Liebe Hakin9 Leser, die neue Ausgabe von Hakin9 behandelt das Thema Malware.

Größe: px
Ab Seite anzeigen:

Download "Liebe Hakin9 Leser, die neue Ausgabe von Hakin9 behandelt das Thema Malware."

Transkript

1

2 Herausgegeben vom Verlag: Hakin9 Media Sp. z o.o. Sp. Komandytowa Geschäftsführer: Paweł Marciniak Chefredakteurin: Ewa Strzelczyk Redaktion: Andy Stern, Sven Amberger, Nils Kuhnert, Jörg Schaarschmidt Produktion: Andrzej Kuca DTP: Marcin Ziółkowski Umschlagsentwurf: Marcin Ziółkowski Werbung: Anschrift: Hakin9 Media Sp. z o.o. Sp. Komandytowa ul. Bokserska 1, Warszawa, Poland Tel , Fax Die Redaktion bemüht sich, dafür Sorge zu tragen, dass die im Magazin enthaltenen Informationen und Anwendungen zutreffend sind, übernimmt jedoch keinerlei Gewähr für derer Geeignetheit für bestimmte Verwendungszwecke. Alle Markenzeichen, Logos und Handelsmarken, die sich in der Zeitschrift befinden, sind registrierte oder nicht-registrierte Markenzeichen der jeweiligen Eigentümer und dienen nur als inhaltliche Ergänzungen. Liebe Hakin9 Leser, die neue Ausgabe von Hakin9 behandelt das Thema Malware. Wir empfehlen Ihnen besonders zwei Artikel von Olivia von Westernhagen. Werbung oder Spionage? Analyse der Adware Sanctioned Media und Anti-Debugging-Techniken. In dem ersten Artikel zeigt die Autorin am Beispiel der.net-basierenden Malware Sanctioned Media, wie fließend die Grenzen zwischen Werbung und Spionage sein können. Interessierte Leser können die Dateien zu dem Artikel vom haking.eu-server herunterladen; das Passwort zum Archiv lautet infected. In dem zweiten Artikel werden einige Beispiele der Anti-Debugging-Techniken erläutert. Unsere weitere Empfehlung ist der Artikel von Michael Spreitzenbarth Android Malware: aktuelle Gefahren und Einblicke in eines der bekanntesten Anaysesysteme. In diesem Artikel wird ein Überblick darüber gegeben wie die aktuelle Bedrohungslage für Android Telefone aussieht. Darüber hinaus wird eines der bekanntesten Analysesysteme für schadhafte Android Applikationen vorgestellt. Viel Spaß bei der Lektüre! Ewa Strzelczyk Falls Sie Interesse an einer Kooperation oder Themenvorschläge hätten, wenden Sie sich bitte an unsere Redaktion: Anmerkung! Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIEßLICH in eigenen Rechnernetzen zu testen! Die Redaktion übernimmt keine Haftung für eventuelle Schäden oder Konsequenzen, die aus der unangemessenen Anwendung der beschriebenen Techniken entstehen. Die Anwendung der dargestellten Techniken kann auch zum Datenverlust führen! hakin9 erscheint in folgenden Sprachversionen und Ländern: deutsche Version (Deutschland, Schweiz, Österreich, Luxemburg), englische Version (Kanada, USA)

3 Hakin9 ANTI-DEBUGGING 5. ANTI-DEBUGGING-TECHNIKEN Olivia von Westernhagen Anti-Debugging kann als Teilbereich des Anti-Reverse-Engineering verstanden werden: Durch geeignete Techniken wird versucht, speziell die Analyse im Kontext eines Debuggers zu erschweren. Eingesetzt werden Anti-Debugging-Techniken sowohl von Herstellern kommerzieller Software als auch von Programmierern von Viren, Trojanern und anderer Malware. Erstere wollen verhindern, dass Algorithmen zu Generierung von Seriennummern analysiert oder der Kopierschutz ihres Programms anderweitig umgangen wird; sie verfolgen somit kommerzielle Interessen. Kommerzielle Interessen nehmen in Zeiten des Kontodaten- und sonstigen Datendiebstahls auch im Lager der Malware-Autoren mehr und mehr zu; bei ihnen sind es die Engines der Anti-Viren-Scanner sowie auch die manuelle Analyse durch Sicherheitsexperten, die es auszutricksen bzw. zu verhindern gilt. MALWARE 11. WERBUNG ODER SPIONAGE? ANALYSE DER ADWARE SANCTIONED MEDIA Olivia von Westernhagen Lästige Werbebanner werden häufig durch so genannte Adware oder Spyware verursacht, die im Installationspaket mit legitimen Programmen, oft aber auch völlig unbemerkt auf den PC gelangt. Sie sammelt Informationen über unsere Surf-, Klick- und Kaufgewohnheiten, um uns anschließend als potenziellen Kunden die passende Werbung vorzusetzen. Doch welche Informationen werden gesammelt, und werden diese wirklich nur für personalisierte Ads verwendet? Der vorliegende Artikel zeigt am Beispiel der.net-basierenden Malware Sanctioned Media, wie fließend die Grenzen zwischen Werbung und Spionage sein können. MOBILE SECURITY 18. HARMLOSE SENSOREN? Gefahr für die privatsphäre abseits herkömmlicher sensordaten-interpretationen Dirk Bade Früher hantierten Ganoven und Agenten noch mit Peilsendern, versteckten Mikrofone und Kameras in fremden Wohnungen und beschatteten verdächtige Subjekte noch persönlich auf der Straße. Dank des technologischen Fortschritts lässt sich all dies heutzutage noch wesentlich subtiler bewerkstelligen. Warum sollte man sich noch selbst draußen die Hände schmutzig machen und eigene Geräte für Eingriffe in die Privatsphäre anderer Personen nutzen, wo sich doch Mobiltelefone als Sensorplattform zur umfassenden Fernüberwachung der Privatsphäre nahezu beliebiger Subjekte geradezu anbieten?

4 IAM MIGRATIONSSTRATEGIE 21. LEBT IHR IDENTITY MANAGEMENT NOCH ODER STIRBT ES SCHON? Barbara Müller Philipps Sohn Anwender von Identity & Access Management (IAM) Lösungen leiden in letzter Zeit verstärkt unter den oft fatalen Folgen eines sich rasch verändernden IAM-Anbieter-Marktes, oft verbunden mit einer unfreiwilligen Verkürzung der Lebensdauer ihrer Identity & Access Management Lösungen. Anwenderunternehmen, die sich oft erst vor kurzem aus Sicherheitsgründen für die Softwarelösung eines Global Players entschieden hatten, stehen heute bereits vor der Frage: Wie geht es weiter? MOBILE SECURITY 25. ANDROID MALWARE: AKTUELLE GEFAHREN UND EINBLICKE IN EINES DER BEKANNTESTEN ANALYSESYSTEME Michael Spreitzenbarth Da sich Mobiltelefone immer größerer Beliebtheit erfreuen, rücken sie auch immer weiter in den Fokus von Kriminellen. Waren vor ein bis zwei Jahren nur einige hundert bösartige Applikationen für mobile Endgeräte in der freien Wildbahn bekannt, sind es heute schon weit über und es kommen täglich neue Schädlinge hinzu. Der Funktionsumfang dieser Schädlinge reicht vom Versenden von einfachen premium SMS, über Banking-Trojaner bis hin zu ausgereiften Exploits, die das infizierte Telefon zu einem fernsteuerbaren Bot verwandeln. In diesem Artikel wird ein Überblick darüber gegeben wie die aktuelle Bedrohungslage für Android Telefone aussieht. Darüber hinaus wird eines der bekanntesten Analysesysteme für schadhafte Android Applikationen vorgestellt. Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen, möchten wir ankündigen, dass hakin9-abwehrmethoden Magazin seinem Profil treu bleibt. Unser Magazin dient ausschließlich den Erkenntniszwecken. Alle im Magazin präsentierten Methoden sollen für eine sichere IT fungieren. Wir legen einen großen Wert auf die Entwicklung von einem sicheren elektronischen Umsatz im Internet und der Bekämpfung von IT Kriminalität.

5 Hakin9 IsDebuggerPresent / CheckRemoteDebuggerPresent Eine der populärsten zu Anti-Debugging-Zwecken eingesetzten API-Funktionen ist IsDebuggerPresent aus der Win32-API kernel32.dll. Mit Hilfe dieser Funktion lässt sich überprüfen, ob die die Funktion aufrufende Anwendung im Kontext eines Debuggers ausgeführt wird oder nicht; allerdings ist die Überprüfung auf Ring 3-Debugger begrenzt, also auf solche, welche im User Mode mit begrenzten Pri- Anti-Debugging- Techniken Olivia von Westernhagen Anti-Debugging kann als Teilbereich des Anti-Reverse-Engineering verstanden werden: Durch geeignete Techniken wird versucht, speziell die Analyse im Kontext eines Debuggers zu erschweren. Eingesetzt werden Anti-Debugging-Techniken sowohl von Herstellern kommerzieller Software als auch von Programmierern von Viren, Trojanern und anderer Malware. Erstere wollen verhindern, dass Algorithmen zu Generierung von Seriennummern analysiert oder der Kopierschutz ihres Programms anderweitig umgangen wird; sie verfolgen somit kommerzielle Interessen. Kommerzielle Interessen nehmen in Zeiten des Kontodaten- und sonstigen Datendiebstahls auch im Lager der Malware-Autoren mehr und mehr zu; bei ihnen sind es die Engines der Anti-Viren-Scanner sowie auch die manuelle Analyse durch Sicherheitsexperten, die es auszutricksen bzw. zu verhindern gilt. Im vorliegenden Artikel werden, stellvertretend für eine große Vielfalt unterschiedlichster Anti-Debugging-Techniken, einige wenige Beispiele herausgegriffen und erläutert. Zur Sprache kommen dabei das API-basierte Anti-Debugging, das hardwareund register-basierte Anti-Debugging sowie die so genannten TLS-Callbacks. Es handelt sich hier um abgewandelte Auszüge aus meiner Bachelor-Arbeit zum Thema Anti-Debugging-Techniken unter Windows-NT-basierten 32-Bit-Betriebssystemen - und selbstverständlich nur um einen Bruchteil dessen, was in der Praxis an Anti-Debugging-Techniken zum Einsatz kommt. Ziel ist es zu zeigen, wie komplex, vielfältig und interessant die Thematik sein kann. Zur vertiefenden Lektüre sei Interessierten vor allem die englischsprachige Abhandlung Anti-Debugging A Developers View von Tyler Shields empfohlen. Dort nimmt Shields eine ausführliche Kategorisierung der existierenden Techniken vor und beschreibt viele von ihnen im Detail. Zusätzlich enthält die Anti-unpacker tricks -Artikelserie von Peter Ferrie einige sehr ungewöhnliche und spannende Tricks und bietet somit eine gute Ergänzung zu Shields. API-basiertes Anti-Debugging Beim Einsatz von Windows-API-Funktionen zu Anti-Debugging-Zwecken muss zwischen regulären Win-API-Funktionen sowie solchen aus der so genannten Native API unterschieden werden (wobei erstere häufig auch auf letztere zugreifen). Funktionen der Native API sind zumeist wesentlich schlechter dokumentiert, was mögliche Gegenmaßnahmen oft weniger offensichtlich und die Umgehung der Techniken schwieriger macht. Auch ist in einigen Fällen aufgrund der fehlenden Dokumentation erst einmal gar nicht wirklich klar, was da passiert und warum. Zu beiden APIs liefere ich im Folgenden einige Beispiele. 5 1/2013

6 Anti-Debugging-Techniken vilegien und ohne Zugriff auf Elemente des Kernel (Ring 0) arbeiten. Zu den Rückgabewerten heißt es in der Dokumentation des MSDN: If the current process is running in the context of a debugger, the return value is nonzero. If the current process is not running in the context of a debugger, the return value is zero. Intern liest IsDebuggerPresent einen Wert aus einem Feld des Process Environment Block (PEB) aus. Der PEB ist eine Datenstruktur, welche bei jedem Start eines neuen Prozesses erzeugt wird und sich dann im virtuellen Adressraum des zugehörigen Prozesses befindet. Das betreffende, für den Debug-Prozess relevante Feld heißt BeingDebugged. IsDebuggerPresent ist keine Anti-Debugging-Funktion per se, sondern dient vor allem dazu, während der Entwicklung eines Programms dessen Verhalten im Debugger gezielt zu beeinflussen. So kann auf einen positiven Rückgabewert (= 1) beispielsweise der Aufruf von OutputDebugString() folgen, einer Funktion, welche das Anzeigen benutzerdefinierter Strings im Debugger bzw. in speziellen Programmen wie DebugView ermöglicht. Die Abfrage eines Passworts oder einer Seriennummer könnte aus praktischen Gründen im Rahmen des Entwicklungsprozesses ebenso entfallen (wobei es fatal wäre, in der finalen Version das Entfernen/Auskommentieren der Funktionsaufrufe zu vergessen). Sofern die Funktion zum Anti-Debugging verwendet wird, folgt auf einen Aufruf von IsDebuggerPresent und einen positiven Rückgabewert typischerweise ein Aufruf von ExitProcess(), um das Programm mitsamt aller laufenden Threads zu beenden. Alternativ wäre auch ein Szenario denkbar, bei dem im Falle eines positiven Rückgabewertes der Programmablauf geändert würde, um den Reverse Engineer auf eine falsche Fährte zu führen. IsDebuggerPresent ist recht einfach zu umgehen, indem man den stets im Register EAX auftauchenden Rückgabewert von 0 nach 1 ändert; alternativ lässt sich auch das BeingDebugged- Feld direkt modifizieren. In der Praxis taucht IsDebuggerPresent meist in Kombination mit weiteren Anti-Debugging-Maßnahmen auf, da die Funktion für sich allein gesehen kaum Sicherheit vor einer Analyse bietet und ihr Rückgabewert leicht manipuliert werden kann. CheckRemoteDebuggerPresent Es ist auch möglich, aus dem Kontext einer weiteren Programmkomponente zu überprüfen, ob ein Programm gedebuggt wird oder nicht. Zu diesem Zwecke dient die ebenfalls in der dll kernel32.dll enthaltene Funktion CheckRemoteDebuggerPresent. Die zu übergebenden Parameter sind einerseits die Handle-ID des Prozesses, der überprüft werden soll und andererseits eine (boolesche) Variable, in welche der Rückgabewert TRUE oder FALSE (1 oder 0) geschrieben wird. Auch in diesem Fall wird der Wert von BeingDebugged aus dem PEB (in diesem Fall aus dem PEB des entfernten Prozesses) ausgelesen. OpenProces Ebenfalls kernel32.dll entstammt die Funktion OpenProcess, welche, je nach übergebener Prozess-ID, ein offenes Handle (also einen Objektschlüssel/eine Referenz) zum laufenden Prozess zurückgibt. HANDLE WINAPI OpenProcess( in DWORD dwdesiredaccess, in BOOL binherithandle, in DWORD dwprocessid ); dwprocessid legt die Prozess-ID fest. Während binherithandle für die Thematik des Anti-Debugging nicht relevant ist (es legt fest, ob neu erzeugte Prozesse das Handle erben und kann auf FALSE gesetzt werden), legt dwdesiredaccess die gewünschten Zugriffsrechte fest. Während der Ausführung wird gegengeprüft, ob der aufrufende Prozess berechtigt ist, den zweiten Prozess mit den gewünschten/übergebenen Rechten zu öffnen; ist dies nicht der Fall, so wird statt des Handles NULL zurückgegeben. Weiter heißt es bei MSDN zum Parameter dwdesiredaccess: If the specified process is the Idle process or one of the CSRSS processes, this function fails and the last error code is ERROR_ACCESS_DENIED because their access restrictions prevent user-level code from opening them. Abb. 1: Beispiel für OpenProcess 6

7 Hakin9 Aber: If the caller has enabled the SeDebugPrivilege privilege, the requested access is granted regardless of the contents of the security descriptor. Die Kombination dieser beiden Fakten ist der Schlüssel zur Verwendung von OpenProcess als Anti-Debugging-Methode: Anwendungen, die im Kontext eines Debuggers laufen, erhalten nämlich automatisch das oben erwähnte Privileg - das sie als gewöhnliche Programme im User-Mode nicht hätten. Ist der Aufruf von OpenProcess mit den Parametern PRO- CESS_ALL_ACCESS sowie der ID eines CSRSS-Prozesses (csrss.exe) erfolgreich, d.h. wird nicht NULL, sondern ein offenes Handle zurückgegeben, so läuft der Prozess in einem Debugger (siehe Abbildung 1). NtSetInformationThread / ZwSetInformationThread Im Hinblick auf die nachfolgend beschriebenen nativen API- Funktionen muss bemerkt werden, dass viele Funktionen sowohl mit dem Präfix Nt als auch mit dem Präfix Zw existieren. Ein bereits 2003 veröffentlichter Artikel aus dem NT Insider erläutert, dass Funktionen mit den Präfixen Nt bzw. Zw zumindest bei Aufrufen aus dem User-Mode gleichwertig behandelt werden können, da sie beide auf dieselbe Speicheradresse in ntdll.lib verweisen. In MSDN findet sich bei der Dokumentation von Nt - und Zw -Funktionen mehrfach die Aussage, dass beide zwei verschiedene Versionen ein und derselben nativen Windows System Services-Routine darstellen. Zwar widersprechen die Ausführungen im NT-Insider-Artikel dem Statement, beide Funktionsaufrufe würden identisch behandelt; da deren detaillierte Differenzierung jedoch den Rahmen der vorliegenden Arbeit sprengen würde, werden Aufrufe mit Nt bzw. Zw in diesem und den folgenden Kapiteln gleichwertig bzw. gemeinsam behandelt. Kommen wir nun jedoch zu NtSetInformationThread bzw. ZwSetInformationThread. Zugrunde gelegt wird hier die MS- DN-Dokumentation von ZwSetInformationThread, nach der die ursprüngliche Bestimmung der Funktion die Rückgabe der Priorität eines Threads ist. Die Syntax ist die Folgende: NTSTATUS ZwSetInformationThread( in HANDLE ThreadHandle, in THREADINFOCLASS ThreadInformationClass, in PVOID ThreadInformation, in ULONG ThreadInformationLength ); Soll ZwSetInformationThread als Anti-Debugging-Technik angewendet werden, so ist der erste zu übergebende Parameter die Handle-ID des Debugger-Threads. Zum zweiten Parameter liefert MSDN keine brauchbaren Hinweise. In Anti-Debugging A Developers View heißt es jedoch in Bezug auf NtSetInformationThread, welches dieselben Parameter wie ZwSetInformationThread übergeben bekommt: Of interest to us for anti-debugging purposes are the first and second parameters, which contain the target handle and the ThreadInformationClass constant. By setting this constant to 0x11 (ThreadHideFromDebugger) and submitting the call we can disconnect a debugger from our running process. Das Setzen der letzten zwei Parameter auf 0 bewirkt also eine Abkopplung des Prozesses vom Debugger. NtYieldExecution / ZwYieldExecution Bei NtYieldExecution handelt es sich um eine durch Microsoft völlig undokumentierte Funktion aus ntdll.dll, welche unter anderem von Peter Ferrie (Anti-unpacker tricks - part one, erschienen im Virus Bulletin 12/08) sowie von einem Autor mit dem Nicknamen gabri3l im ARTeam E-Zine (Ausgabe 2/06) beschrieben wurde. Ein Aufruf von NtYieldExecution soll den laufenden Thread dazu veranlassen, einem beliebigen anderen im Scheduler gelisteten Thread eines laufenden Prozesses die Nutzung der CPU zu überlassen. In der Wine API, einer Open Source-Implementation der Windows-API, findet sich folgender Quellcode für NtYield- Execution: NTSTATUS WINAPI NtYieldExecution(void) { #ifdef HAVE_SCHED_YIELD sched_yield(); return STATUS_SUCCESS; #else return STATUS_NO_YIELD_PERFORMED; #endif } Abb 2: Beispiel für ZwYieldExecution 7 1/2013

8 Anti-Debugging-Techniken Es existieren also, abhängig davon, ob es möglich ist, einem anderen Thread CPU-Zeit zu überlassen oder nicht, zwei mögliche Rückgabewerte, welche laut Wine API die Folgenden sind: #define STATUS_NO_YIELD_PERFORMED #define STATUS_SUCCESS 0x x Da beim Single-Stepping, also der Ausführung eines Programms in Einzelschritten, wie es im Debugger möglich ist, jeder Schritt ein Debug-Event mit sich bringt, ist der entsprechende Thread ständig auf der Warteliste. Ruft man NtYieldExecution also im Rahmen einer Schleife mehrfach auf und bekommt jedes Mal eine STATUS_SUCCESS- Meldung zurück, so ist es sehr wahrscheinlich, dass die Anwendung im Kontext eines Debuggers läuft. Abbildung 2 zeigt ein Beispiel für die Implementierung der Funktion. Im Beispiel wird ZwYieldExecution insgesamt fünfzehnmal und jedes Mal mit einer Verzögerung von 15 Millisekunden aufgerufen. Ist das Ergebnis eines der Aufrufe ungleich 0, was STATUS_NO_YIELD_PERFORMED entspricht, so wird der Wert von ESI, der ursprünglich 0 ist, jeweils um 1 erhöht. Nach der 15ten Wiederholung wird getestet, ob ESI noch immer 0 ist ist dies der Fall, so wird die Nachricht Debugger detected ausgegeben. Hardware- und register-basiertes Anti-Debugging Anders als Sofware-Breakpoints bringen Hardware-Breakpoints keine Modifikationen des Codes mit sich. Für sie stehen stattdessen insgesamt acht spezielle 32-Bit Debug-Register zur Verfügung: DR0 bis DR7. Ein Auszug aus der Struktur des Abb. 3: Aufbau der Debug-Register. 8

9 Hakin9 Registers ist in Abbildung 3 zu sehen. Da nur die Register DR0 bis DR3 zum Speichern der entsprechenden linearen Adressen vorgesehen sind und jedes der 32-Bit-Register nur eine Adresse aufnehmen kann, können jedoch jeweils nur vier Hardware-Breakpoints gesetzt werden. Je nachdem ob ein bestimmtes Flag gesetzt ist oder nicht, werden DR4 und DR5 entweder synonym mit DR6 und DR7 verwendet, oder aber es wird beim Zugriff eine Invalid Opcode -Ausnahme ausgelöst. Bei DR6 handelt es sich um ein Status-Register, in welchem jeweils die Bedingungen gespeichert werden, die herrschten, als die letzte Debug-Exception auftrat. Das Debug-Kontroll-Register DR7 schließlich enthält Informationen über die in DR0 bis DR3 gespeicherten Hardware-Breakpoints. Landet man im Debugger nun an einer der in den Registern gespeicherten Adresse, so wird eine so genannte Single-Step Exception (INT 1) ausgelöst. Der für den Benutzer sichtbare Effekt ist derselbe wie im Falle eines Software-Breakpoints, d.h. das laufende Programm hält in der Ausführung bei der Adresse, an welcher der Breakpoint gesetzt wurde. Adressiert werden können die Debug-Register über eine so genannte Context Structure, deren erstes Element das Feld ContextFlags ist. Eine mögliche Methode, um Hardware-Breakpoints ausfindig zu machen, ist die Verwendung der Funktion GetThread- Context. Bei MSDN heißt es zu GetThreadContext: The function retrieves a selective context based on the value of the ContextFlags member of the context structure. Weist man ContextFlags nun vor dem Aufruf CONTEXT_ DEBUG_REGISTERS zu, so erhält man als Rückgabewert von getthreadcontext die gewünschten Registerinhalte nämlich die der Debugregister DR0 bis DR3 und kann so überprüfen, ob Hardware-Breakpoints gesetzt wurden oder nicht. Josh Jackson liefert in seinem Anti-Reverse Engineering Guide folgende Implementierung dieser Methode: int CheckHardwareBreakpoints() { unsigned int NumBps = 0; CONTEXT ctx; ZeroMemory(&ctx, sizeof(context)); ctx.contextflags = CONTEXT_DEBUG_REGISTERS; HANDLE hthread = GetCurrentThread(); if(getthreadcontext(hthread, &ctx) == 0) } return -1; if(ctx.dr0!= 0) ++NumBps; if(ctx.dr1!= 0) ++NumBps; if(ctx.dr2!= 0) ++NumBps; if(ctx.dr3!= 0) ++NumBps; return NumBps; Eine zweite Variante beinhaltet statt des Ausesens der Register deren Manipulation: Vorhandene Speicheradressen sowie weitere Inhalte aus allen Debug-Registern werden gelöscht (auf 0 gesetzt) und die Hardware-Breakpoints auf diese Weise gelöscht. TLS-Callbacks Anders als lokale Variablen, welche stets auf dem Stack des jeweiligen Threads gespeichert werden und somit für andere Threads nicht ansprech- bzw. manipulierbar sind, besitzen globale und statische Variablen normalerweise festgelegte virtuelle Adressen. Dies birgt die Gefahr, dass mehrere Threads parallel auf die dort gespeicherten Daten zugreifen und diese manipulieren. Um Threadsicherheit zu gewährleisten, ermöglicht der so genannte lokale Threadspeicher (engl. Thread Local Storage, kurz: TLS), die Verwendung so genannter thread-lokaler Variablen in einem Programm. Jede globale bzw. statische Variable genauer: Jedes Datenobjekt- erhält im Kontext eines bestimmten Threads einen eigenen Speicherbereich. Zur Laufzeit können dort gespeicherte Variablenwerte bzw. thread-spezifische Daten durch Aufrufe der API-Funktionen TlsGetValue und TlsAlloc abgerufen oder um weitere so genannte TLS- Indices erweitert werden. In diesen können per TlsSetValue wiederum Daten gespeichert werden. TlsFree dient zum Entfernen einzelner Indices. TLS kann sowohl zur Laufzeit auf der Grundlage der aufgezählten API-Funktionen als auch mit Hilfe vordefinierter, programmiersprachenabhängiger Schlüsselwörter oder, im Falle von C/C++, auf Compiler-Ebene implementiert werden. Letztere Möglichkeit ist relevant fürs Anti-Debugging. Realisiert wird TLS durch Zugriffe auf den bereits aus einigen vorangegangen Kapiteln bekannten Thread Environment Block. Wie bereits erläutert wurde, besitzt jeder Thread einen eigenen TEB, dessen Adresse im File Segment Register ge- Abb. 4: Entrypoint-Liste in IDA mit TLS-Callback-Funktion. 9 1/2013

10 Anti-Debugging-Techniken Abb. 5: Dialogfenster in Olly 2.x speichert ist (FS:[0]). An Offset 0x2C findet sich ein Zeiger auf den so genannten Thread Local storage table, der auch als TLS array bezeichnet wird. Dazu heisst es in der Microsoft Portable Executable and Common Object File Format Specification: The TLS array is an array of addresses that the system maintains for each thread. Each address in this array gives the location of TLS data for a given module (EXE or DLL) within the program. The TLS index indicates which member of the array to use. Über ein und denselben TLS-Index können nun mehrere Threads ein und dasselbe Daten-Objekt ansprechen, verwenden und manipulieren und kommen sich dabei aufgrund der Nutzung unterschiedlicher, in ihrem jeweiligen TLS-Array definierter Speicherbereiche, nicht in die Quere. Interessant für das Anti-Debugging ist nun die Tatsache, dass für jedes TLS-Datenobjekt eine oder auch mehrere so genannte TLS-Callback-Funktionen definiert werden können, die als Array in einem Feld der jeweiligen TLS-Struktur gespeichert sind. Diese Rückruffunktionen werden vor dem eigentlichen, im PE-Header definierten Einsprungspunkt des Programms ausgeführt. Da in einem Debugger für gewöhnlich die Code-Analyse erst mit dem Erreichen des Einsprungspunktes beginnt, können vorher diverse Anti-Debugging-Maßnahmen ergriffen werden; im Falle von Malware kann sogar die Infektion des Systems innerhalb einer Callback-Funktion erfolgen. Der Disassembler und Debugger IDA Pro zeigt in seiner Entryppoint-Liste jegliche TLS-Callback-Funktionen samt Adressen an (siehe Abbildung 4). Auch die Version 2.x des populären Debuggers OllyDbg, die sich aktuell noch in der Beta-Phase befindet, verfügt über ein Dialogfenster, in welchem sich eine TLS-Callback-Funktion statt dem normalen Einsprungspunkt als gewünschte Startpunkte angeben lässt, sofern diese zuerst ausgeführt wird (siehe Abbildung 5). Diese Funktionalität erreicht jedoch ihre Grenzen, sobald mehr als eine TLS-Callback-Funktion vorhanden ist; jeder weitere Callback nach dem Ersten wird nämlich nicht beachtet. Daher empfiehlt es sich in jedem Falle, zunächst zumindest eine statische Analyse in IDA Pro durchzuführen, um anschließend einen Breakpoint auf die Startadressen der entsprechenden Funktionen setzen zu können. Olivia von Westernhagen hat Medieninformatik studiert und zusätzlich die Prüfung zum Certified Reverse Engineering Analyst (CREA) abgelegt. Sie arbeitet als Malware-Analystin für Doctor Web Deutschland GmbH; dort ist sie für die statistische Erhebung und Evaluierung aktueller Virenbedrohungen zuständig und verantwortet die manuelle Analyse ausgewählter Malware-Samples. Für hakin9 schreibt sie regelmäßig über die von ihr durchgeführten Analysen. Die Autorin freut sich über Feedback und kann über Twitter und Xing kontaktiert werden. 10

11

12 Hakin9 Werbung oder Spionage? Analyse der Adware Sanctioned Media Olivia von Westernhagen Lästige Werbebanner werden häufig durch so genannte Adware oder Spyware verursacht, die im Installationspaket mit legitimen Programmen, oft aber auch völlig unbemerkt auf den PC gelangt. Sie sammelt Informationen über unsere Surf-, Klick- und Kaufgewohnheiten, um uns anschließend als potenziellen Kunden die passende Werbung vorzusetzen. Doch welche Informationen werden gesammelt, und werden diese wirklich nur für personalisierte Ads verwendet? Der vorliegende Artikel zeigt am Beispiel der.net-basierenden Malware Sanctioned Media, wie fließend die Grenzen zwischen Werbung und Spionage sein können. Unter dem Begriff Adware versteht man üblicherweise ein Programm, das dem Zweck dient, in Browsern oder Programmen Werbeanzeigen einzublenden bzw. entsprechende Pop-Ups zu öffnen. Adware kann auch funktionale Software sein, die Werbung einblendet, z.b. im Falle von Toolbars oder einiger Instant Messaging-Programme. Fließend ist der Übergang zur Spyware; laut Wikipedia handelt es sich hierbei um Software, die Daten eines Computernutzers ohne dessen Wissen oder Zustimmung an den Hersteller der Software [...] sendet oder dazu genutzt wird, dem Benutzer über Werbeeinblendungen Produkte anzubieten. Wirft man einen detaillierteren Blick auf die Software Sanctioned Media, so wird man schnell feststellen, dass letztere Definition zutrifft. Zumindest im Falle des hier analysierten Samples werden ohne Wissen und Zustimmung des PC-Nutzers Daten zum Zwecke personalisierter Werbung gesammelt und gesendet. Welche Daten im Einzelnen an die Server gesendet und in welcher Weise diese anschließend verwendet werden, werde ich ausführlich erklären und anhand einiger Beispiele demonstrieren. Zunächst einmal jedoch stellt sich die Frage, auf welchem Wege Sanctioned Media überhaupt auf den PC gelangt. Dazu vergleiche ich die Angaben auf der Internetpräsenz von Sanctioned Media mit dem tatsächlichen Verbreitungsweg. Auf eine kurze Analyse des Droppers folgt die statische und dynamische Analyse der eigentlichen Adware. Interessierte Leser können beide Dateien vom haking.eu-server herunterladen; das Passwort zum Archiv lautet infected. Das Wissen darum, dass es sich hier um Schadsoftware handelt, die das System manipulieren kann und die nur in einer virtuellen Maschine ausgeführt werden sollte, ist Mindestvoraussetzung für eine verantwortungsvolle und erfolgreiche Analyse. Viel Spaß dabei! Sanctioned Media eine seriöse Software? Unter sanctionedmedia.com findet man sowohl eine Übersicht der Funktionsweise der Software als auch einen Lizenzvertrag und eine Datenschutzerklärung. Offen wird auf der Startseite geschildert, dass das Programm nach der Installation kontextbasierte Anzeigen anhand in den Browser eingegebener URLs einblendet angeblich maximal 3mal täglich. Hierzu werden 12 1/2013

13 Werbung oder Spionage? Abbildung 1: Die Startseite von sanctionedmedia.com Daten gesammelt und an die Server von Sanctioned Media gesendet, der die entsprechenden Ads zurückgibt. Zudem erfährt man, wenn auch nicht im Rahmen eines ordentlichen Impressums, dass hinter Sanctioned Media eine Firma namens White Paw Products steckt. Auf deren Website whitepawproducts.com wiederum wird erwähnt, dass monatlich 10 % der Werbeeinahmen, die mit Sanctioned Media erzielt werden, für humanitäre Zwecke eingesetzt würden. Dies alles weckt erst einmal Vertrauen und Sympathie. Wichtig ist daher, kritisch zu überprüfen, ob bzw. inwieweit die beschriebene Funktionsweise mit der Realität übereinstimmt und ob Lizenzvertrag und Datenschutzerklärung auch wirklich eingehalten werden. Abbildung 2: Der zweite Redirect, der zum Download des Archivs führt. 13

14 Hakin9 Drei wesentliche Punkte werden im Verlauf dieses Artikels überprüft werden: Hat der Benutzer eine Wahl bezüglich der Installation des Programms auf seinem PC? Dies würde voraussetzen, dass er im Rahmen einer Installationsroutine von der Installation in Kenntnis gesetzt wird und diese ablehnen kann. Welche privaten Daten werden während der Installation und Programmausführung gesammelt, und werden diese wirklich nur an die Server von Sanctioned Media gesendet? Dies zumindest wird in der Datenschutzerklärung behauptet. Lässt sich Sanctioned Media tatsächlich in jedem Fall problem- und vor allem rückstandslos deinstallieren? Infektionsherd Eisdiele Der im vorigen Abschnitt aufgeführte erste Punkt nämlich die Freiwilligkeit der Installation - setzt voraus, dass Sanctioned Media im Bundle mit anderer Software installiert und im Kontext eines Installationsmenüs abgewählt werden kann. Tatsächlich scheint dies bei einigen Versionen der Fall zu sein: Bemüht man eine Suchmaschine, so finden sich einige Beschreibungen der Adware, in denen diese zusammen mit legitimen Programmen wie z.b. Bildschirmschonern installiert wird. Im vorliegenden Fall jedoch, auf den mich einer der Moderatoren des bekannten Malware-Entfernungs-Forums trojaner-board.de aufmerksam machte, wollte ein betroffener Forumsnutzer eigentlich nur ein Eis essen. Unbedarft gab er bei Google eine bestimmte Begriffskombination ein, um eine Eisdiele in einer bestimmten Stadt zu finden. Beim Klicken auf den ersten Link in der Ergebnisliste dürfte dem Eis-Fan die Vorfreude jedoch im Halse stecken geblieben sein: Sofern ein Google-Referer gesetzt ist, leitete die gehackte Eisdielen-Seite nämlich auf einen weiteren, vermutlich ebenfalls gehackten, Server um, der seinerseits auf einen dritten Server weiterleitete. Dieser nun bot dem Nutzer ein Zip-Archiv namens goog1e_gelato_bt.zip an, welches eine gleichnamige.exe-datei enthielt. Ob besagter Nutzer diese nun ausführte oder nicht, ist mir nicht bekannt; sollte er es getan haben, hätte er es jedenfalls mit einem Dropper zu tun bekommen, der seinerseits die Spyware Sanctioned Media heruntergeladen hätte. Folgende Verbindungen wurden im Falle eines erfolgreichen Downloads geführt: Abbildung 3: 33 von 44 Scannern erkennen den Dropper als Malware. 14 1/2013

15 Werbung oder Spionage? Anfrage: GET Antwort: HTTP/ Found -> js&a= &dpid= &fpc=bt6sjsj_%7cmtsf83fmaa%7cfses % 3D%7CpEzdcLfMaa%7CBT6SjSJ_%7Cf- vis %3d%7c8mt8100m8m%7c8mt- 8100M8M%7C8MT8100M8M%7Cs%7C8MT8100M8M% 7C8MT8100M8M&ittidx=0&flv=Shockwave%20Flash% %20r102&n=-7&g=en-US&h=N&j=1280x720&k=24&l= true&f=http%3a%2f%2fwww.[platzhalter].de%2f&b=hamil%20akibat%20pergi%20ke%20warung%20pakai%20 Handuk%20-%20Yahoo!%20News%20Indonesia&enc=U- TF-8&e=http%3A%2F%2Fwww.[platzhalter].de%2F&d=- Mon%2C%2009%20Jul%202012%2004:35:27%20GMT Anfrage: GET pl?v= js&a= &dpid= &fpc=BT6SjSJ_%7Cmtsf83fMaa%7Cfses %3D%7CpEzdcLfMaa%7CBT6SjSJ_% 7Cfvis %3D%7C8MT8100M8M%7C8MT- 8100M8M%7C8MT8100M8M%7Cs%7C8MT8100M- 8M%7C8MT8100M8M&ittidx=0&flv=Shockwave%20Flash% %20r102&n=-7&g=en-US&h=N&j=1280x720&k=24&l=tru e&f=http%3a%2f%2fwww.[platzhalter].de%2f&b=hamil%20 Akibat%20Pergi%20ke%20Warung%20Pakai%20Handuk%20 -%20Yahoo!%20News%20Indonesia&enc=UTF-8&e=http%3A%2F%2Fwww.[platzhalter].de%2F&d=Mon%2C%20 09%20Jul%202012%2004:35:27%20GMT Antwort: HTTP/ Found -> com Anfrage: GET Antwort: Der Zipfiledownload ( goog1e_gelato_bt.zip ) Pro IP-Adresse wurde der Download nur ein einziges Mal ausgeführt, während bei einem zweiten Klick auf den Link auf die korrekte Internetseite weitergeleitet wurde. Bei einem nächsten ersten Versuch wurde nach erneutem Öffnen des Browsers zu Google zurückgeleitet. Diese Tatsache macht es relativ unwahrscheinlich, dass den Betreibern der Eiscafé-Seite in naher Zukunft aufgefallen wäre, dass ihr Server gehackt wurde zumal sie selbst und auch Freunde und Bekannte vermutlich ohnehin eher den direkten Weg auf ihre Website statt die Suche über Google bevorzugen. Mittlerweile wurden sie jedoch informiert. Der heruntergeladene Dropper, welcher Sanctioned Media installiert, ohne den Nutzer im Rahmen einer Installationsroutine um Erlaubnis zu fragen, wird im nachfolgenden Abschnitt zusammenfassend beschrieben. Hierbei wurden hauptsächlich Details beachtet, die direkt mit der Installation in Verbindung stehen. Mehr als nur ein Dropper goog1e_gelato_bt.exe mit der MD5-Prüfsumme 2d9ad 58a7b2bda0c29cbc9ffcab9ff6b wurde in C++ geschrieben und mit MS Visual Studio in Version 6.0 kompiliert. Das Sample verfügt über einen Custom Verschlüsselungslayer und ist im Inneren zusätzlich mit UPX gepackt. Diese Geheimniskrämerei hat gute Gründe, haben wir es doch nicht nur mit einem simplen Dropper, sondern mit einem Trojaner mit eigenen Schadfunktionen zu tun. Im Vordergrund steht hierbei das Sammeln von Informationen, beispielsweise über die Prozessorarchitektur, Betriebssystem-Version und Windows Product-ID, den NetBIOS-Namen, die BIOS-Version, das verwendete Dateisystem, den freien Speicherplatz auf der Festplatte, Adminrechte des Nutzers, eingegebene URLs und kürzlich betrachtete Dokumente. Verwendet werden zu diesem Zweck meist native und teils recht exotische API-Funktionen wie ntdll.versetconditionmask in Kombination mit kernel32.verifyversioninfo, kernel32.get- VolumeInformation und GetVolumeNameForVolumeMount- Point, kernel32.globalmemorystatusex und GetFreeDiskSpaceEx. Unter anderem werden auch Werte aus den Registrykeys HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ RecentDocs, HKCU\Software\Microsoft\Internet Explorer\TypedURLs und SOFTWARE\Microsoft\Windows NT\Current Version ausgelesen. Zum Teil werden die gewonnenen Informationen für Anti- Debugging- und Anti-VM-Zwecke genutzt; zum Teil wurden sie jedoch auch in verschlüsselter Form an die hardgecodete IP gesendet, die mittlerweile offline ist. Das Nachladen personalisierter, optimal auf das übermittelnde System abgestimmter Malware an dieser Stelle mehr als wahrscheinlich. Bekräftigt wird diese Annahme noch durch die Tatsache, dass der Dropper unter Verwendung der Funktionen ResetSR und DisableSR aus srclient.dll alle Systemwiederherstellungspunkte löscht und das Erstellen künftiger Punkte deaktiviert. Auch die Information über den Erfolg oder Misserfolg dieser Aktion wird an den entfernten Server zu übermitteln versucht. Eine DNS-Anfrage seitens der Malware zur Domain intohave. com sowie auch die bei einem VirusTotal-Scan der Datei angezeigten Aliases zeigen, dass wir es hier mit einer Malware zu tun haben, die auch als Pirminay oder Ponmocup bekannt ist. Weitere Ausführungen hierzu würden Rahmen und Thematik dieses Artikels sprengen; interessierte Leser können auf eigene Faust analysieren, recherchieren und beispielsweise unter weitere Informationen zu diesem Trojaner finden. Einige der Informationen legen die Existenz eines Ponmocup-Botnetzes nahe; eine eingehendere Betrachtung des Samples lohnt mit Sicherheit. Doch nun weiter mit der Sanctioned-Media-Analyse. Für Leser, die noch immer nicht an der Seriosität der Adware zweifeln, sei an dieser Stelle festgehalten, dass das Übermitteln von Nutzerdaten an einen Server, der nicht zur Firma White Paw Products gehört, gegen die auf der Internetpräsenz aufgeführten Datenschutzerklärung verstößt. Die Sanctioned-Media-Adware wird unter zufälligem Namen in den system32-ordner kopiert, bevor ein entsprechender Autostart-Eintrag unter Software\Microsoft\Windows\Current- Version\Policies\Explorer\Run angelegt und die Adware per CreateProcess gestartet wird. Der Dropper löscht sich anschließend selbst per Batch-File. Leicht durchschaubar: Sanctioned Media Wenden wir uns nun Sanctioned Media selbst zu, das im Archiv unter dem Namen c_949z.exe zu finden ist. Die 146,5 KB große Executable mit der MD5-Prüfsumme ce664510fb7a06dcbae6eaaf47ef5e85 wurde unter Verwendung der.net-plattform umgesetzt. Mögliche Programmiersprachen sind also beispielsweise C#, C++/CLI, Visual Basic.NET, J# oder auch F#. Die Tatsache, dass zum Ausführen das.net Framework (hier in Version 4.0) benötigt wird, macht das Entdeckt werden der ausgeführten Malware auf Betriebssystemversionen vor Windows Vista recht wahrscheinlich, sofern das.net Framework nicht bereits in anderem Zusammenhang installiert wurde. Ab Windows Vista sind die.net-laufzeitumgebung und die zugehörigen Komponenten wie Bibliotheken und Services 15

16 Hakin9 Stattdessen kommen Programme zum Einsatz, die das Modell der Reflexion nutzen. Mittels der Reflection-API kann ein Programm seine eigenen Metadaten zur Laufzeit sehen und zurückgeben. Tools wie.net Reflector oder auch die kostenlose Open-Source-Alternative ILSpy ermöglichen es, wie in einem Browserfenster durch die Klassen und Methoden einer Executable zu blättern ; auch die Ressourcen und XML-Dokumentation sind verfügbar. Abhängigkeiten bzw. Zusammengehörigkeit werden dabei in einer Baumstruktur deutlich und können gezielt analysiert werden. Im kostenfreien ILSpy kann der Programmcode kann wahlweise in C#, VB.NET oder Common Intermediate Language betrachtet werden, während.net Reflector noch weitere Sprachen (z.b. F#, Oxygene) anbietet. Abbildung 4: Das.NET-Basisprinzip. Quelle: Wikipedia (http:// de.wikipedia.org/w/index.php?title=datei:net_basisprinzip_ext.svg) fester Bestandteil des Betriebssystems; diese Tatsache wird.net in naher Zukunft für Malware-Autoren immer interessanter machen. Im vorliegenden Fall allerdings müssen Analysten keinen großen Aufwand betreiben; das Sanctioned Media-Sample ist weder gepackt noch irgendeiner Form obfuskiert, obwohl für.net eine Vielzahl entsprechender Tools angeboten wird..net-code, der zunächst in eine Zwischensprache namens Common Intermediate Language (CIL) übersetzt und erst beim Ausführen innerhalb der Laufzeitumgebung kompiliert wird, lässt sich mit herkömmlichen Reverse-Engineering-Tools wie z.b. IDA Pro oder OllyDbg nicht analysieren. Programmstruktur Das Programm enthält zwei getimte Events, die direkt oder indirekt für den Aufruf fast aller übrigen Methoden verantwortlich sind. Zum einen handelt es sich hierbei um die stündlich ausgeführte Updatemethode UpdateCheck(), zum anderen um eine Methode namens OnTimedEvent(), die alle 5 Minuten Logdaten und gesammelte Informationen an zwei verschiedene Server sendet und folglich auch den Aufruf aller Methoden auslöst, die für das Sammeln bzw. Loggen verantwortlich sind. Basierend auf diesen Informationen werden Ads empfangen, die anschließend in gehookten Browsern angezeigt werden. UpdateCheck() ruft checkfornewversion() auf; unter wird nach neuen Versionen der Adware gesucht. version2.xml hat folgende Struktur: <?xml version= 1.0 encoding= utf-8?> <Smad> <version> </version> <url>http://www.sanctionedmedia.com/prot54.exe</url> </Smad> Abbildung 5: Ausschnitt aus der Update-Methode in C#-Darstellung in ILSpy. 16 1/2013

17 Werbung oder Spionage? Die Versionsangabe im XML wird mit der aktuellen Version verglichen; ist sie größer, so wird die Datei heruntergeladen, unter dem Namen Up.exe im aktuellen Verzeichnis gespeichert und anschließend ausgeführt. OnTimedEvent() ruft die Methode SendData() mit zwei Parametern auf; der erste Parameter ist der Name des Browsers, aus dem der zweite Parameter, nämlich die zuletzt eingegebene URL, ausgelesen wurde. Zum Gewinnen letzterer Information steht eine recht komplexe Klasse namens URLGrabber zur Verfügung, deren Methoden dazu dienen, URLs aus den Browsern Internet Explorer, Opera, Chrome, Navigator, Safari und Firefox auszulesen. SendData() wiederum führt einen HTTP GET-Request zu durch; folgende Parameter werden hierbei übergeben: uid=, &pid=, &ver= : Alle drei Werte werden aus gleichnamigen Registry-Werten ausgelesen, die theoretisch unter HKEY_CURRENT_USER\Software\MSRebar\SysVer gespeichert sein sollten. Im Falle der Installation durch unseren Dropper existiert dieser Key jedoch nicht. Dies zeigt, dass es auch eine andere, reguläre Art der Installation geben muss. &ua= : Der verwendete User Agent (siehe erster an SendData() übergebener Parameter). &os= : Die Betriebssystemversion samt Servicepack und Zielprozessorarchitektur; diese wird von Methoden der Klasse SmadOS bestimmt. &url= : Die zuletzt eingegebene URL (siehe zweiter an SendData() übergebener Parameter). Der Server liefert nun entweder den Satz nothing to pop zurück, oder aber Parameter für die Werbeeinblendung Titel, Link, Breite und Höhe bzw. modale Größe - in einer XML-Datei. Diese Parameter werden von der Methode Adserver() ausgelesen und an RunAd() im Kontext eines neuen Threads übergeben; es folgen weitere Methoden zum Anzeigen der Werbung im Browser. Die beiden Methoden LogEvent() und LogException() werden sowohl von verschiedenen Methoden als auch beim Beenden des Programms aufgerufen. Hier wird eine Reihe von Buchstaben und Zahlencodes zur Dokumentation von Events und Exceptions verwendet; die so erstellten Kombinationen werden in minimal 10-minütigen Intervallen an gesendet. Events können z.b. der Aufruf von SendData()(Zuordnung eines Buchstabens zu einem bestimmten User Agent) oder auch das Beenden des Programms(Zuordnung eines Buchstabens zu einem Beendigungsgrund, siehe Abbildung 6) sein. und die Deinstallation? Auf der Internetpräsenz von Sanctioned Media wird beschrieben, wie sich die Adware angeblich über den Software - Punkt im Systemsteuerungsmenü schnell und rückstandslos deinstallieren lässt. Tatsächlich enthält der Programmcode die Möglichkeit, per Übergabe eines uninstall -Kommandozeilenparameters entsprechende Funktionen aufzurufen; der Ablauf wäre dann wie folgt: Kopieren der eigenständigen, als Ressource enthaltenen Executeble smuninstall.exe in %temp%, dann Aufruf von process.start() unter Angabe des Pfad zu smuninstall.exe. Ausgabe einer Meldung: Are you sure you want to Uninstall MSRebar? Wenn ja : SmadUninstaller.StopSmad(): Beenden des laufenden Abbildung 6: Beispiel für den Einsatz von LogEvent(). 17

18 Hakin9 Abbildung 7: Die Main()-Methode in smuninstall.exe. Sanctioned Media-Prozesses unter Annahme von SysVer. exe als Default-Name. SmadUninstaller.DeleteRegistry(): Öffnen des Autostart-Subkeys HCKU\Software\Microsoft\Windows\CurrentVersion\Run, dort Löschen des Wertes SysVer. Der Uninstall-Registry-Key unter HKLM\Software\Microsoft\ Windows\CurrentVersion\Uninstall\SysVer wird ebenfalls gelöscht. SmadUninstaller.DeleteFiles(): Aufruf Directory.Delete() unter Angabe des Pfades %LOCALAPPDATA% \MSRebar\SysVer.exe. Ausgabe der Meldung Uninstall Complete. Fazit Zusammenfassend lässt sich sagen, dass die Adware Sanctioned Media im Falle einer bewussten Installation recht einfach zu deinstallieren ist und dass sich aus dem Programmcode kein Missbrauch der gesammelten Daten schließen lässt. Undurchsichtig mutet lediglich die Tatsache an, dass Updates ohne Benachrichtigung des Nutzers heruntergeladen und installiert werden; somit kann man nie ganz sicher sein, ob eine neue Version nicht auch neue, ungewollte Funktionen mit sich bringt. Neben der lästigen Werbung könnten wegen des ständigen Netzwerktraffics auch Performanceprobleme auftreten. Und dennoch: Im Normalfall hält die Adware das, was sie auf sanctionedmedia. com verspricht. Sehr bedenklich ist die Installation durch den Trojaner Ponmocup, welche offenbar ganz bewusst heimlich geschieht und eine manuelle Entfernung durch die zufällige Namensgenerierung fast unmöglich macht. Die eingangs vorgenommene Definition von Spyware trifft im Falle des Bundles Ponmocup/ Sanctioned Media eindeutig zu. Ob White Paw Products mit den Ponmocup-Autoren kooperiert, ist nicht klar geworden. Einerseits stellt sich die Frage, warum sie ausgerechnet diese Adware als Payload wählen sollten, wenn keinerlei Verbindung bestünde. Die Tatsache, dass dem Ponmocup-Team offenbar das Wissen darüber fehlt, welche Registrykeys für eine korrekte Sanctioned-Media-Ausführung notwendig sind (siehe Parameterliste im Abschnitt Programmstruktur ), legt andererseits nahe, dass die Verbindung so eng nicht sein kann. Die Analyse zeigt in jedem Fall, dass Adware nicht immer nur durch Unachtsamkeit bei Programminstallationen auf den PC gelangen muss- und dass Werbung und Spionage oft dicht beieinander liegen. Es empfiehlt sich eine regelmäßige Systemüberprüfung mit dem Anti-Viren-Programm Ihres Vertrauens. Mein Dank gilt Markus vom trojaner-board.de-team für seinen Hinweis auf diese interessante Malware-Kombination! Hier wird deutlich, dass die vollständige Deinstallation von Sanctioned Media im Falle einer gewöhnlichen Installation im Bundle mit einem anderen Programm sehr wohl möglich wäre. Im vorliegenden Fall jedoch, wo die Installation im system32-ordner unter zufälligen Namen stattfindet und kein Uninstall-Registrykey existiert, um das Programm in der Software-Liste anzuzeigen, nützt nicht einmal die Übergabe des uninstall-parameters per Kommandozeile. Hier kann im Grunde nur ein Anti-Viren-Programm zur Entfernung verwendet werden. Olivia von Westernhagen hat Medieninformatik studiert und zusätzlich die Prüfung zum Certified Reverse Engineering Analyst (CREA) abgelegt. Sie arbeitet als Malware-Analystin für Doctor Web Deutschland GmbH; dort ist sie für die statistische Erhebung und Evaluierung aktueller Virenbedrohungen zuständig und verantwortet die manuelle Analyse ausgewählter Malware-Samples. Für hakin9 schreibt sie regelmäßig über die von ihr durchgeführten Analysen. Die Autorin freut sich über Feedback und kann über Twitter und Xing kontaktiert werden. 18 1/2013

19 Hakin9 Harmlose Sensoren? Gefahr für die Privatsphäre abseits herkömmlicher Sensordaten-Interpretationen Dirk Bade Früher hantierten Ganoven und Agenten noch mit Peilsendern, versteckten Mikrofone und Kameras in fremden Wohnungen und beschatteten verdächtige Subjekte noch persönlich auf der Straße. Dank des technologischen Fortschritts lässt sich all dies heutzutage noch wesentlich subtiler bewerkstelligen. Warum sollte man sich noch selbst draußen die Hände schmutzig machen und eigene Geräte für Eingriffe in die Privatsphäre anderer Personen nutzen, wo sich doch Mobiltelefone als Sensorplattform zur umfassenden Fernüberwachung der Privatsphäre nahezu beliebiger Subjekte geradezu anbieten? Heutige Mobiltelefone sind mit einer Vielzahl an Sensoren ausgestattet: Kamera, Mikrofon, GPS, Helligkeits-, Näherungs- und Beschleunigungssensoren, Gyroskop, Kompass, Barometer, NFC, W-LAN und Bluetooth, ganz zu schweigen von beliebigen software-basierten, sogenannten virtuellen Sensoren, welche Adressbuch, Terminkalender, startende Anwendungen, den Browserverlauf, Telefongespräche, SMS, s etc. im Auge behalten können. Die vergleichsweise junge Disziplin des Mobile Computing birgt eine Vielzahl von Angriffspunkten um an die Daten all dieser Sensoren heranzukommen. Die Gründe für existierende Einfallstore sind mannigfaltig: hohe Komplexität der Infrastruktur, inhärente Unsicherheit des Übertragungsmediums, hochgradig dynamische Umwelt, hoher Kostendruck, sehr kurze Entwicklungszyklen, unerfahrene Softwareentwickler, unvorsichtige Benutzer etc. Dabei gehört zu den wohl beliebtesten Angriffszielen im weitesten Sinne die Privatsphäre der Benutzer, denn mit sensiblen Informationen lassen sich vielerlei Vorteile erringen, allen voran auch auf legalem Wege Geld verdienen. Jedoch sind gerade die mobilen Technologien diejenigen, die in unserem Alltag allgegenwärtig sind und somit den tiefsten Einblick in unser Verhalten und unsere Vorhaben, unsere Aktivitäten und Beziehungen, unsere Einstellungen und unser Wissen, unsere Vorlieben und Abneigungen sowie unser momentanes Wohlbefinden haben. Kurzum: Mobile Technologien durchdringen unsere Privatsphäre fast vollständig und stellen somit einerseits geeignete Mittel für Angriffe und andererseits selbst auch Angriffsziele dar. Natürlich ist der Zweck mobiler Technologien ein gänzlich anderer: Sie sollen uns im Alltag unterstützen. Mark Weiser brachte den Begriff des Ubiquitous Computing hervor, welcher eine Welt beschreibt, in der intelligente Objekte allgegenwärtig sind. Computer sollen lernen in der Welt der Menschen zu leben und uns als nützliche, unaufdringliche Werkzeuge in Form von Alltagsgegenständen bei all unseren Tätigkeiten 19 1/2013

20 TOP helfend zur Hand gehen. Hierfür ist es unabdingbar, die Geräte mit Sensoren auszustatten, damit sie ihre Umwelt wahrnehmen und sich an den aktuellen Kontext adaptieren können. Allerdings schneidet sich der Kontext der Geräte oft mit der Privatsphäre bzw. dem Kontext der Anwender und genau hier soll dieser Artikel ansetzen und den bewussten Umgang mit Sensordaten aller Art motivieren. Hierfür soll im Folgenden anhand einiger Beispiele aufgezeigt werden, wie bereits heutzutage aus dem Kontext von Geräten Rückschlüsse auf unsere Aktivitäten und unsere Persönlichkeit möglich sind. Ein Blick in die nähere Zukunft soll zudem kurz aufzeigen, dass die aus den Beispielen abgeleiteten Herausforderungen bereits jetzt schon konkret angegangen werden. Bis zum prognostizierten Anbruch des Ubiquitous Computing-Zeitalters ab dem Jahre 2020 werden einige der hierfür entwickelten Methoden und Technologien wohl schon längst die Pubertät hinter sich gelassen haben. Heimlicher Zugriff Ortsinformationen gehören, neben der Identität, der Aktivität und der Zeit zu dem sogenannten primären Kontext, mit welchem man die Situation einer Person oder eines Gerätes charakterisieren kann. Derlei Informationen gelten als besonders schützenswert. Betrachtet man beispielsweise Android als einen Stellvertreter aktueller Betriebssysteme für Mobilgeräte, ist anwendungsseitig der direkte Zugriff auf Orts- oder Identitätsinformationen zunächst eingeschränkt. Jedes Programm, welches Zugriff z.b. auf GPS, W-LAN oder Bluetooth haben möchte, muss dies explizit bei der Installation angeben und Anwender können auf dieser Basis entscheiden, ob sie dem Programm vertrauen. Andere Sensoren lassen sich hingegen heimlich, also ohne um Erlaubnis zu fragen, von jeder Anwendung aus zugreifen. Dabei erlauben diese indirekt ebenso die Erhebung sensibler Kontextdaten, wie im Folgenden aufgezeigt werden soll. Nehmen wir als Beispiel den Beschleunigungssensor, welcher im Bereich weniger Millisekunden die aktuelle Beschleunigung im dreidimensionalen Raum messen kann. Das Drehen des Bildschirms sowie die Steuerung in Spielen sind typische Anwendungsbereiche von Beschleunigungsdaten. Ein solcher Sensor lässt sich jedoch beispielsweise auch als Touch- bzw. Keylogger verwenden, denn die kleinen Erschütterungen, die das Gerät beim Tippen erfährt, sind charakteristisch für den Ort an dem der Finger das Display berührt. Es braucht nur grundlegende Techniken der künstlichen Intelligenz um einen Algorithmus anzulernen, der jeden Ort auf einen Buchstaben abbildet und schon kann der Logger anwendungsübergreifend das Geschriebene mitlesen. Das gilt im Übrigen auch für das Schreiben an einem Desktop-PC, sofern sich das Mobilgerät bzw. der Sensor nahe genug an der Tastatur befindet. Auch für eine Reihe weiterer Aktivitäten lassen sich charakteristische Beschleunigungsdaten ausmachen: Schlafen, Sitzen, Stehen, Gehen, Treppensteigen, Fahrstuhl-, Bahn- und Autofahren zum Beispiel. Kürzlich hat Stuart Madnick vom MIT in einer Keynote sogar die Möglichkeit auf Gemütszustände oder körperliche Einschränkungen schließen zu können, in Betracht gezogen. Gehen Sie etwas beschwingter, wenn Sie fröhlich sind? Humpeln Sie mit einem verstauchten Knöchel? Fusioniert man die Informationen des Beschleunigungssensors mit denen anderer Sensoren, z.b. Kompass oder Gyroskop, lässt sich mit gängigen Methoden der Inertialnavigation auch auf den aktuellen Aufenthaltsort relativ zu einem Referenzpunkt schließen. Referenzpunkte lassen sich verhältnismäßig leicht bestimmen (z.b. Treppen, Fahrstühle, Haltestellen siehe oben). Allerdings sind die Sensoren und Algorithmen heutzutage noch zu ungenau und Fehler in der Bestimmung summieren sich mit der Entfernung zum Referenzpunkt zu schnell auf, sodass nur eine relativ ungenaue Ortsbestimmung möglich ist. Auch ein Barometer kann der Ortsbestimmung dienen. Ein solcher Sensor misst den atmosphärischen Druck, aus dem einerseits auf die aktuelle Wetterlage, andererseits aber auch auf die momentane Höhe über Normalnull bzw. eine Höhendifferenz zu einem anderen Bezugspunkt geschlossen werden kann. Ein solcher Sensor wird in moderne Telefone eingebaut, um einen schnelleren GPS-Fix zu bekommen, kann aber auch anderen Zwecken dienen. So wurde in einem Projekt an der Beuth Hochschule in Berlin eine Navigationsanwendung für den öffentlichen Nahverkehr entwickelt, die sich die Höhenunterschiede zwischen einzelnen U-Bahnhöfen zunutze macht, um den ungefähren Aufenthaltsort zu bestimmen. Mit einer Genauigkeit in der Höhenmessung von ca. 20cm sind der Kreativität wenig Grenzen gesetzt, z.b. zur Bestimmung des aktuellen Stockwerks in Gebäuden aus der sich beispielsweise auch Rauch-, Mittags- und Kaffeepausen oder ein Besuch beim Chef ableiten lassen oder der einfachen Tatsache, dass eine Person gerade im Flugzeug sitzt und ggf. länger nicht zuhause sein wird. Mit Erlaubnis Natürlich ist es auch ein Leichtes den Zugriff auf bestimmte Sensoren, für die eine Erlaubnis seitens des Anwenders verlangt wird, hinter mehr oder weniger unnötigen Features zu verstecken. Welcher Anwender würde Verdacht schöpfen, wenn eine Anwendung Zugriff auf das Mikrofon oder die Kamera benötigt, natürlich nur um im Sinne des Anwenders die Eingabe von Texten durch Erkennung von Sprache oder QR-Codes zu erleichtern? Dies öffnet die Türen um weitere interessante Informationen über den aktuellen Kontext eines Anwenders zu erhalten. Aus Audiodaten beispielsweise lassen sich sehr viele Zusatzinformationen ableiten. Viele alltägliche Situationen haben einen eindeutigen akustischen Fingerabdruck: Straßenverkehr, Bahnhofshallen, Kirchen, Kantinen, Vorlesungen, Sportveranstaltungen, Konzertbesuche usw., um nur die Offensichtlichen zu nennen. Natürlich haben auch Menschen eine charakteristische Stimme. Da reicht manchmal bereits eine einfache Analyse des Frequenzspektrums und Personen in der Nähe lassen sich zumindest wiedererkennen. Und die Stammtisch-Psychologen würden wohl auch anhand des Musikgeschmacks einer Person auf deren Wesen und aufgrund eines aktuell gehörten Liedes auf deren Stimmung schließen wollen. Öffentliche APIs zur Erkennung von Musiktiteln finden sich im Internet zahlreich. Die eingebaute Spracherkennung Androids läuft zwar immer im Vordergrund, wodurch sich der Benutzer einer laufenden Transkription gewahr wird, aber grundsätzlich steht der Erkennung durch eigene Lösungen auch im Hintergrund nichts im Wege. Michael Backes hat eine weitere alternative Interpretation von Audiodaten aufgezeigt: Nadeldrucker, wie sie häufig noch in Arztpraxen oder Behörden Verwendung finden, erzeugen für jeden gedruckten Buchstaben ein charakteristisches Geräusch. Somit war es ihm möglich in über 70% der Fälle ohne zusätzliches Wissen das Gedruckte anhand aufgenommener Audiosignale zu rekonstruieren. 20

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Technische Dokumentation SEPPmail Outlook Add-In v1.5.3

Technische Dokumentation SEPPmail Outlook Add-In v1.5.3 Technische Dokumentation SEPPmail Outlook Add-In v1.5.3 In diesem Dokument wird dargelegt, wie das SEPPmail Outlook Add-in funktioniert, und welche Einstellungen vorgenommen werden können. Seite 2 Inhalt

Mehr

VIVIT TQA Treffen in Köln am 18. 04. 2013. API- Programmierung und Nutzung bei HP Quality Center / ALM. Michael Oestereich IT Consultant QA

VIVIT TQA Treffen in Köln am 18. 04. 2013. API- Programmierung und Nutzung bei HP Quality Center / ALM. Michael Oestereich IT Consultant QA VIVIT TQA Treffen in Köln am 18. 04. 2013 API- Programmierung und Nutzung bei HP Quality Center / ALM Michael Oestereich IT Consultant QA Agenda Vorstellung der API- Versionen OTA- API SA- API REST- API

Mehr

Den Browser isolieren mit GeSWall

Den Browser isolieren mit GeSWall Den Browser isolieren mit GeSWall Das Programm GeSWall von S.a.r.l. aus Luxemburg ist eine sandbox/policy restrictions Anwendung in englischer Sprache. http://www.gentlesecurity.com Eine Feature Übersicht

Mehr

Kapitel 7 - Debugger. Universität Mannheim

Kapitel 7 - Debugger. Universität Mannheim Kapitel 7 - Debugger zynamics Hersteller von Reverse Engineering Tools Fünf Produkte BinDiff BinNavi VxClass (Deutscher IT-Sicherheitspreis 2006) BinCrowd PDF Tool 2 Was ist ein Debugger (offiziell)? Ein

Mehr

VB.net Programmierung und Beispielprogramm für GSV

VB.net Programmierung und Beispielprogramm für GSV VB.net Programmierung und Beispielprogramm für GSV Dokumentation Stand vom 26.05.2011 Tel +49 (0)3302 78620 60, Fax +49 (0)3302 78620 69, info@me-systeme.de, www.me-systeme.de 1 Inhaltsverzeichnis Vorwort...2

Mehr

Ein neues TOONTRACK Produkt registrieren / installieren / authorisieren...

Ein neues TOONTRACK Produkt registrieren / installieren / authorisieren... Ein neues TOONTRACK Produkt registrieren / installieren / authorisieren... Viele TOONTRACK Music Produkte sind mittlerweile als reine Seriennummer-Version oder als auf einer Karte aufgedruckte Seriennummer

Mehr

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Änderungsprotokoll Endpoint Security for Mac by Bitdefender Änderungsprotokoll Veröffentlicht 2015.03.11 Copyright 2015 Bitdefender Rechtlicher Hinweis Alle Rechte

Mehr

Praktikum Internetprotokolle - POP3

Praktikum Internetprotokolle - POP3 Technische Universität Ilmenau Fakultät für Informatik und Automatisierung Institut für Praktische Informatik und Medieninformatik Fachgebiet Telematik/Rechnernetze 19. Mai 2008 1 Aufgabenstellung Praktikum

Mehr

MindReader für Outlook

MindReader für Outlook MindReader für Outlook Installation einer Firmenlizenz 2014-12 Downloads MindReader für Outlook wird kontinuierlich weiterentwickelt. Die aktuelle Benutzerdokumentation finden Sie auf unserer Website im

Mehr

FilePanther Dokumentation. FilePanther. Benutzerhandbuch. Version 1.1 vom 14.02.2012 Marcel Scheitza

FilePanther Dokumentation. FilePanther. Benutzerhandbuch. Version 1.1 vom 14.02.2012 Marcel Scheitza FilePanther Dokumentation FilePanther Version 1.1 vom 14.02.2012 Marcel Scheitza Inhaltsverzeichnis 1 Verwaltung Ihrer Websites... 3 1.1 Verwaltung von Websites... 3 1.2 Verwaltung von Gruppen... 4 1.3

Mehr

Installation und Benutzung AD.NAV.ZipTools

Installation und Benutzung AD.NAV.ZipTools Installation und Benutzung AD.NAV.ZipTools Version 1.0.0.0 ALTENBRAND Datentechnik GmbH Am Gelicht 5 35279 Neustadt (Hessen) Tel: 06692/202 290 Fax: 06692/204 741 email: support@altenbrand.de Die Komponente

Mehr

PARAGON Encrypted Disk

PARAGON Encrypted Disk PARAGON Encrypted Disk Anwenderhandbuch Paragon Technologie, Systemprogrammierung GmbH Copyright Paragon Technologie GmbH Herausgegeben von Paragon Technologie GmbH, Systemprogrammierung Pearl-Str. 1 D-79426

Mehr

Objektorientiertes Programmieren für Ingenieure

Objektorientiertes Programmieren für Ingenieure Uwe Probst Objektorientiertes Programmieren für Ingenieure Anwendungen und Beispiele in C++ 18 2 Von C zu C++ 2.2.2 Referenzen und Funktionen Referenzen als Funktionsparameter Liefert eine Funktion einen

Mehr

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung Nach dem Update auf die Version 1.70 bekommen Sie eine Fehlermeldung,

Mehr

FAQ Häufig gestellte Fragen

FAQ Häufig gestellte Fragen FAQ Häufig gestellte Fragen FAQ zu HitmanPro.Kickstart Seite 1 Inhaltsverzeichnis Einführung in HitmanPro.Kickstart... 3 F-00: Wozu wird HitmanPro.Kickstart benötigt?... 4 F-01: Kann HitmanPro.Kickstart

Mehr

Installation und Dokumentation. juris Autologon 3.1

Installation und Dokumentation. juris Autologon 3.1 Installation und Dokumentation juris Autologon 3.1 Inhaltsverzeichnis: 1. Allgemeines 3 2. Installation Einzelplatz 3 3. Installation Netzwerk 3 3.1 Konfiguration Netzwerk 3 3.1.1 Die Autologon.ini 3 3.1.2

Mehr

Installation von Updates

Installation von Updates Installation von Updates In unregelmässigen Abständen erscheinen Aktualisierungen zu WinCard Pro, entweder weil kleinere Verbesserungen realisiert bzw. Fehler der bestehenden Version behoben wurden (neues

Mehr

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz.

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz. IInsttallllattiionslleiittffaden Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz. Voraussetzungen Für die Installation

Mehr

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN KeePass the free, open source, light-weight and easy-to-use password manager 19.01.2010 10:15-10:45 Uhr Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN Agenda Einführung Versionen Features Handhabung Mobile

Mehr

Benutzerhandbuch für FaxClient für HylaFAX

Benutzerhandbuch für FaxClient für HylaFAX Benutzerhandbuch für FaxClient für HylaFAX Vielen Dank, daß Sie entschlossen haben, dieses kleine Handbuch zu lesen. Es wird Sie bei der Installation und Benutzung des FaxClients für HylaFAX unterstützen.

Mehr

LaMa-Creation Portscanner

LaMa-Creation Portscanner LaMa-Creation Portscanner Seite 1 von 12 Seite 2 von 12 Inhaltsverzeichnis Einleitung...4 Systemanforderung...5 Hardware:...5 Software:...5 Unterstützte Clientbetriebssysteme:... 5 Unterstützte Serverbetriebssysteme:...5

Mehr

Autor: Michael Spahn Version: 1.0 1/10 Vertraulichkeit: öffentlich Status: Final Metaways Infosystems GmbH

Autor: Michael Spahn Version: 1.0 1/10 Vertraulichkeit: öffentlich Status: Final Metaways Infosystems GmbH Java Einleitung - Handout Kurzbeschreibung: Eine kleine Einführung in die Programmierung mit Java. Dokument: Autor: Michael Spahn Version 1.0 Status: Final Datum: 23.10.2012 Vertraulichkeit: öffentlich

Mehr

Installationshinweise zur lokalen Installation des KPP Auswahltools 7.6

Installationshinweise zur lokalen Installation des KPP Auswahltools 7.6 Installationshinweise zur lokalen Installation des KPP Auswahltools 7.6 Installationsvoraussetzungen: Die Setup-Routine benötigt das DotNet-Framework 4.0 Client Profile, das normalerweise über Microsoft

Mehr

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein Einleitung Memeo Instant Backup ist eine einfache Backup-Lösung für eine komplexe digitale Welt. Durch automatisch und fortlaufende Sicherung Ihrer wertvollen Dateien auf Ihrem Laufwerk C:, schützt Memeo

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Trojaner Als Trojaner wird eine Art von Malware bezeichnet, bei der es sich um scheinbar nützliche Software handelt, die aber neben ihrer

Mehr

Benutzerdokumentation Web-Portal

Benutzerdokumentation Web-Portal GRUPP: SWT0822 Benutzerdokumentation Web-Portal Yet Another Reversi Game Martin Gielow, Stephan Mennicke, Daniel Moos, Christine Schröder, Christine Stüve, Christian Sura 05. Mai 2009 Inhalt 1. Einleitung...3

Mehr

Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE

Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE Schritt für Schritt Anleitung! Tipp: Drucken Sie sich das Dokument aus und befolgen Sie jeden einzelnen Schritt. Dann wird es funktionieren! Inhaltsverzeichnis

Mehr

Migration/Neuinstallation der Rehm- Programme

Migration/Neuinstallation der Rehm- Programme Migration/Neuinstallation der Rehm- Programme Inhalt Systemvoraussetzungen... 2 Software... 2 Hardware... 2 Änderungen im Vergleich zur alten InstallShield-Installation... 2 Abschaffung der Netzwerkinstallation...

Mehr

Cookies & Browserverlauf löschen

Cookies & Browserverlauf löschen Cookies & Browserverlauf löschen Was sind Cookies? Cookies sind kleine Dateien, die von Websites auf Ihrem PC abgelegt werden, um Informationen über Sie und Ihre bevorzugten Einstellungen zu speichern.

Mehr

Erweiterung für Premium Auszeichnung

Erweiterung für Premium Auszeichnung Anforderungen Beliebige Inhalte sollen im System als Premium Inhalt gekennzeichnet werden können Premium Inhalte sollen weiterhin für unberechtigte Benutzer sichtbar sein, allerdings nur ein bestimmter

Mehr

Truecrypt. 1. Was macht das Programm Truecrypt?

Truecrypt. 1. Was macht das Programm Truecrypt? Truecrypt Johannes Mand 09/2013 1. Was macht das Programm Truecrypt? Truecrypt ist ein Programm, das Speicherträgern, also Festplatten, Sticks oder Speicherkarten in Teilen oder ganz verschlüsselt. Daten

Mehr

Sophos Computer Security Scan Startup-Anleitung

Sophos Computer Security Scan Startup-Anleitung Sophos Computer Security Scan Startup-Anleitung Produktversion: 1.0 Stand: Februar 2010 Inhalt 1 Einleitung...3 2 Vorgehensweise...3 3 Scan-Vorbereitung...3 4 Installieren der Software...4 5 Scannen der

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Dokumentenversion 2.0 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

PDF FormServer Quickstart

PDF FormServer Quickstart PDF FormServer Quickstart 1. Voraussetzungen Der PDF FormServer benötigt als Basis einen Computer mit den Betriebssystemen Windows 98SE, Windows NT, Windows 2000, Windows XP Pro, Windows 2000 Server oder

Mehr

Vodafone Cloud. Einfach A1. A1.net/cloud

Vodafone Cloud. Einfach A1. A1.net/cloud Einfach A1. A1.net/cloud Ihr sicherer Online-Speicher für Ihre wichtigsten Daten auf Handy und PC Die Vodafone Cloud ist Ihr sicherer Online-Speicher für Ihre Bilder, Videos, Musik und andere Daten. Der

Mehr

ISA Server 2004 - Best Practice Analyzer

ISA Server 2004 - Best Practice Analyzer ISA Server 2004 - Best Practice Analyzer Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Seit dem 08.12.2005 steht der Microsoft ISA Server 2004 Best Practice Analyzer

Mehr

English. Deutsch. niwis consulting gmbh (https://www.niwis.com), manual NSEPEM Version 1.0

English. Deutsch. niwis consulting gmbh (https://www.niwis.com), manual NSEPEM Version 1.0 English Deutsch English After a configuration change in the windows registry, you have to restart the service. Requirements: Windows XP, Windows 7, SEP 12.1x With the default settings an event is triggered

Mehr

PrivaSphere Secure Messaging Outlook AddIn V.3.0.0 der Infover AG

PrivaSphere Secure Messaging Outlook AddIn V.3.0.0 der Infover AG PrivaSphere Secure Messaging Outlook AddIn V.3.0.0 der Infover AG Technische Dokumentation für Administratoren Das File Version_3.0.0.zip muss in ein Verzeichnis kopiert werden. Die folgenden Dateien werden

Mehr

Ausarbeitung zum Vortrag Java Web Start von Adrian Fülöp Fach: Komponentenbasierte Softwareentwicklung WS 06/07 Fachhochschule Osnabrück

Ausarbeitung zum Vortrag Java Web Start von Adrian Fülöp Fach: Komponentenbasierte Softwareentwicklung WS 06/07 Fachhochschule Osnabrück Ausarbeitung zum Vortrag Java Web Start von Adrian Fülöp Fach: Komponentenbasierte Softwareentwicklung WS 06/07 Fachhochschule Osnabrück Adrian Fülöp (297545) - 1 - Inhaltsverzeichnis: 1. Einführung 2.

Mehr

KONFIGURATION DES MOZILLA E-MAIL CLIENT

KONFIGURATION DES MOZILLA E-MAIL CLIENT KONFIGURATION DES MOZILLA E-MAIL CLIENT Copyright 2004 by 2 ways - media & design, Inh. Lars Plessmann, Paulinenstr. 12, D-70178 Stuttgart. http://www.2-ways.de Lars.Plessmann@2-ways.de Der Mozilla Email

Mehr

Einrichtung des NVS Calender-Google-Sync-Servers. Installation des NVS Calender-Google-Sync Servers (Bei Neuinstallation)

Einrichtung des NVS Calender-Google-Sync-Servers. Installation des NVS Calender-Google-Sync Servers (Bei Neuinstallation) Einrichtung des NVS Calender-Google-Sync-Servers Folgende Aktionen werden in dieser Dokumentation beschrieben und sind zur Installation und Konfiguration des NVS Calender-Google-Sync-Servers notwendig.

Mehr

[2-4] Typo3 unter XAMPP installieren

[2-4] Typo3 unter XAMPP installieren Web >> Webentwicklung und Webadministration [2-4] Typo3 unter XAMPP installieren Autor: simonet100 Inhalt: Um Typo3 zum Laufen zu bringen benötigen wir eine komplette Webserverumgebung mit Datenbank und

Mehr

Installationsanleitung Netzwerklizenzen Vectorworks 2014

Installationsanleitung Netzwerklizenzen Vectorworks 2014 Installationsanleitung Netzwerklizenzen Vectorworks 2014 Beginnt Ihre Seriennummer mit einem G, lesen Sie hier weiter. Beginnt Ihre Seriennummer mit einem C, lesen Sie bitte auf Seite 4 weiter. Installation

Mehr

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen Um die maximale Sicherheit für das Betriebssystem und Ihre persönlichen Daten zu gewährleisten, können Sie Programme von Drittherstellern

Mehr

Einführung in das Microsoft.NET-Framework. Programmiersprache C# MEF Das Managed Extensibility Framework. André Kunz

Einführung in das Microsoft.NET-Framework. Programmiersprache C# MEF Das Managed Extensibility Framework. André Kunz Einführung in das Microsoft.NET-Framework Programmiersprache C# MEF Das Managed Extensibility Framework André Kunz 21.09.2010 1 In dieser Einführung bekommen Sie einen kurzen Einstieg in das.net-framework

Mehr

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt Systemanforderungen und Installationsanleitung für Internet Security Inhalt 1 Systemanforderungen für Internet Security...2 2 Installationsanleitung: Internet Security für einen Test auf einem Computer

Mehr

Installation SuperWebMailer

Installation SuperWebMailer Installation SuperWebMailer Die Installation von SuperWebMailer ist einfach gestaltet. Es müssen zuerst per FTP alle Dateien auf die eigene Webpräsenz/Server übertragen werden, danach ist das Script install.php

Mehr

Rechteausweitung mittels Antivirensoftware

Rechteausweitung mittels Antivirensoftware Rechteausweitung mittels Antivirensoftware Eine Schwachstelle in der Softwarekomponente McAfee Security Agent, die unter anderem Bestandteil der Antivirensoftware McAfee VirusScan Enterprise ist, kann

Mehr

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6 Internetprotokolle: POP3 Peter Karsten Klasse: IT7a Seite 1 von 6 Alle Nachrichten, die auf elektronischem Weg über lokale oder auch globale Netze wie das Internet verschickt werden, bezeichnet man als

Mehr

Deutschland 8,50 Österreich 9,80 Schweiz 16,80 sfr. www.dotnet-magazin.de 7.2011. Outlook-Kalender in WPF

Deutschland 8,50 Österreich 9,80 Schweiz 16,80 sfr. www.dotnet-magazin.de 7.2011. Outlook-Kalender in WPF z.net MAGAZIN dot Alle Beispiele und Quellcodes zu den Artikeln dieser Ausgabe Bonus-Video von der BASTA! Spring 2011 Architektur für die Cloud Testversionen TeamPulse Ranorex Automation Framework dotpeek

Mehr

Whitepaper. Produkt: combit List & Label 16. List & Label Windows Azure. combit GmbH Untere Laube 30 78462 Konstanz

Whitepaper. Produkt: combit List & Label 16. List & Label Windows Azure. combit GmbH Untere Laube 30 78462 Konstanz combit GmbH Untere Laube 30 78462 Konstanz Whitepaper Produkt: combit List & Label 16 List & Label Windows Azure List & Label Windows Azure - 2 - Inhalt Softwarevoraussetzungen 3 Schritt 1: Neues Projekt

Mehr

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1 F-Secure Mobile Security for Nokia E51, E71 und E75 1 Installation und Aktivierung F-Secure Client 5.1 Hinweis: Die Vorgängerversion von F-Secure Mobile Security muss nicht deinstalliert werden. Die neue

Mehr

Begriffe (siehe auch zusätzliche Arbeitsblätter)

Begriffe (siehe auch zusätzliche Arbeitsblätter) Begriffe (siehe auch zusätzliche Arbeitsblätter) Die URL-Adresse(Uniform Resource Locator)(einheitlicher Quellenlokalisierer)ist die Bezeichnung die gesamte Adresse, wie z.b.: www.dscc-berlin.de http://

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

A-Plan 2010 SQL. Hinweise zur SQL-Version von A-Plan. Copyright. Warenzeichenhinweise

A-Plan 2010 SQL. Hinweise zur SQL-Version von A-Plan. Copyright. Warenzeichenhinweise A-Plan 2010 SQL Hinweise zur SQL-Version von A-Plan Copyright Copyright 1996-2010 braintool software gmbh Kein Teil dieses Handbuches darf ohne ausdrückliche Genehmigung von braintool software gmbh auf

Mehr

Java Kurs für Anfänger Einheit 5 Methoden

Java Kurs für Anfänger Einheit 5 Methoden Java Kurs für Anfänger Einheit 5 Methoden Ludwig-Maximilians-Universität München (Institut für Informatik: Programmierung und Softwaretechnik von Prof.Wirsing) 22. Juni 2009 Inhaltsverzeichnis Methoden

Mehr

Erwin Grüner 15.12.2005

Erwin Grüner 15.12.2005 FB Psychologie Uni Marburg 15.12.2005 Themenübersicht Mit Hilfe der Funktionen runif(), rnorm() usw. kann man (Pseudo-) erzeugen. Darüber hinaus gibt es in R noch zwei weitere interessante Zufallsfunktionen:

Mehr

Anleitung zur Installation und Aktivierung von memoq

Anleitung zur Installation und Aktivierung von memoq Anleitung zur Installation und Aktivierung von memoq Wir möchten uns bedanken, dass Sie sich für memoq 6.2 entschieden haben. memoq ist die bevorzugte Übersetzungsumgebung für Freiberufler, Übersetzungsagenturen

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

1. Einführung 2. 2. Systemvoraussetzungen... 2. 3. Installation und Konfiguration 2. 4. Hinzufügen einer weiteren Sprache... 3

1. Einführung 2. 2. Systemvoraussetzungen... 2. 3. Installation und Konfiguration 2. 4. Hinzufügen einer weiteren Sprache... 3 Inhalt 1. Einführung 2 2. Systemvoraussetzungen... 2 3. Installation und Konfiguration 2 4. Hinzufügen einer weiteren Sprache... 3 5. Aktivierung / Deaktivierung von Funktionen... 4 6. Konfiguration der

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Dynamische Plug-ins mit Eclipse 3. Martin Lippert (martin.lippert@it-agile.de, www.it-agile.de) Tammo Freese (freese@acm.org)

Dynamische Plug-ins mit Eclipse 3. Martin Lippert (martin.lippert@it-agile.de, www.it-agile.de) Tammo Freese (freese@acm.org) Dynamische Plug-ins mit Eclipse 3 Martin Lippert (martin.lippert@it-agile.de, www.it-agile.de) Tammo Freese (freese@acm.org) Überblick Die Ausgangslage Dynamische Plug-ins Warum? Eclipse 3 Die OSGi-basierte

Mehr

Handbuch zu AS Connect für Outlook

Handbuch zu AS Connect für Outlook Handbuch zu AS Connect für Outlook AS Connect für Outlook ist die schnelle, einfache Kommunikation zwischen Microsoft Outlook und der AS Datenbank LEISTUNG am BAU. AS Connect für Outlook Stand: 02.04.2013

Mehr

Bewusster Umgang mit Smartphones

Bewusster Umgang mit Smartphones Bewusster Umgang mit Smartphones Komponenten Hardware OS-Prozessor, Baseband-Prozessor Sensoren Kamera, Mikrofon, GPS, Gyroskop, Kompass,... Netzwerk: WLAN-Adapter, NFC, Bluetooth,... Software Betriebssystem

Mehr

G-Info Lizenzmanager

G-Info Lizenzmanager G-Info Lizenzmanager Version 4.0.1001.0 Allgemein Der G-Info Lizenzmanager besteht im wesentlichen aus einem Dienst, um G-Info Modulen (G-Info Data, G-Info View etc.; im folgenden Klienten genannt) zentral

Mehr

QCfetcher Handbuch. Version 1.0.0.10. Ein Zusatztool zum QuoteCompiler. Diese Software ist nur für private und nicht-kommerzielle Zwecke einzusetzen.

QCfetcher Handbuch. Version 1.0.0.10. Ein Zusatztool zum QuoteCompiler. Diese Software ist nur für private und nicht-kommerzielle Zwecke einzusetzen. Seite 1 QCfetcher Handbuch Ein Zusatztool zum QuoteCompiler Diese Software ist nur für private und nicht-kommerzielle Zwecke einzusetzen. Die neuesten Informationen gibt es auf der Webseite: http://finanzkasper.de/

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Es gibt aber weitere Möglichkeiten, die den Zugriff auf die individuell wichtigsten Internetseiten

Es gibt aber weitere Möglichkeiten, die den Zugriff auf die individuell wichtigsten Internetseiten Thema: Favoriten nutzen Seite 8 3 INTERNET PRAXIS 3.1 Favoriten in der Taskleiste Es gibt aber weitere Möglichkeiten, die den Zugriff auf die individuell wichtigsten seiten beschleunigen. Links in der

Mehr

Zuerst: Installation auf dem Mobilgerät (des Kindes)

Zuerst: Installation auf dem Mobilgerät (des Kindes) Inhalt Willkommen... 3 Was ist der Chico Browser?... 3 Bei Android: App Kontrolle inklusive... 3 Das kann der Chico Browser nicht... 3 Zuerst: Installation auf dem Mobilgerät (des Kindes)... 4 Einstellungen

Mehr

Fedora 14 Linux. Microsoft Windows

Fedora 14 Linux. Microsoft Windows Fedora 14 Linux als virtuelle Maschine in Microsoft Windows installieren und betreiben Ersteller: Jürgen Neubert E Mail: juergen@ntnb.eu Hinweise Die von der Fachgruppe Spektroskopie bereitgestellte virtuelle

Mehr

Address/CRM 3.0 Axapta Client Setup

Address/CRM 3.0 Axapta Client Setup pj Tiscover Travel Information Systems AG Maria-Theresien-Strasse 55-57, A-6010 Innsbruck, Austria phone +43/512/5351 fax +43/512/5351-600 office@tiscover.com www.tiscover.com Address/CRM 3.0 Axapta Client

Mehr

Brainloop Secure Dataroom Version 8.30. QR Code Scanner-Apps für ios Version 1.1 und für Android

Brainloop Secure Dataroom Version 8.30. QR Code Scanner-Apps für ios Version 1.1 und für Android Brainloop Secure Dataroom Version 8.30 QR Code Scanner-Apps für ios Version 1.1 und für Android Schnellstartanleitung Brainloop Secure Dataroom Version 8.30 Copyright Brainloop AG, 2004-2015. Alle Rechte

Mehr

1. SYSTEMVORAUSSETZUNGEN UND EINSTELLUNGEN

1. SYSTEMVORAUSSETZUNGEN UND EINSTELLUNGEN 5 1. SYSTEMVORAUSSETZUNGEN UND EINSTELLUNGEN Die SIMPLE FINANZBUCHHALTUNG benötigt ein unter Windows* installiertes Microsoft Excel ab der Version 8.0 (=Excel 97). Sie können natürlich auch Excel 2000,

Mehr

GoVault Data Protection-Software Überblick

GoVault Data Protection-Software Überblick 1226-GoVaultSoftware-GermanTranslation-A4 13/3/08 09:16 Page 1 Das GoVault-System enthält die Windows-basierte Software GoVault Data Protection und bildet damit eine komplette Backup- und Restore-Lösung

Mehr

Installationsanleitung OpenVPN

Installationsanleitung OpenVPN Installationsanleitung OpenVPN Einleitung: Über dieses Dokument: Diese Bedienungsanleitung soll Ihnen helfen, OpenVPN als sicheren VPN-Zugang zu benutzen. Beachten Sie bitte, dass diese Anleitung von tops.net

Mehr

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Versionshinweise McAfee Advanced Threat Defense 3.0 Revision A Inhalt Über dieses Dokument Funktionen von McAfee Advanced Threat Defense 3.0 Gelöste Probleme Hinweise zur Installation und Aktualisierung

Mehr

2. DFG- Workshop 3.1. Erfassung/Bewertung/Transfer. Beitrag von Peter Küsters. Spiegelung. Archiv. Bild 1: Unterschied zwischen FTP und Spiegelung

2. DFG- Workshop 3.1. Erfassung/Bewertung/Transfer. Beitrag von Peter Küsters. Spiegelung. Archiv. Bild 1: Unterschied zwischen FTP und Spiegelung 2. DFG- Workshop 3.1. Erfassung/Bewertung/Transfer Beitrag von Peter Küsters Formen des Datentransfers bei der Erfassung von Websites Im folgenden werden Methoden und Software zur Erfassung vorgestellt.

Mehr

KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION

KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION Bitte verwenden Sie diese Unterlagen, um vorab sicherzustellen, dass alle Voraussetzungen zur Installation des KYOfleetmanager DCA

Mehr

Hello World in Java. Der Weg zum ersten Java-Programm

Hello World in Java. Der Weg zum ersten Java-Programm Vorwort Hello World in Java Der Weg zum ersten Java-Programm Diese Anleitung wurde unter Windows XP verfasst. Grundsätzlich sollte sie auch unter späteren Windows Versionen wie Windows Vista oder Windows

Mehr

A1 Web Security Installationshilfe. Proxykonfiguration im Securitymanager

A1 Web Security Installationshilfe. Proxykonfiguration im Securitymanager A Web Security Installationshilfe Proxykonfiguration im Securitymanager Administration der Filterregeln. Verwalten Sie Ihre Filtereinstellungen im Securitymanager unter https://securitymanager.a.net. Loggen

Mehr

Welche Mindestsystemanforderungen sind für die Installation von Registry Mechanic erforderlich?

Welche Mindestsystemanforderungen sind für die Installation von Registry Mechanic erforderlich? Erste Schritte mit Registry Mechanic Installation Welche Mindestsystemanforderungen sind für die Installation von Registry Mechanic erforderlich? Um Registry Mechanic installieren zu können, müssen die

Mehr

:: Anleitung Demo Benutzer 1cloud.ch ::

:: Anleitung Demo Benutzer 1cloud.ch :: :: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung Demo Benutzer

Mehr

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA Liste der Handbücher Liste der Benutzerhandbücher von MEGA MEGA 2009 SP4 1. Ausgabe (Juni 2010) Die in diesem Dokument enthaltenen Informationen können jederzeit ohne vorherige Ankündigung geändert werden

Mehr

Impressum. Angaben gemäß 5 TMG: Vertreten durch: Kontakt: Registereintrag: Umsatzsteuer-ID: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim

Impressum. Angaben gemäß 5 TMG: Vertreten durch: Kontakt: Registereintrag: Umsatzsteuer-ID: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim Impressum Angaben gemäß 5 TMG: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim Vertreten durch: Jens Müller Kontakt: Telefon: 004915168497847 E-Mail: info@mcdrent.de Registereintrag: Eintragung

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

Quickshop. Die elektronische Einkaufsliste für Handys / Smartphones mit dem Betriebssystem Symbian S60 3rd Edition und Symbian S60 5th Edition

Quickshop. Die elektronische Einkaufsliste für Handys / Smartphones mit dem Betriebssystem Symbian S60 3rd Edition und Symbian S60 5th Edition Quickshop Die elektronische Einkaufsliste für Handys / Smartphones mit dem Betriebssystem Symbian S60 3rd Edition und Symbian S60 5th Edition Programmbeschreibung Inhaltsverzeichnis 1. Kurzbeschreibung

Mehr

@HERZOvision.de. Änderungen im Rahmen der Systemumstellung 20.04.2015. v 1.1.0 by Herzo Media GmbH & Co. KG www.herzomedia.de

@HERZOvision.de. Änderungen im Rahmen der Systemumstellung 20.04.2015. v 1.1.0 by Herzo Media GmbH & Co. KG www.herzomedia.de @HERZOvision.de Änderungen im Rahmen der Systemumstellung 20.04.2015 v 1.1.0 by Herzo Media GmbH & Co. KG www.herzomedia.de Inhaltsverzeichnis Inhaltsverzeichnis... 2 Modernisierung des herzovision.de-mailservers...

Mehr

DOK. ART GD1. Citrix Portal

DOK. ART GD1. Citrix Portal Status Vorname Name Funktion Erstellt: Datum DD-MMM-YYYY Unterschrift Handwritten signature or electronic signature (time (CET) and name) 1 Zweck Dieses Dokument beschreibt wie das auf einem beliebigem

Mehr

Installation der USB-Treiber in Windows

Installation der USB-Treiber in Windows Installation der USB-Treiber in Windows Die in diesem Benutzerhandbuch enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Soweit nicht anders angegeben, sind die in den Beispielen

Mehr

Creatix 802.11g Adapter CTX405 V.1/V.2 Handbuch

Creatix 802.11g Adapter CTX405 V.1/V.2 Handbuch Creatix 802.11g Adapter CTX405 V.1/V.2 Handbuch 1 Sicherheitshinweise für Creatix 802.11g Adapter Dieses Gerät wurde nach den Richtlinien des Standards EN60950 entwickelt und getestet Auszüge aus dem Standard

Mehr

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation.

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation. Inhalt 1 Übersicht 2 Anwendungsbeispiele 3 Einsatzgebiete 4 Systemanforderungen 5 Lizenzierung 6 Installation 7 Key Features 8 Funktionsübersicht (Auszug) 1 Übersicht MIK.bis.webedition ist die Umsetzung

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Anleitung zur Installation der Volvo V40 Event-App

Anleitung zur Installation der Volvo V40 Event-App Anleitung zur Installation der Volvo V40 Event-App 1. Volvo App Store herunterladen 2. Die Volvo V40 Event-App herunterladen 3. Updates für die Volvo V40 Event-App 4. Die Volvo V40 Event-App verwenden

Mehr

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG Copyright (C) 1999-2004 SWsoft, Inc. Alle Rechte vorbehalten. Die Verbreitung dieses Dokuments oder von Derivaten jeglicher Form ist verboten, ausgenommen Sie

Mehr

SINT Rest App Documentation

SINT Rest App Documentation SINT Rest App Documentation Release 1.0 Florian Sachs September 04, 2015 Contents 1 Applikation 3 2 Rest Service 5 3 SOAP Service 7 4 Technologiestack 9 5 Deployment 11 6 Aufgabe 1: Google Webservice

Mehr