar, die Geräte mit Sensoren auszustatten, damit sie ihre Umwelt wahrnehmen und sich an den aktuellen Kontext adaptieren können. Allerdings schneidet sich der Kontext der Geräte oft mit der Privatsphäre bzw. dem Kontext der Anwender und genau hier soll dieser Artikel ansetzen und den bewussten Umgang mit Sensordaten aller Art motivieren. Hierfür soll im Folgenden anhand einiger Beispiele aufgezeigt werden, wie bereits heutzutage aus dem Kontext von Geräten Rückschlüsse auf unsere Aktivitäten und unsere Persönlichkeit möglich sind. Ein Blick in die nähere Zukunft soll zudem kurz aufzeigen, dass die aus den Beispielen abgeleiteten Herausforderungen bereits jetzt schon konkret angegangen werden. Bis zum prognostizierten Anbruch des Ubiquitous Computing-Zeitalters ab dem Jahre 2020 werden einige der hierfür entwickelten Methoden und Technologien wohl schon längst die Pubertät hinter sich gelassen haben. Heimlicher Zugriff Ortsinformationen gehören, neben der Identität, der Aktivität und der Zeit zu dem sogenannten primären Kontext, mit welchem man die Situation einer Person oder eines Gerätes charakterisieren kann. Derlei Informationen gelten als besonders schützenswert. Betrachtet man beispielsweise Android als einen Stellvertreter aktueller Betriebssysteme für Mobilgeräte, ist anwendungsseitig der direkte Zugriff auf Orts- oder Identitätsinformationen zunächst eingeschränkt. Jedes Programm, welches Zugriff z.b. auf GPS, W-LAN oder Bluetooth haben möchte, muss dies explizit bei der Installation angeben und Anwender können auf dieser Basis entscheiden, ob sie dem Programm vertrauen. Andere Sensoren lassen sich hingegen heimlich, also ohne um Erlaubnis zu fragen, von jeder Anwendung aus zugreifen. Dabei erlauben diese indirekt ebenso die Erhebung sensibler Kontextdaten, wie im Folgenden aufgezeigt werden soll. Nehmen wir als Beispiel den Beschleunigungssensor, welcher im Bereich weniger Millisekunden die aktuelle Beschleunigung im dreidimensionalen Raum messen kann. Das Drehen des Bildschirms sowie die Steuerung in Spielen sind typische Anwendungsbereiche von Beschleunigungsdaten. Ein solcher Sensor lässt sich jedoch beispielsweise auch als Touch- bzw. Keylogger verwenden, denn die kleinen Erschütterungen, die das Gerät beim Tippen erfährt, sind charakteristisch für den Ort an dem der Finger das Display berührt. Es braucht nur grundlegende Techniken der künstlichen Intelligenz um einen Algorithmus anzulernen, der jeden Ort auf einen Buchstaben abbildet und schon kann der Logger anwendungsübergreifend das Geschriebene mitlesen. Das gilt im Übrigen auch für das Schreiben an einem Desktop-PC, sofern sich das Mobilgerät bzw. der Sensor nahe genug an der Tastatur befindet. Auch für eine Reihe weiterer Aktivitäten lassen sich charakteristische Beschleunigungsdaten ausmachen: Schlafen, Sitzen, Stehen, Gehen, Treppensteigen, Fahrstuhl-, Bahn- und Autofahren zum Beispiel. Kürzlich hat Stuart Madnick vom MIT in einer Keynote sogar die Möglichkeit auf Gemütszustände oder körperliche Einschränkungen schließen zu können, in Betracht gezogen. Gehen Sie etwas beschwingter, wenn Sie fröhlich sind? Humpeln Sie mit einem verstauchten Knöchel? Fusioniert man die Informationen des Beschleunigungssensors mit denen anderer Sensoren, z.b. Kompass oder Gyroskop, lässt sich mit gängigen Methoden der Inertialnavigation auch auf den aktuellen Aufenthaltsort relativ zu einem Referenzpunkt schließen. Referenzpunkte lassen sich verhältnismäßig leicht bestimmen (z.b. Treppen, Fahrstühle, Haltestellen siehe oben). Allerdings sind die Sensoren und Algorithmen heutzutage noch zu ungenau und Fehler in der Bestimmung summieren sich mit der Entfernung zum Referenzpunkt zu schnell auf, sodass nur eine relativ ungenaue Ortsbestimmung möglich ist. Auch ein Barometer kann der Ortsbestimmung dienen. Ein solcher Sensor misst den atmosphärischen Druck, aus dem einerseits auf die aktuelle Wetterlage, andererseits aber auch auf die momentane Höhe über Normalnull bzw. eine Höhendifferenz zu einem anderen Bezugspunkt geschlossen werden kann. Ein solcher Sensor wird in moderne Telefone eingebaut, um einen schnelleren GPS-Fix zu bekommen, kann aber auch anderen Zwecken dienen. So wurde in einem Projekt an der Beuth Hochschule in Berlin eine Navigationsanwendung für den öffentlichen Nahverkehr entwickelt, die sich die Höhenunterschiede zwischen einzelnen U-Bahnhöfen zunutze macht, um den ungefähren Aufenthaltsort zu bestimmen. Mit einer Genauigkeit in der Höhenmessung von ca. 20cm sind der Kreativität wenig Grenzen gesetzt, z.b. zur Bestimmung des aktuellen Stockwerks in Gebäuden aus der sich beispielsweise auch Rauch-, Mittags- und Kaffeepausen oder ein Besuch beim Chef ableiten lassen oder der einfachen Tatsache, dass eine Person gerade im Flugzeug sitzt und ggf. länger nicht zuhause sein wird. Mit Erlaubnis Natürlich ist es auch ein Leichtes den Zugriff auf bestimmte Sensoren, für die eine Erlaubnis seitens des Anwenders verlangt wird, hinter mehr oder weniger unnötigen Features zu verstecken. Welcher Anwender würde Verdacht schöpfen, wenn eine Anwendung Zugriff auf das Mikrofon oder die Kamera benötigt, natürlich nur um im Sinne des Anwenders die Eingabe von Texten durch Erkennung von Sprache oder QR-Codes zu erleichtern? Dies öffnet die Türen um weitere interessante Informationen über den aktuellen Kontext eines Anwenders zu erhalten. Aus Audiodaten beispielsweise lassen sich sehr viele Zusatzinformationen ableiten. Viele alltägliche Situationen haben einen eindeutigen akustischen Fingerabdruck: Straßenverkehr, Bahnhofshallen, Kirchen, Kantinen, Vorlesungen, Sportveranstaltungen, Konzertbesuche usw., um nur die Offensichtlichen zu nennen. Natürlich haben auch Menschen eine charakteristische Stimme. Da reicht manchmal bereits eine einfache Analyse des Frequenzspektrums und Personen in der Nähe lassen sich zumindest wiedererkennen. Und die Stammtisch-Psychologen würden wohl auch anhand des Musikgeschmacks einer Person auf deren Wesen und aufgrund eines aktuell gehörten Liedes auf deren Stimmung schließen wollen. Öffentliche APIs zur Erkennung von Musiktiteln finden sich im Internet zahlreich. Die eingebaute Spracherkennung Androids läuft zwar immer im Vordergrund, wodurch sich der Benutzer einer laufenden Transkription gewahr wird, aber grundsätzlich steht der Erkennung durch eigene Lösungen auch im Hintergrund nichts im Wege. Michael Backes hat eine weitere alternative Interpretation von Audiodaten aufgezeigt: Nadeldrucker, wie sie häufig noch in Arztpraxen oder Behörden Verwendung finden, erzeugen für jeden gedruckten Buchstaben ein charakteristisches Geräusch. Somit war es ihm möglich in über 70% der Fälle ohne zusätzliches Wissen das Gedruckte anhand aufgenommener Audiosignale zu rekonstruieren. 20

ISA Server 2004 - Best Practice Analyzer

ISA Server 2004 - Best Practice Analyzer ISA Server 2004 - Best Practice Analyzer Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Seit dem 08.12.2005 steht der Microsoft ISA Server 2004 Best Practice Analyzer

Mehr

Anleitung zur Entfernung von Schadsoftware

Anleitung zur Entfernung von Schadsoftware Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan Bund ISB Melde- und Analysestelle Informationssicherung MELANI GovCERT.ch Anleitung zur Entfernung von Schadsoftware MELANI / GovCERT.ch

Mehr

Technische Dokumentation SEPPmail Outlook Add-In v1.5.3

Technische Dokumentation SEPPmail Outlook Add-In v1.5.3 Technische Dokumentation SEPPmail Outlook Add-In v1.5.3 In diesem Dokument wird dargelegt, wie das SEPPmail Outlook Add-in funktioniert, und welche Einstellungen vorgenommen werden können. Seite 2 Inhalt

Mehr

COLLECTION. Installation und Neuerungen. Märklin 00/H0 Jahresversion 2009. Version 7. Die Datenbank für Sammler

COLLECTION. Installation und Neuerungen. Märklin 00/H0 Jahresversion 2009. Version 7. Die Datenbank für Sammler Die Datenbank für Sammler COLLECTION Version 7 Installation und Neuerungen Märklin 00/H0 Jahresversion 2009 Stand: April 2009 Inhaltsverzeichnis Inhaltsverzeichnis... 2 VORWORT... 3 Hinweise für Anwender,

Mehr

VB.net Programmierung und Beispielprogramm für GSV

VB.net Programmierung und Beispielprogramm für GSV VB.net Programmierung und Beispielprogramm für GSV Dokumentation Stand vom 26.05.2011 Tel +49 (0)3302 78620 60, Fax +49 (0)3302 78620 69, info@me-systeme.de, www.me-systeme.de 1 Inhaltsverzeichnis Vorwort...2

Mehr

VIVIT TQA Treffen in Köln am 18. 04. 2013. API- Programmierung und Nutzung bei HP Quality Center / ALM. Michael Oestereich IT Consultant QA

VIVIT TQA Treffen in Köln am 18. 04. 2013. API- Programmierung und Nutzung bei HP Quality Center / ALM. Michael Oestereich IT Consultant QA VIVIT TQA Treffen in Köln am 18. 04. 2013 API- Programmierung und Nutzung bei HP Quality Center / ALM Michael Oestereich IT Consultant QA Agenda Vorstellung der API- Versionen OTA- API SA- API REST- API

Mehr

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Änderungsprotokoll Endpoint Security for Mac by Bitdefender Änderungsprotokoll Veröffentlicht 2015.03.11 Copyright 2015 Bitdefender Rechtlicher Hinweis Alle Rechte

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein Einleitung Memeo Instant Backup ist eine einfache Backup-Lösung für eine komplexe digitale Welt. Durch automatisch und fortlaufende Sicherung Ihrer wertvollen Dateien auf Ihrem Laufwerk C:, schützt Memeo

Mehr

MindReader für Outlook

MindReader für Outlook MindReader für Outlook Installation einer Firmenlizenz 2014-12 Downloads MindReader für Outlook wird kontinuierlich weiterentwickelt. Die aktuelle Benutzerdokumentation finden Sie auf unserer Website im

Mehr

Microsoft Office 2010

Microsoft Office 2010 Microsoft Office 2010 Office-Anpassungstool Author(s): Paolo Sferrazzo Version: 1.0 Erstellt am: 15.06.12 Letzte Änderung: - 1 / 12 Hinweis: Copyright 2006,. Alle Rechte vorbehalten. Der Inhalt dieses

Mehr

Datenschutzerklärung und Informationen zum Datenschutz

Datenschutzerklärung und Informationen zum Datenschutz Datenschutzerklärung und Informationen zum Datenschutz Informationen zum Datenschutz in den Produkten TAPUCATE WLAN Erweiterung Stand: 04.06.2015 Inhaltsverzeichnis 1) Vorwort 2) Grundlegende Fragen zum

Mehr

Wie verwende ich Twitter in MAGIC THipPro

Wie verwende ich Twitter in MAGIC THipPro Wie verwende ich Twitter in MAGIC THipPro Konfigurationsanleitung Version: V1-10. August 2015 by AVT Audio Video Technologies GmbH Registrierung der Social Media Option Stellt die Social Media Option allen

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des

Mehr

Den Browser isolieren mit GeSWall

Den Browser isolieren mit GeSWall Den Browser isolieren mit GeSWall Das Programm GeSWall von S.a.r.l. aus Luxemburg ist eine sandbox/policy restrictions Anwendung in englischer Sprache. http://www.gentlesecurity.com Eine Feature Übersicht

Mehr

CBS-Heidelberg Helpdesk Filr-Dokumentation S.1

CBS-Heidelberg Helpdesk Filr-Dokumentation S.1 CBS-Heidelberg Helpdesk Filr-Dokumentation S.1 Dokumentation der Anwendung Filr von Novell G Informationen zu Filr, die über diese Dokumentation hinausgehen, finden Sie im Internet unter: http://www.novell.com/de-de/documentation/novell-filr-1-1/

Mehr

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz.

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz. IInsttallllattiionslleiittffaden Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz. Voraussetzungen Für die Installation

Mehr

Installation von Updates

Installation von Updates Installation von Updates In unregelmässigen Abständen erscheinen Aktualisierungen zu WinCard Pro, entweder weil kleinere Verbesserungen realisiert bzw. Fehler der bestehenden Version behoben wurden (neues

Mehr

Skyfillers Hosted SharePoint. Kundenhandbuch

Skyfillers Hosted SharePoint. Kundenhandbuch Skyfillers Hosted SharePoint Kundenhandbuch Kundenhandbuch Inhalt Generell... 2 Online Zugang SharePoint Seite... 2 Benutzerpasswort ändern... 2 Zugriff & Einrichtung... 3 Windows... 3 SharePoint als

Mehr

Ein neues TOONTRACK Produkt registrieren / installieren / authorisieren...

Ein neues TOONTRACK Produkt registrieren / installieren / authorisieren... Ein neues TOONTRACK Produkt registrieren / installieren / authorisieren... Viele TOONTRACK Music Produkte sind mittlerweile als reine Seriennummer-Version oder als auf einer Karte aufgedruckte Seriennummer

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Für Windows 7 Stand: 21.01.2013

Für Windows 7 Stand: 21.01.2013 Für Windows 7 Stand: 21.01.2013 1 Überblick Alle F.A.S.T. Messgeräte verfügen über dieselbe USB-Seriell Hardware, welche einen Com- Port zur Kommunikation im System zur Verfügung stellt. Daher kann bei

Mehr

FÜR GOOGLE ANDROID OPERATING SYSTEM. Dokumentation. Version 1.2013. 2013 NAM.IT Software-Entwicklung Alle Rechte vorbehalten.

FÜR GOOGLE ANDROID OPERATING SYSTEM. Dokumentation. Version 1.2013. 2013 NAM.IT Software-Entwicklung Alle Rechte vorbehalten. FÜR GOOGLE ANDROID OPERATING SYSTEM Dokumentation Version 1.2013 2013 NAM.IT Software-Entwicklung Alle Rechte vorbehalten. 1 Information Diese Dokumentation beschreibt die Funktionen der kostenpflichten

Mehr

Welche Mindestsystemanforderungen sind für die Installation von Registry Mechanic erforderlich?

Welche Mindestsystemanforderungen sind für die Installation von Registry Mechanic erforderlich? Erste Schritte mit Registry Mechanic Installation Welche Mindestsystemanforderungen sind für die Installation von Registry Mechanic erforderlich? Um Registry Mechanic installieren zu können, müssen die

Mehr

FAQ Häufig gestellte Fragen

FAQ Häufig gestellte Fragen FAQ Häufig gestellte Fragen FAQ zu HitmanPro.Kickstart Seite 1 Inhaltsverzeichnis Einführung in HitmanPro.Kickstart... 3 F-00: Wozu wird HitmanPro.Kickstart benötigt?... 4 F-01: Kann HitmanPro.Kickstart

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

PrivaSphere Secure Messaging Outlook AddIn V.3.0.0 der Infover AG

PrivaSphere Secure Messaging Outlook AddIn V.3.0.0 der Infover AG PrivaSphere Secure Messaging Outlook AddIn V.3.0.0 der Infover AG Technische Dokumentation für Administratoren Das File Version_3.0.0.zip muss in ein Verzeichnis kopiert werden. Die folgenden Dateien werden

Mehr

LaMa-Creation Portscanner

LaMa-Creation Portscanner LaMa-Creation Portscanner Seite 1 von 12 Seite 2 von 12 Inhaltsverzeichnis Einleitung...4 Systemanforderung...5 Hardware:...5 Software:...5 Unterstützte Clientbetriebssysteme:... 5 Unterstützte Serverbetriebssysteme:...5

Mehr

Kundenbereich Bedienungsanleitung

Kundenbereich Bedienungsanleitung Kundenbereich Bedienungsanleitung 1. Über den Kundenbereich... 2 a. Neue Funktionen... 2 b. Übernahme Ihrer Dokumente... 2 c. Migration in den Kundenbereich... 2 2. Zugang zum Kundenbereich... 2 a. Adresse

Mehr

Spybot Search & Destroy 1.6. Kurzanleitung

Spybot Search & Destroy 1.6. Kurzanleitung Spybot Search & Destroy 1.6. Kurzanleitung erstellt 01/2010 Als Ergänzung zum aktuell verwendeten Virenschutz-Programm hat diese von Safer- Networking Limited bereitgestellte Software gute Dienste geleistet.

Mehr

Installation und Benutzung AD.NAV.ZipTools

Installation und Benutzung AD.NAV.ZipTools Installation und Benutzung AD.NAV.ZipTools Version 1.0.0.0 ALTENBRAND Datentechnik GmbH Am Gelicht 5 35279 Neustadt (Hessen) Tel: 06692/202 290 Fax: 06692/204 741 email: support@altenbrand.de Die Komponente

Mehr

Informationen zum Kopierschutz

Informationen zum Kopierschutz Analyser AutoSPy Informationen zum Kopierschutz Der Analyser AutoSPy verfügt über einen Kopierschutz, der unerlaubtes Erzeugen und Vervielfältigen von Lizenzen verhindert. Dieses Dokument soll Ihnen den

Mehr

Java Script für die Nutzung unseres Online-Bestellsystems

Java Script für die Nutzung unseres Online-Bestellsystems Es erreichen uns immer wieder Anfragen bzgl. Java Script in Bezug auf unser Online-Bestell-System und unser Homepage. Mit dieser Anleitung möchten wir Ihnen einige Informationen, und Erklärungen geben,

Mehr

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1 F-Secure Mobile Security for Nokia E51, E71 und E75 1 Installation und Aktivierung F-Secure Client 5.1 Hinweis: Die Vorgängerversion von F-Secure Mobile Security muss nicht deinstalliert werden. Die neue

Mehr

VMware Schutz mit NovaBACKUP BE Virtual

VMware Schutz mit NovaBACKUP BE Virtual VMware Schutz mit NovaBACKUP BE Virtual Anforderungen, Konfiguration und Restore-Anleitung Ein Leitfaden (September 2011) Inhalt Inhalt... 1 Einleitung... 2 Zusammenfassung... 3 Konfiguration von NovaBACKUP...

Mehr

Update Information. Independence Pro Software Suite 3.0 & Sound Libraries

Update Information. Independence Pro Software Suite 3.0 & Sound Libraries Update Information Independence Pro Software Suite 3.0 & Sound Libraries 2 Yellow Tools Update Information Lieber Kunde, vielen Dank, dass Du Dich für eines unserer Produkte entschieden hast! Falls Du

Mehr

CINEMA 4D RELEASE 10. Installationsanleitung 3D FOR THE REAL WORLD

CINEMA 4D RELEASE 10. Installationsanleitung 3D FOR THE REAL WORLD CINEMA 4D RELEASE 10 3D FOR THE REAL WORLD Installationsanleitung 1 Die Installation von CINEMA 4D Release 10 1. Vor der Installation Bevor Sie das Programm installieren, beachten Sie bitte folgendes:

Mehr

Bedienungsanleitung GOZ-Handbuch der Landeszahnärztekammer Baden-Württemberg

Bedienungsanleitung GOZ-Handbuch der Landeszahnärztekammer Baden-Württemberg Bedienungsanleitung GOZ-Handbuch der Landeszahnärztekammer Baden-Württemberg LZK BW 12/2009 Bedienungsanleitung GOZ-Handbuch Seite 1 Lieferumfang Zum Lieferumfang gehören: Eine CD-Rom GOZ-Handbuch Diese

Mehr

Cookies & Browserverlauf löschen

Cookies & Browserverlauf löschen Cookies & Browserverlauf löschen Was sind Cookies? Cookies sind kleine Dateien, die von Websites auf Ihrem PC abgelegt werden, um Informationen über Sie und Ihre bevorzugten Einstellungen zu speichern.

Mehr

IBM SPSS Statistics Version 22. Installationsanweisungen für Windows (Lizenz für gleichzeitig angemeldete Benutzer)

IBM SPSS Statistics Version 22. Installationsanweisungen für Windows (Lizenz für gleichzeitig angemeldete Benutzer) IBM SPSS Statistics Version 22 Installationsanweisungen für Windows (Lizenz für gleichzeitig angemeldete Benutzer) Inhaltsverzeichnis Installationsanweisungen....... 1 Systemanforderungen........... 1

Mehr

Anwendertreffen 20./21. Juni

Anwendertreffen 20./21. Juni Anwendertreffen Forum Windows Vista Warum Windows Vista? Windows Vista wird in relativ kurzer Zeit Windows XP als häufigstes Betriebssystem ablösen. Neue Rechner werden (fast) nur noch mit Windows Vista

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Hinweise zu Java auf dem Mac:

Hinweise zu Java auf dem Mac: Hinweise zu Java auf dem Mac: 1. Möglichkeit zum Überprüfen der Java-Installation / Version 2. Installiert, aber im Browser nicht AKTIVIERT 3. Einstellungen in der Java-KONSOLE auf Deinem MAC 4. Java Hilfe

Mehr

Workflow+ Installation und Konfiguration

Workflow+ Installation und Konfiguration Workflow+ Installation und Konfiguration Systemübersicht Workflow+ Designer Mit dem Workflow+ Designer werden Workflows und Eingabemasken erstellt. Mit der integrierten Test- und Debugging Funktion können

Mehr

G-Info Lizenzmanager

G-Info Lizenzmanager G-Info Lizenzmanager Version 4.0.1001.0 Allgemein Der G-Info Lizenzmanager besteht im wesentlichen aus einem Dienst, um G-Info Modulen (G-Info Data, G-Info View etc.; im folgenden Klienten genannt) zentral

Mehr

Address/CRM 3.0 Axapta Client Setup

Address/CRM 3.0 Axapta Client Setup pj Tiscover Travel Information Systems AG Maria-Theresien-Strasse 55-57, A-6010 Innsbruck, Austria phone +43/512/5351 fax +43/512/5351-600 office@tiscover.com www.tiscover.com Address/CRM 3.0 Axapta Client

Mehr

IBM SPSS Statistics Version 22. Windows-Installationsanweisungen (Lizenz für einen berechtigten Benutzer)

IBM SPSS Statistics Version 22. Windows-Installationsanweisungen (Lizenz für einen berechtigten Benutzer) IBM SPSS Statistics Version 22 Windows-Installationsanweisungen (Lizenz für einen berechtigten Benutzer) Inhaltsverzeichnis Installationsanweisungen....... 1 Systemanforderungen........... 1 Autorisierungscode...........

Mehr

Sicherheit für Windows Vista Teil 2: Windows Tool zum Entfernen bösartiger Software

Sicherheit für Windows Vista Teil 2: Windows Tool zum Entfernen bösartiger Software Sicherheit für Windows Vista Teil 2: Windows Tool zum Entfernen bösartiger Software Dieser Artikel ist Teil 2 zum Thema Sicherheit für Windows Vista. Wir zeigen Ihnen hier, wie Sie mit dem kostenlosen

Mehr

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung Nach dem Update auf die Version 1.70 bekommen Sie eine Fehlermeldung,

Mehr

Erweiterung für Premium Auszeichnung

Erweiterung für Premium Auszeichnung Anforderungen Beliebige Inhalte sollen im System als Premium Inhalt gekennzeichnet werden können Premium Inhalte sollen weiterhin für unberechtigte Benutzer sichtbar sein, allerdings nur ein bestimmter

Mehr

Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE

Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE Schritt für Schritt Anleitung! Tipp: Drucken Sie sich das Dokument aus und befolgen Sie jeden einzelnen Schritt. Dann wird es funktionieren! Inhaltsverzeichnis

Mehr

Installation SuperWebMailer

Installation SuperWebMailer Installation SuperWebMailer Die Installation von SuperWebMailer ist einfach gestaltet. Es müssen zuerst per FTP alle Dateien auf die eigene Webpräsenz/Server übertragen werden, danach ist das Script install.php

Mehr

Überblick über COPYDISCOUNT.CH

Überblick über COPYDISCOUNT.CH Überblick über COPYDISCOUNT.CH Pläne, Dokumente, Verrechnungsangaben usw. werden projektbezogen abgelegt und können von Ihnen rund um die Uhr verwaltet werden. Bestellungen können online zusammengestellt

Mehr

AIDA64 Extreme. Konfigurationsanleitung. v 1.1 30. 07. 2014.

AIDA64 Extreme. Konfigurationsanleitung. v 1.1 30. 07. 2014. Konfigurationsanleitung v 1.1 30. 07. 2014. wird von der FinalWire GmbH. entwickelt. Copyright 1995-2014 FinalWire GmbH. Diese Konfigurationsanleitung wurde von der ABSEIRA GmbH. verfasst. Alle Rechte

Mehr

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird.

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird. Der Admin-Bereich im Backend Achtung: Diese Anleitung gibt nur einen groben Überblick über die häufigsten Aufgaben im Backend-Bereich. Sollten Sie sich nicht sicher sein, was genau Sie gerade tun, dann

Mehr

Anleitung MRA Service mit MAC

Anleitung MRA Service mit MAC Anleitung MRA Service mit MAC Dokumentbezeichnung Anleitung MRA Service unter MAC Version 2 Ausgabedatum 7. September 2009 Anzahl Seiten 12 Eigentumsrechte Dieses Dokument ist Eigentum des Migros-Genossenschafts-Bund

Mehr

Kapitel 7 - Debugger. Universität Mannheim

Kapitel 7 - Debugger. Universität Mannheim Kapitel 7 - Debugger zynamics Hersteller von Reverse Engineering Tools Fünf Produkte BinDiff BinNavi VxClass (Deutscher IT-Sicherheitspreis 2006) BinCrowd PDF Tool 2 Was ist ein Debugger (offiziell)? Ein

Mehr

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben.

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Um alle Funktionen unserer Software nutzen zu können, sollten Sie bitte in Ihrem Browser folgende Einstellungen

Mehr

Installationshinweise für Installation der Inhaltscenterbibliotheken bei den Netzwerkversionen von Autodesk Inventor 11 oder nachfolgende Versionen

Installationshinweise für Installation der Inhaltscenterbibliotheken bei den Netzwerkversionen von Autodesk Inventor 11 oder nachfolgende Versionen co.tec GmbH Software für Aus- und Weiterbildung Traberhofstraße 12 83026 Rosenheim support@cotec.de Installationshinweise für Installation der Inhaltscenterbibliotheken bei den Netzwerkversionen von Autodesk

Mehr

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools Installation Wawi SQL in Verbindung mit Microsoft SQL Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte Funktionalität der SelectLine Applikation mit

Mehr

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen Um die maximale Sicherheit für das Betriebssystem und Ihre persönlichen Daten zu gewährleisten, können Sie Programme von Drittherstellern

Mehr

VIDA ADMIN KURZANLEITUNG

VIDA ADMIN KURZANLEITUNG INHALT 1 VIDA ADMIN... 3 1.1 Checkliste... 3 1.2 Benutzer hinzufügen... 3 1.3 VIDA All-in-one registrieren... 4 1.4 Abonnement aktivieren und Benutzer und Computer an ein Abonnement knüpfen... 5 1.5 Benutzername

Mehr

Sophos Computer Security Scan Startup-Anleitung

Sophos Computer Security Scan Startup-Anleitung Sophos Computer Security Scan Startup-Anleitung Produktversion: 1.0 Stand: Februar 2010 Inhalt 1 Einleitung...3 2 Vorgehensweise...3 3 Scan-Vorbereitung...3 4 Installieren der Software...4 5 Scannen der

Mehr

Vodafone Cloud. Einfach A1. A1.net/cloud

Vodafone Cloud. Einfach A1. A1.net/cloud Einfach A1. A1.net/cloud Ihr sicherer Online-Speicher für Ihre wichtigsten Daten auf Handy und PC Die Vodafone Cloud ist Ihr sicherer Online-Speicher für Ihre Bilder, Videos, Musik und andere Daten. Der

Mehr

PADS 3.0 Viewer - Konfigurationen

PADS 3.0 Viewer - Konfigurationen PADS 3.0 Viewer - Konfigurationen Net Display Systems (Deutschland) GmbH - Am Neuenhof 4-40629 Düsseldorf Telefon: +49 211 9293915 - Telefax: +49 211 9293916 www.fids.de - email: info@fids.de Übersicht

Mehr

Hilfen & Dokumentationen

Hilfen & Dokumentationen Hilfen & Dokumentationen 1. WibuKey Konfiguration für camquix In dieser Anleitung erfahren Sie wie Sie Ihren WibuKey updaten und konfigurieren. 1.1. Was ist ein Wibu-Key und wozu wird er verwendet? WibuKey

Mehr

Installationsanleitung OpenVPN

Installationsanleitung OpenVPN Installationsanleitung OpenVPN Einleitung: Über dieses Dokument: Diese Bedienungsanleitung soll Ihnen helfen, OpenVPN als sicheren VPN-Zugang zu benutzen. Beachten Sie bitte, dass diese Anleitung von tops.net

Mehr

1. Einführung 2. 2. Systemvoraussetzungen... 2. 3. Installation und Konfiguration 2. 4. Hinzufügen einer weiteren Sprache... 3

1. Einführung 2. 2. Systemvoraussetzungen... 2. 3. Installation und Konfiguration 2. 4. Hinzufügen einer weiteren Sprache... 3 Inhalt 1. Einführung 2 2. Systemvoraussetzungen... 2 3. Installation und Konfiguration 2 4. Hinzufügen einer weiteren Sprache... 3 5. Aktivierung / Deaktivierung von Funktionen... 4 6. Konfiguration der

Mehr

Qlik Sense Desktop. Qlik Sense 1.1 Copyright 1993-2015 QlikTech International AB. Alle Rechte vorbehalten.

Qlik Sense Desktop. Qlik Sense 1.1 Copyright 1993-2015 QlikTech International AB. Alle Rechte vorbehalten. Qlik Sense Desktop Qlik Sense 1.1 Copyright 1993-2015 QlikTech International AB. Alle Rechte vorbehalten. Copyright 1993-2015 QlikTech International AB. Alle Rechte vorbehalten. Qlik, QlikTech, Qlik Sense,

Mehr

KONFIGURATION DES MOZILLA E-MAIL CLIENT

KONFIGURATION DES MOZILLA E-MAIL CLIENT KONFIGURATION DES MOZILLA E-MAIL CLIENT Copyright 2004 by 2 ways - media & design, Inh. Lars Plessmann, Paulinenstr. 12, D-70178 Stuttgart. http://www.2-ways.de Lars.Plessmann@2-ways.de Der Mozilla Email

Mehr

Bedienungsanleitung. Version 2.0. Aufruf des Online-Update-Managers. Bedienungsanleitung Online-Update Stand Juni 2010

Bedienungsanleitung. Version 2.0. Aufruf des Online-Update-Managers. Bedienungsanleitung Online-Update Stand Juni 2010 Bedienungsanleitung Online-Update Version 2.0 Aufruf des Online-Update-Managers Von Haus aus ist der Online-Update-Manager so eingestellt, dass die Updates automatisch heruntergeladen werden. An jedem

Mehr

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation.

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation. Inhalt 1 Übersicht 2 Anwendungsbeispiele 3 Einsatzgebiete 4 Systemanforderungen 5 Lizenzierung 6 Installation 7 Key Features 8 Funktionsübersicht (Auszug) 1 Übersicht MIK.bis.webedition ist die Umsetzung

Mehr

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien 3. Installation Ihres Shops im Internet / Kurzanleitung Kurzanleitung: Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien Geben Sie während der Webbasierten Installationsroutine alle

Mehr

BitDisk 7 Version 7.02

BitDisk 7 Version 7.02 1 BitDisk 7 Version 7.02 Installationsanleitung für Windows XP, Vista, Windows 7 QuickTerm West GmbH Aachenerstrasse 1315 50859 Köln Telefon: +49 (0) 2234 915 910 http://www.bitdisk.de info@bitdisk.de

Mehr

Ersatzteile der Extraklasse Magento-Module der Shopwerft

Ersatzteile der Extraklasse Magento-Module der Shopwerft Ersatzteile der Extraklasse Magento-Module der Shopwerft MicroStudio - Fotolia.com Werden von Kunden oder Suchmaschinen Elemente des Shops aufgerufen, die nicht vorhanden sind, wird statt des gewünschten

Mehr

EXPANDIT. ExpandIT Client Control Kurzanleitung. utilities. be prepared speed up go mobile. Stand 14.11.07

EXPANDIT. ExpandIT Client Control Kurzanleitung. utilities. be prepared speed up go mobile. Stand 14.11.07 ExpandIT Client Control Kurzanleitung Stand 14.11.07 Inhaltsverzeichnis ExpandIT Client Control 3 Installationshinweise 3 System-Voraussetzungen 3 Installation 3 Programm starten 6 Programm konfigurieren

Mehr

InterCafe 2010. Handbuch für Druckabrechnung

InterCafe 2010. Handbuch für Druckabrechnung Handbuch für InterCafe 2010 Der Inhalt dieses Handbuchs und die zugehörige Software sind Eigentum der blue image GmbH und unterliegen den zugehörigen Lizenzbestimmungen sowie dem Urheberrecht. 2009-2010

Mehr

SOLISYON GMBH CHRISTIAN WOLF, BENJAMIN WEISSMAN. Optimierung von Abfragen in MS SQL Server DWH-Umgebungen

SOLISYON GMBH CHRISTIAN WOLF, BENJAMIN WEISSMAN. Optimierung von Abfragen in MS SQL Server DWH-Umgebungen WEITER BLICKEN. MEHR ERKENNEN. BESSER ENTSCHEIDEN. Optimierung von Abfragen in MS SQL Server DWH-Umgebungen SOLISYON GMBH CHRISTIAN WOLF, BENJAMIN WEISSMAN VERSION 1.0 OPTIMIERUNG VON ABFRAGEN IN MS SQL

Mehr

RECOMAX 8.0 INSTALLATION

RECOMAX 8.0 INSTALLATION RECOMAX 8.0 INSTALLATION INHALT Seite 1. EINFÜHRUNG 03 2. WILLKOMMENSANZEIGE 04 3. LIZENZBESTIMMUNGEN 04 4. BESTÄTIGUNG DES ZIELPFADES 04 5. STARTEN DES KOPIERVORGANGS 04 6. KOPIERSTATUS 05 7. RECOMAX-GRUNDKONFIGURATION

Mehr

Dropbox Schnellstart. Was ist Dropbox? Eignet sich Dropbox für mich?

Dropbox Schnellstart. Was ist Dropbox? Eignet sich Dropbox für mich? Dropbox Schnellstart Was ist Dropbox? Dropbox ist eine Software, die alle deine Computer über einen einzigen Ordner verknüpft. Dropbox bietet die einfachste Art, Dateien online zu sichern und zwischen

Mehr

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29)

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der

Mehr

5004H104 Ed. 03. Installationsanweisungen für die Software AKO-5004

5004H104 Ed. 03. Installationsanweisungen für die Software AKO-5004 5004H104 Ed. 03 D Installationsanweisungen für die Software AKO-5004 Inhalt 1 Mindestvoraussetzungen... 3 2 Installationsvorgang... 4 3 Automatische Deinstallation des Produkts... 11 4 Manuelle Deinstallation...

Mehr

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte Funktionalität der SelectLine Applikation mit dem SQL Server Express with Tools 2008 vorgenommen

Mehr

Inhalt. Net-Base Internetservice. Dokumentation OTRS Ticketing-System

Inhalt. Net-Base Internetservice. Dokumentation OTRS Ticketing-System Inhalt Inhalt...1 1. Überblick...2 2. Ticketing-System aufrufen...2 3. Ein eigenes Konto anlegen...3 4. Eine Supportanfrage stellen...4 5. Ihre Supportanfragen ansehen / Status überprüfen...6 6. Weiterer

Mehr

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert

Mehr

Begreifen Cookies. Inhalt. Cookie Grundlagen... 2. Ihre Privatsphäre... 3. MS: Internet Explorer... 4. Google: Chrome... 5. Mozilla: Firefox...

Begreifen Cookies. Inhalt. Cookie Grundlagen... 2. Ihre Privatsphäre... 3. MS: Internet Explorer... 4. Google: Chrome... 5. Mozilla: Firefox... Begreifen Cookies Inhalt Cookie Grundlagen... 2 Ihre Privatsphäre... 3 MS: Internet Explorer... 4 Google: Chrome... 5 Mozilla: Firefox... 6 Apple: Safari... 7 Opera... 8 2 Cookie Grundlagen Was sind Cookies?

Mehr

QCfetcher Handbuch. Version 1.0.0.10. Ein Zusatztool zum QuoteCompiler. Diese Software ist nur für private und nicht-kommerzielle Zwecke einzusetzen.

QCfetcher Handbuch. Version 1.0.0.10. Ein Zusatztool zum QuoteCompiler. Diese Software ist nur für private und nicht-kommerzielle Zwecke einzusetzen. Seite 1 QCfetcher Handbuch Ein Zusatztool zum QuoteCompiler Diese Software ist nur für private und nicht-kommerzielle Zwecke einzusetzen. Die neuesten Informationen gibt es auf der Webseite: http://finanzkasper.de/

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Benutzerdokumentation Hosted Backup Services Client

Benutzerdokumentation Hosted Backup Services Client Benutzerdokumentation Hosted Backup Services Client Geschäftshaus Pilatushof Grabenhofstrasse 4 6010 Kriens Version 1.1 28.04.2014 Inhaltsverzeichnis 1 Einleitung 4 2 Voraussetzungen 4 3 Installation 5

Mehr

Automatisierte Erstellung von Software-Builds und -dokumentationen. Teil 1

Automatisierte Erstellung von Software-Builds und -dokumentationen. Teil 1 Automatisierte Erstellung von Software-Builds und -dokumentationen Teil 1 Autoren: Hagedorn, Robert; Denninger, Oliver Kontakt: {hagedorn denninger}@fzi.de Web: http://zfs.fzi.de Ort, Datum: Karlsruhe,

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Brainloop Secure Dataroom Version 8.20 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Sämtliche verwendeten Markennamen und Markenzeichen sind Eigentum der jeweiligen Markeninhaber. Inhaltsverzeichnis

Mehr

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM Server-Eye Stand 30.07.2013 Copyright 2012 by REDDOXX GmbH REDDOXX GmbH Neue Weilheimer Str. 14 D-73230 Kirchheim Fon: +49 (0)7021 92846-0 Fax: +49 (0)7021 92846-99 E-Mail: info@reddoxx.com Internet: http://www.reddoxx.com

Mehr

Visendo SMTP Extender

Visendo SMTP Extender Inhalt Einleitung... 2 1. Aktivieren und Konfigurieren des IIS SMTP Servers... 2 2. Installation des SMTP Extenders... 6 3. Konfiguration... 7 3.1 Konten... 7 3.2 Dienst... 9 3.3 Erweitert... 11 3.4 Lizenzierung

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Dokumentenversion 2.0 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

Deutsche Version. Einleitung. Hardware. Installation unter Windows 98SE. PU007 Sweex 1 Port Parallel & 2 Port Serial PCI Card

Deutsche Version. Einleitung. Hardware. Installation unter Windows 98SE. PU007 Sweex 1 Port Parallel & 2 Port Serial PCI Card PU007 Sweex 1 Port Parallel & 2 Port Serial PCI Card Einleitung Zuerst herzlichen Dank dafür, dass Sie sich für die Sweex 1 Port Parallel & 2 Port Serial PCI Card entschieden haben. Mit dieser Karten können

Mehr

DarkHour DS - Anleitung

DarkHour DS - Anleitung 1 DarkHour DS - Anleitung Inhalt Vorwort... 2 Downloaden... 3 Registrieren... 4 Einstellungen... 5 Profile... 6 Farmeinstellungen... 7 Botschutz... 9 Rechtliches... 11 2 Vorwort Unser DarkHour DS ist eine

Mehr

Integration MULTIEYE in EBÜS - Das Einheitliche Bildübertragunssystem

Integration MULTIEYE in EBÜS - Das Einheitliche Bildübertragunssystem Integration MULTIEYE in EBÜS - Das Einheitliche Bildübertragunssystem Über dieses Handbuch Wichtige Funktionen werden durch die folgenden Symbole hervorgehoben Wichtig: Besonders wichtige Informationen,

Mehr