Inhalt. Software-Cracking. Vorwort... XIII. 1 Assembler... 3 Register... 4 Assembler-Opcodes... 8 Referenzen Windows Reverse Engineering...

Transkript

1

2 Inhalt Vorwort XIII Teil I: Software-Cracking 1 Assembler Register Assembler-Opcodes Referenzen Windows Reverse Engineering Geschichte des RCE Reversing-Tools Reverse-Engineering-Beispiele Referenzen Linux Reverse Engineering Grundlegende Tools und Techniken Eine gute Disassemblierung Problembereiche Neue Tools entwickeln Referenzen Windows CE Reverse Engineering Windows CE-Architektur Grundlagen des CE Reverse Engineering CE Reverse Engineering in der Praxis VII

3 Reverse Engineering von serial.exe Referenzen Überlauf-Attacken Pufferüberläufe Puffer verstehen Den Stack zerstören Heap-Überläufe Pufferüberläufe verhindern Eine Live-Challenge Referenzen Teil II: Netzwerk-Angriffe 6 TCP/IP-Analyse Eine kurze Geschichte von TCP/IP Kapselung TCP IP UDP ICMP ARP RARP BOOTP DHCP TCP/IP-Handshake Verdeckte Kanäle IPv Ethereal Paket-Analyse Fragmentierung Referenzen Social Engineering Hintergrund Durchführen der Angriffe Fortgeschrittenes Social Engineering Referenzen VIII Inhalt

4 8 Reconnaissance Online-Reconnaissance Schlussfolgerung Referenzen Betriebssystem-Fingerprinting Telnet Session Negotiation TCP-Stack-Fingerprinting Spezialeinsatzwerkzeuge Passives Fingerprinting Fuzzy-OS-Fingerprinting TCP/IP-Timeout-Erkennung Referenzen Spuren verwischen Vor wem verstecken Sie sich? Aufräumarbeiten nach einem Angriff Forensische Spuren Versteckten Zugang pflegen Referenzen Teil III: Plattform-Angriffe 11 Unix-Verteidigung Unix-Passwörter Zugriffsrechte System-Logging Netzwerkzugriff bei Unix Das Härten von Unix Verteidigung des Unix-Netzwerks Referenzen Unix-Angriffe Lokale Angriffe Entfernte Angriffe Denial-of-Service-Angriffe unter Unix Referenzen Inhalt IX

5 13 Angriffe auf Windows-Clients Denial-of-Service-Angriffe Entfernter Zugriff Remoteunterstützung Referenzen Angriffe auf Windows Server Release-History Kerberos-Authentifizierungs-Angriffe Übersicht über die Kerberos-Authentifizierung Den Pufferüberlauf-Schutz besiegen Lücken von Active Directory PKI Smart Cards Änderungen am Encrypting File System Verschlüsselung durch Drittanbieter Referenzen Sicherheit bei SOAP-XML-Webservices XML-Verschlüsselung XML-Signaturen Referenz SQL-Injection Einführung in SQL SQL-Injection-Angriffe SQL-Injection-Schutzmaßnahmen PHP-Nuke-Beispiele Referenzen Sicherheit im WLAN Reduzierung der Signalstreuung Probleme mit WEP WEP knacken Praktisches WEP-Cracking VPNs TKIP SSL X Inhalt

6 Wireless-Viren Referenzen Teil IV: Fortgeschrittene Verteidigung 18 Prüfspuren-Analyse Grundlagen der Protokollanalyse Protokollbeispiele Protokollierungszustände Wann sollte nach den Protokollen gesehen werden? Protokoll-Überflutung und -Aggregation Schwierigkeiten bei der Protokollanalyse Security Information Management Globale Protokoll-Aggregation Referenzen Intrusion-Detection-Systeme IDS-Beispiele Bayessche Analyse Angriffe durch IDS-Systeme hindurch Die Zukunft von IDS-Systemen Snort IDS-Fallstudie IDS-Einsatzprobleme Referenzen Honeypots Motivation Aufbau der Infrastruktur Einfangen von Angriffen Referenzen Incident Response Fallstudie: Wurmchaos Definitionen Incident-Response-Rahmen Kleine Netzwerke Mittelgroße Netzwerke Inhalt XI

7 Große Netzwerke Referenzen Forensik und Antiforensik Hardware-Review Informationsmüll Forensische Werkzeuge Bootbare forensische CD-ROMs Evidence Eliminator Forensische Fallstudie: Ein FTP-Angriff Referenzen Teil V: Anhang Anhang: Nützliche SoftICE-Befehle und -Breakpunkte Index XII Inhalt

8 KAPITEL 3 Linux Reverse Engineering Dieses Kapitel behandelt das Reverse Engineering in einer Linux-Umgebung. Dieses Thema wird immer noch sehr selten behandelt, obwohl es schon seit Jahren von Sicherheitsberatern, Software-Crackern und Programmierern, die Gerätetreiber oder Windows- Interoperabilitäts-Software entwickeln, sehr viel Aufmerksamkeit erfährt. Natürlich stellt sich die Frage, warum jemand am Reverse Engineering unter Linux interessiert sein sollte, einem Betriebssystem, bei dem nicht als Open Source veröffentlichte Anwendungen üblicherweise kostenlos zur Verfügung stehen. Die Antwort ist durchaus bemerkenswert: Unter Linux läuft das Reverse Engineering in Richtung»echtes«Reverse Engineering etwa dem Verstehen von ioctl( )-Hardware-Schnittstellen, proprietären Netzwerkprotokollen oder möglicherweise feindseligen fremden Binaries. Hier geht es nicht um den Diebstahl von Algorithmen oder das Umgehen von Kopierschutzverfahren. Wie im vorigen Kapitel bereits erwähnt, ist die Legalität des Software Reverse Engineering ein Problem. Während es in manchen Ländern illegal ist, stellt das Reverse Engineering in den meisten Fällen eine Verletzung der Software-Lizenz bzw. des Software- Vertrags dar. Das bedeutet, dass es nur kriminell wird, wenn der Reverse Engineer das Copyright verletzt oder kopiergeschützte Software vertreibt. In den USA 1 ist es nach dem (hoffentlich nur zeitweilig gültigen) DMCA-Gesetz illegal, einen Kopierschutzmechanismus zu umgehen, das heißt, das Reverse Engineering selbst ist legal, solange der Schutzmechanismus nicht deaktiviert wird. Wie der gröblich falsch gehandhabte Sklyarov-Fall zeigt, werden diese Fälle absurd in die Länge gezogen, um angebliche DMCA-Verstöße strafrechtlich zu verfolgen. Das führt uns zu der Erkenntnis, dass man besser nichts dazu veröffentlichen sollte, wenn man eine kopiergeschützte Software einem Reverse Engineering unterzieht. Seltsamerweise sind alle vor Gericht gelandeten DMCA-Fälle durch kommerzielle Unternehmen veranlasst worden... das Reverse Engineering von Trojanern, Exploits und Viren scheint im Moment ungefährlich zu sein. Das hier vorgestellte Material ist nicht als magisches»reverse Engineering Howto«gedacht. Um ein Binary richtig analysieren zu können, benötigen Sie ein umfangreiches 1 Zur Situation in Deutschland und Europa siehe die Fußnote zu Beginn von Kapitel 2 Anm.d.V. 36 Kapitel 3: Linux Reverse Engineering

9 Hintergrundwissen über Computer, das nicht nur die Assembler-Sprache umfasst, sondern auch das Design und die Programmierung von Hochsprachen, das Design von Betriebssystemen, CPU-Architekturen, Netzwerkprotokolle, Compiler-Design, Dateiformate von Executables, Code-Optimierung kurz gesagt, braucht man sehr viel Erfahrung, um zu wissen, was man sich da im disassemblierten Code eines Binaries eigentlich ansieht. Nur wenig dieser Erfahrung kann hier vermittelt werden. Stattdessen werden die Standard-Linux-Tools und deren Einsatz (aber auch deren Schwächen) besprochen. Die zweite Hälfte des Kapitels besteht hauptsächlich aus Quellcode, der zeigt, wie man neue Tools für Linux entwickelt. Die in diesem Kapitel vorgestellten Informationen sind für Software-Ingenieure, Kernel- Programmierer und natürlich Reverse Engineer und Software-Cracker interessant, die den größten Teil dieses Stoffs bereits kennen. Der Schwerpunkt liegt darin, auf existierenden Tools aufzubauen und sie zu ersetzen. Alles hier Behandelte ist auf einem Linux- Standardsystem mit den üblichen Entwicklungswerkzeugen (gcc, gdb, perl, binutils) vorhanden, auch wenn der ptrace-abschnitt an einigen Stellen die Kernel-Quellen referenziert. Der Leser sollte einige Erfahrung in der Programmierung haben (Shell, Perl, C und Intelx86-Assembler werden empfohlen), eine mehr als nur flüchtige Bekanntschaft mit Linux gemacht haben und zumindest eine Vorstellung davon besitzen, was ein Hex-Editor ist und was man damit macht. Grundlegende Tools und Techniken Eines der wundervollen Dinge an Unix im Allgemeinen und Linux im Besonderen ist die Tatsache, dass das Betriebssystem mit einer Reihe leistungsfähiger Utilities ausgeliefert wird, die zur Programmierung oder zum Reverse Engineering genutzt werden können. (Natürlich versuchen einige kommerzielle Unix-Anbieter immer noch, eine»lizenzierung«ihrer so genannten Entwickler-Tools zu erzwingen ein seltsam gewählter Begriff, da»entwickler«dazu neigen, Windows zu verwenden, während»coder«zu Unix tendieren, aber Pakete wie die GNU-Entwicklungs-Tools sind für nahezu jede Unix-Plattform frei verfügbar.) Ein riesiges Arsenal zusätzlicher Tools ist online zu finden (beachten Sie hierzu den»referenzen«-abschnitt am Ende des Kapitels), und viele dieser Tools werden kontinuierlich weiterentwickelt. Die hier vorgestellten Tools beschränken sich auf die GNU-Pakete und -Utilities, die bei den meisten Linux-Distributionen zur Verfügung stehen: nm, gdb, lsof, ltrace, objdump, od und hexdump. Andere Tools, die in den Sicherheits- und Reverse-Engineering-Bereichen sehr weit verbreitet sind dasm, elfdump, hte, ald, IDA und IDA_Pro, werden hier nicht besprochen, obwohl der Leser ausdrücklich aufgefordert ist, mit ihnen zu experimentieren. Ein Tool, dessen Fehlen auf den ersten Blick als großes Versäumnis erscheinen mag, ist der einfache Hex-Editor. Viele sind für Linux/Unix verfügbar. biew ist der beste, hexedit Grundlegende Tools und Techniken 37

10 wird mit nahezu jeder wichtigen Linux-Distribution ausgeliefert. Natürlich wissen alle echten Unixer tief in ihrem Inneren, dass man keinen Hex-Editor braucht, wenn man mit od und dd vertraut ist. Wie man sich einen Überblick verschafft Das erste Tool, das Sie über ein potenzielles Ziel laufen lassen sollten, ist nm, ein System- Utility, das alle Symbole eines Binarys ausgibt. Es gibt eine ganze Reihe von Optionen für nm; die nützlichsten sind -C (in lesbare Namen decodieren), -D (dynamische Symbole), -g (globale/externe Symbole), -u (nur undefinierte Symbole), --defined-only (nur definierte Symbole) und -a (alle Symbole inklusive Debugger-Hints). Das nm-listing enthält Hinweise auf Symboltyp, Geltungsbereich und Definition der Symbole. Der Typ gibt den Abschnitt an, in dem das Symbol liegt, und weist üblicherweise einen der folgenden Werte auf: B Uninitialisierte Daten (.bss) D Initialisierte Daten (.data) N Debugging-Symbol R Read-only-Daten (.rodata) T Text-Abschnitt/Code (.text) U Undefiniertes Symbol W Weak Symbol (kann aber muss nicht beim Linken definiert werden)? Unbekanntes Symbol Der Geltungsbereich (Scope) eines Symbols wird durch die Groß-/Kleinschreibung des Typs bestimmt. Kleingeschriebene Typen haben einen lokalen Geltungsbereich, während großgeschriebene Typen global sind. Ein»t«steht also für ein lokales Symbol im Codeabschnitt, während»t«für ein globales Symbol im Codeabschnitt steht. Ob ein Symbol definiert ist, wird (wie oben aufgeführt) über den Typ bestimmt. Die Ausführung von `nm -u` ist daher identisch mit `nm grep ' \{9,\}[uUwW]'`, wobei ' \{9,\}' für die Leerzeichen steht, die anstelle einer Adresse oder eines Werts ausgegeben werden. Im folgenden Beispiel bash# nm a.out 08049fcc? _DYNAMIC 08049f88? _GLOBAL_OFFSET_TABLE_ 08048ce4 R _IO_stdin_used 0804a06c A bss_start 08049f60 D data_start w deregister_frame_info@@glibc_ c90 t do_global_ctors_aux w gmon_start U libc_start_main@@glibc_ cbc? _fini 08048ce0 R _fp_hw c? _init 38 Kapitel 3: Linux Reverse Engineering

11 080485a0 T _start 08048bb4 T bind c4 t call_gmon_start handelt es sich bei _start und bind also um exportierte Symbole, die in.text definiert sind, do_global_ctors_aux und call_gmon_start sind private, in.text definierte Symbole, _DYNAMIC, _GLOBAL_OFFSET_TABLE_, _fini und _init sind unbekannte Symbole und libc_start_main ist ein aus libc.so importiertes Symbol. Mit Hilfe der richtigen Kommandozeilen-Switches und auf dem Typ basierenden Filtern können wir uns auf einen Blick das Layout unseres Zielobjekts ansehen: Label in Codeabschnitten ausgeben: nm -C --defined-only dateiname grep '[0-9a-f ]\{8,\} [Tt]' Daten ausgeben: nm -C --defined-only dateiname grep '[0-9a-f ]\{8,\} [RrBbDd]' Nicht aufgelöste Symbole [importierte Funktionen/Variablen] ausgeben: nm Cu Das objdump-utility liefert mit der Option -f ebenfalls einen schnellen Überblick: bash# objdump -f /bin/login /bin/login: file format elf32-i386 architecture: i386, flags 0x : EXEC_P, HAS_SYMS, D_PAGED start address 0x0804a0c0 bash# Das ähnelt der Ausgabe des file(1)-befehls: bash# file /bin/login /bin/login: setuid ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), stripped bash# Beide identifizieren das Ziel korrekt, auch wenn die objdump-version den Zieltyp BFD (siehe den Abschnitt»Die GNU BFD-Bibliothek«später in diesem Kapitel) und den Einstiegspunkt angibt. Das letzte Utility, das wir zur üblichen Bewertung einer Zieldatei verwenden, ist das ehrwürdige strings(1), ohne das die Software-Sicherheitsindustrie einfach aussterben würde. Die Aufgabe von strings besteht darin, alle ASCII-Zeichenfolgen auszugeben, die aus mindestens vier Zeichen bestehen. strings(1) selbst ist einfach zu verwenden: Alle ASCII-Strings in den initialisierten und geladenen Abschnitten ausgeben: strings -tx Alle ASCII-Strings in allen Abschnitten ausgeben: strings -atx Alle ASCII-Strings von mindestens 8 Zeichen Länge ausgeben: strings -atx -8 Achten Sie darauf, die Adressen im»tx«-abschnitt mit den Adressbereichen der verschiedenen Programmabschnitte abzugleichen. Es ist furchtbar einfach, sich eine falsche Vorstellung davon zu machen, was ein Programm eigentlich tut, wenn man Datenstrings wie»setsockopt«und»execve«versehentlich als Referenzen auf Shared Libraries interpretiert. Grundlegende Tools und Techniken 39

12 Debugging Jeder, der eine gewisse Zeit mit einem Linux-System verbracht hat, wird mit gdb vertraut sein. Der GNU-Debugger besteht eigentlich aus zwei Kernkomponenten: dem konsolenorientierten gdb-utility und libgdb, einer Bibliothek, die gdb in eine größere Anwendung (etwa eine IDE) einbettet. Zahlreiche gdb-frontends stehen zur Verfügung, darunter ddd, kdbg, gvd und insight für X-Windows sowie vidbg und motor für die Konsole. Als konsolenorientiertes Programm verlangt gdb vom Benutzer einige Vertrautheit im Umgang mit dem Programm. GNU stellt neben dem umfangreichen Wälzer»Debugging with GDB«(weitere Informationen finden Sie im»referenzen«-abschnitt am Ende des Kapitels) eine sehr nützliche Kurzreferenz zur Verfügung. Die erste Frage bei jedem Debugger lautet immer:»wie kann ich ihn als Disassembler nutzen?«die zweite Frage folgt dichtauf:»wie kann ich den Speicher untersuchen?«bei gdb verwenden wir die Befehle disassemble, p (»print«, ausgeben) und x (»examine«, untersuchen): disassemble start ende p $reg p adresse p *adresse x $reg x adresse x *adresse Von 'start'-adresse bis 'ende' disassemblieren Inhalt des Registers 'reg' ausgeben ['p $eax'] Wert der 'adresse' ausgeben ['p _start'] Inhalt der 'adresse' ausgeben ['p *0x80484a0'] Adresse in 'reg' disassemblieren ['x $eip'] 'adresse' disassemblieren ['x _start'] Adresse dereferenzieren und disassemblieren Das Argument für die Befehle p und x ist ein Ausdruck, der Symbole, Registernamen (mit dem Präfix $), eine Adresse, eine dereferenzierte Adresse (mit dem Präfix *) oder einen einfachen arithmetischen Ausdruck wie»$edi + $ds«oder»$ebx + ($ecx * 4)«enthalten kann. An die p- und x-befehle können jeweils Format-Argumente angehängt werden: x/i x/x x/d x/u x/t x/o x/f x/a x/c x/s gibt das Ergebnis als Assembler-Anweisung aus gibt das Ergebnis als Hexadezimalwert aus gibt das Ergebnis als Dezimalwert aus gibt das Ergebnis als Dezimalwert ohne Vorzeichen aus gibt das Ergebnis als Binärwert aus gibt das Ergebnis als Oktalwert aus gibt das Ergebnis als Fließkommawert aus gibt das Ergebnis als Adresse aus gibt das Ergebnis als Zeichen aus gibt das Ergebnis als ASCII-String aus 40 Kapitel 3: Linux Reverse Engineering

13 Index Symbole ## 273 +Fravia 12 $ (Dollarzeichen) 411 # (Doppelkreuz),.gdbinit-Kommentar 48 Zahlen Standards b-Standards 426 Kanal-Kapazität Virus 439 A Abschnitte (Sections) 22 Abschnittstabellen 22 Access Point (AP), Platzierung der Antenne 427 ACLs (Access Control Lists, Zugriffskontroll -listen) 286 Address Resolution Protocol (ARP) 196 adore-lkm 551 Adressierung 7 8 Advanced ebook Processor (AEBPR) 11 Advanced RISC Microprocessor (siehe ARM) AEBPR (Advanced ebook Processor) 11 afio-tool 292 AIDE 466, 521 Airscanner Mobile AntiVirus Pro 441 Airscanner Mobile Sniffer 431 aktive Angriffe 214 aktive Reconnaissance FTP 236 Tarnung 236 Website-Analyse 235 aktives Fingerprinting 246 ALTER-Befehl 409 AND, OR, NOT, Befehlsmodifikatoren 410 Angriffe ARP-Spoofing 196 Aufräumen nach Angriffen Beweise löschen (siehe verstecken) DoS (Denial-of-Service) 352 Unix Honeypots, festhalten mit (siehe Honeypots; Honeynets) IDS-Systeme hacken Fragmentierung 475 Integritätsprüfer 476 Protokoll-Mutation 475 Spoofing 475 IP-Spoofing 193 Missbrauch von Fragmenten 205 Palm OS-Viren 439 Passwort-Angriffe Passwörter, Dictionary-Angriffe auf 282 phf-exploit 468 Reconnaissance (siehe Reconnaissance) Social Engineering (siehe Social Engineering) SQL Injection (siehe SQL-Injection-Angriffe) SUID 332 Unix (siehe Unix-Angriffe) verdeckte Kanäle 198 WEP (siehe WEP) Wiederherstellung nach 522 Wireless-Sniffing Keystream-Extraktion WU-FTP-Exploit 547 Anomalie-Detektoren 468 Anonymizer-Dienste 237 Antennen-Konfiguration, WLAN-Sicherheit Index 565

14 Antidebugging Antidisassembly Antiforensik (siehe Forensik, Gegenmaßnahmen) Anti-IDS (AIDS) 476 Anwendungs-Logs, säubern 257 Apache 304 Zugriffskontrolle 316 Arithmetic Shift Left (ASL) 139 Arithmetic Shift Right (ASR) 139 Arkin, Ofir 249 ARM (Advanced RISC Microprocessor) NOP- verglichen mit UMULLSS-Befehl 145 Opcodes 134 Register ARP (Address Resolution Protocol) 196 ARP-Spoofing 196 ASM (siehe Assemblersprache) ASM-Opcodes 8 ASP (Active Server Pages) 410 AsPack 20 Assemblersprache (ASM) 3 Marken 70 Prozessortypen und 131 Audit-Logdateien (siehe Log-Analyse) Aufklärung (siehe Reconnaissance) Aufräumen nach Angriffen Auslagerungsdatei 540 Authentication Service (AS), Kerberos 385 Authentifizierung auf Gegenseitigkeit 384 autoclave, bootfähiges Floppy-System 262 awatch-watchpoints 45 AX-(Akkumulator)-Register 4 B B (Branch), Opcode 134 backtrace-befehl (gdb) 42 Backups 292 und die Wiederherstellung von Dateien 522 BalabIT 449.bash_history 257 Bastille 306, 496 Bayessche Analyse Genauigkeit 472 Präzision 471 Sensibilität 470 Sensibilität kontra Präzision 470 Vorhersagewert 473 Wahrscheinlichkeitsquotienten 474 Bayessches Theorem 469 Beale, Jay 496 Befehlssatz 8 Benutzernamen 280 Benutzerprozesse, Windows CE 127 Bereiche (Kerberos) 386 Betriebssysteme, Fingerprinting (siehe OS-Fingerprinting) bfd_map_over_sections( ) 103 Biatchux CD-ROM 534 biew, Hex-Editor 37 Big-Endian-Format 185 binäre Symbole, auflisten 38 BIND (Berkeley Internet Name Domain), Zugriffskontrollen 315 BIOS-Passwörter 302 BL (Branch with Link), Opcode 134 Blauer Bildschirm des Todes (Blue Screen of Death) 363 bootfähige CD-ROMs BOOTP 196 bösartiger Code, Reverse Engineering Bounds-Checking 171, 179 Branch-Opcode (B) 134 Branch with Link-Opcode (BL) 134 break-befehl 44 Breakpunkte (gdb) BSD, Prozess-Accounting-Einrichtung 454 BX (BP) Basisregister 5 Byteanordnung umkehren 184 C C++ Programmiersprache, Anfälligkeit gegenüber Pufferüberläufen 171 Carrier, Brian 553 CD-ROMs, bootfähige Cesare, Silvio 271 chargen, Sicherheitsrisiken 338 chkrootkit 268, 467, 515 chmod-befehl 284 chroot-befehl 333 cipher.exe, Utility 398 cloak, Tool 259 CMP-Opcode (Compare) 136, 143 Cohen, Fred 537 commands-befehl 43 Common Criteria 295 Compare-Opcode (siehe CMP) Computer-Forensik (siehe Forensik) 566 Index

15 condition-befehl 43 context-makro CORE SDI 288, 449 Core Security Technologies 391 cracklib 282 Crackmes 25 CREATE-Befehl 409 CS (Code Segment) 5 Ctrl-z (SIGSTOP) 46 CX (Count), Zählerregister 5 cygwin 246 D DAC (Discretionary Access Control) 284 Daemon-Sicherheit (Unix) 303 DARPA (Defense Advanced Research Projects Agency) 189 Dateiattribute (Unix) 286 Dateien, Wiederherstellung gelöschter Daten 522 Dateispuren 261 Dateisysteme 526 Dateisystemzugriffsrechte 297 Dateizugriffsrechte (Unix) 284 Daten löschen Datenbanken 408 Angriffe auf (siehe SQL-Injection-Angriffe) Entwurfsfehler finden 417 Nutzung durch Websites 410 Shells 410 Datenmüll 527 Datenpakete (TCP/IP) 190 Datenwiederherstellung, rechtliche Aspekte 530 dd-befehl 293, 548 Debug-Register, Intel-Prozessoren 91 Debug-Traps 87 Debugger (siehe auch gdb; ptrace)»decrypt-except«-signaturtransformation 404 DeepSight-Analyzer 460 Defense Advanced Research Projects Agency (DARPA) 189 Defragmentierung 526 Deletang, Frederic 363 DELETE-Befehl 409 DES-Algorithmus 282 DHCP 196 DI-Register (Destination) 5 Dictionary-Angriffe 282 differenzielle Stromanalyse 396 Digital Millennium Copyright Act (DMCA) 11 Directory Traversal 476 dis-asm.h 107 disassemble_info-struktur 107 Disassembler Linux 56 Disassemblierung Entwicklung von Tools für Generierung von Zwischencode Identifikation von Funktionen 59 identifizierende Funktionen Prolog und Epilog 60 libopcodes Linux, statisches Linken und 78 Programm-Kontrollfluss Discretionary Access Control (DAC) 284 Disk KEK 400 display-befehl 44 Dittrich, Dave 358 DMCA (Digital Millennium Copyright Act) 11 DMZ 546 DNS (Domain Name Service) 304 Sicherheitsrisiken 341, 347 Zugriffskontrollen 315 Domain-Beschränkung 317 DOS MZ, Header 21 DoS-Angriffe (Denial-of-Service) 352 Unix auf Anwendungsebene 359 lokale Ressourcen-Angriffe 353 Windows-Clients Hilfe- und Supportcenter SMB-Angriff (Service Message Block) UPnP-Angriffe (Universal Plug and Play) DOS-Stub 21 DPAPI RA 399 DROP-Befehl 409 DS (Codesegment) 5 Dshield.org 460 dsniff 430 Toolkit 291 dump-tool 293 DX (Datenregister) 5 Index 567

16 E e2undel 522 EEPROMs (Electrically Erasable Programmable Read-Only Memory) ausbremsen 395 EFS (Encrypting File System) Benutzer-Interaktion 397 Passwort zurücksetzen 398 Wiederherstellung von Daten 398 Einmal-Passwort (EP Hard Disk) 400 Elcomsoft 11 ELF (Executable and Linkable Format) Abschnitts-Header 81 Beispiel-Reader dt_tag-feld 82 dynamische String- und Symboltabellen 82 gelöschte Header 79 Header 80 Identifikation 80 Programm-Header 80 PT_DYNAMIC-Segment 82 Embedded-Betriebssysteme, Reverse Engineering 125 (siehe auch Windows CE) Embedded-IDS 477 encapsulation (TCP/IP) 189 Encryption Plus Hard Disk Authenti-Check 400 Benutzer-Konfigurationsoptionen 401 Einmal-Passwort 400 Einmalige Anmeldung 401 Installation und Aktualisierung 401 Komponenten, Funktion, Benutzer 399 lokale und unternehmensweites Recovery durch den Administrator 400 End-User License Agreement (EULA) 10 entfernte root-shells 337 Entpacker ProcDump 22 ES (Extrasegment) 5 Ethereal 201, 432 EULA (End-User License Agreement) 10 Evidence Eliminator Browser-Datenmüll aufräumen Netscape Navigator chat-logs 541 Swap-Datei leeren 540 temporäre Dateien löschen 541 Windows Registry-Streams leeren 541 Zwischenablage leeren 541 Executable and Linkable Format (siehe ELF) Execute In Place (XIP) 129 F Farmer, Dan 290 FD-Feld (File Descriptor), lsof-ausgabe 52 Festplatten Dateisysteme 526 Image 530 Klonen 530 Lösch-Tools 538 Spiegel 530 file(1)-befehl 39 filemon 19 finger-service, Sicherheitsrisiken 341 Fingerprints (XML-Signaturen) 406 finish-befehl 46 FIRE (Forensic and Incident Response Environment) 534 Firewalls hostbasiert zustandsorientierte, verglichen mit zustandslosen 468 First In, First Out 6 Fleischmann, Stefan 528 FLIRT-Signaturen (Fast Library Identification and Recognition Technology) 14 FOR-Schleifen 70 foremost (Forensik-Tool) 554 Forensik 525 bootfähige CD-ROMs Datenmüll 527 eingesetzte Hardware Festplatten 526 RAM 527 Fallstudie DMZ 546 Logging 548 Netzwerkstruktur 546 Untersuchung Zwischenfall 546 Tools WinHex Forensik, Gegenmaßnahmen Evidence Eliminator forensische Spuren, beseitigen ForensiX-CD-ROM 537 fork-bomben Index

17 Forschungs-Honeypots 489 fprintf( ) 110 Fragmentierung 204, 475 Variablen 204 Fragroute 207 Frames, Funktionen 176 freier Speicherplatz 532 FTP 303 Sicherheitsrisiken 338 FTP-Site-Reconnaissance 236 Funktionen Generierung von Signaturen für (Linux) 78 identifizieren 59 Signatur-Kollisionen 79 Fuzzy-OS-Fingerprinting Fyodor 242 G Gateway-IDS 491 gdb (GNU-Debugger) (fehlende) Unterstützung von Hardware- Debug-Registern 45 backtrace-befehl 42 Breakpunkt-Unterstützung context-makro disassemblieren, p- und x-befehle 40 display-befehl 44 help info, Befehl 41 hexdump-makro 48 info, Befehl 41 info frame, Befehl 42 info registers, Befehl 41 Konfigurationsdatei (.gdbinit) 47 Prozesskontrollanweisungen 41 ptrace (siehe ptrace) reg-makro 48 SIGSTOP 46 Watchpunkte 45 GenI-Honeypots 492 GenII-Honeypots 492 geometrische Ausgabe von Daten 479 getfacl-befehl (Solaris 8) 286 getunnelte Reverse-Shell 273 GNU BFD-Bibliothek (Binary File Descriptor) Dateiformate 100 Initialisierung 101 GNU binutils-paket, Nachteile 79 GNU-Entwicklungswerkzeuge 37 Granger, Sarah 212 GWES (Graphics, Windowing and Event Subsystem) 130 H Hardware Reverse Engineering 394 Härten 295 auf Kernel-Ebene 307 Automatisieren über Skripten harter Reboot 129 Hash-Algorithmen 282 hbreak-befehl 44 HCP (Help Center Protocol), Windows-Systeme 370 Header-Chaining 199 Heap-Überlauf 177 Heaps 177 help info, Befehl (gdb) 41 Hex-Editoren 13 hexdump-makro 48 hexdump-programm 58 Hexdumps, Linux hexedit, Hex-Editor 37 High Cracking University (+HCU) 12 Hilfe- und Supportcenter, Windows XP-Clients 369 Hintertür, sshd 551.history 257 Hogwash 491 honeyd 489 Honeynet-Projekt 488 Honeynets 488 Aufbau 494 Aufbau vor Netzwerkanbindung 501 Festhalten von Angriffen 501 Installation der Betriebssysteme 495 Installation des Opfer-Systems 500 Planung virtuelle Umgebungen 490 Honeypots Aufgabe 490 Forschungs- vs. Produktions-Honeypots 489 Motivation für den Einsatz von 490 Windows, Probleme beim Einsatz von 493 horizontale Port-Scans 519 hostbasierte Firewalls hostbasiertes IDS Integritäts-Monitore 466 Logdatei-Monitore Index 569

18 host-befehl 227 Host-Beschränkung 317 hosts.allow 312 hosts.deny 312 hping 206 HTTP, Sicherheitsrisiken 342 HTTPS, Sicherheitsrisiken 344 I ICE ICMP (Internet Control Message Protocol) 195 ICMP»telnet«, verdeckter Kanal 273 IDA Pro 14 Disassembler-Optionen 15 prozessorspezifische Parameter 14 identd, Sicherheitsrisiken 343 Ident-Fingerprinting 245 IDS (siehe Intrusion-Detection-Systeme) IF-ELSE-Anweisungen 71, 73 Imaging der Festplatte 530 IMAP, Sicherheitsrisiken 344 Importtabellen 22 In Control 5 24 Incident Case 505 Incident Report 505 Incident Response aggressive Reaktion 521 Definition 505 große Netzwerke Diagnose-Tools 519 Kosteneffizienz 519 Identifikation des Zwischenfalls 520 Integritätsprüfungs-Programme 521 kleine Netzwerke empfohlene Praktiken 511 Linux-Tools 514 Windows 95/98/Me-Diagnose (WinTop) 513 Windows NT/2000/XP-Tools 513 mittelgroße Netzwerke Logdaten 518 Logging-Tools 517 Rahmen (siehe Incident-Response-Rahmen) SANS 6-Schritt-Incident-Responce-Methodik 507 Wichtigkeit von Backups 522 Wiederherstellung 522 Incident-Response-Rahmen Beseitigung 509 Eindämmung 508 Identifikation 508 Nachbereitung 509 Vorbereitung 507 Wiederherstellung 509 inetd.conf 290, 303, 304, 312 info, Befehl (gdb) 41 info frame, Befehl (gdb) 42 info registers, Befehl (gdb) 41 Initialisierungsvektoren (IS) 433 Initialisierungsvektoren (IVs) 429 IV-Kollision 433 INSERT-Befehl 409 insn_list.pl 65 insn_output.pl insn_xref.pl 66 Installations-Manager 24 int_code.pl Integritäts-Monitore 466 Integritätsprüfungs-Software 270 Angriffe gegen 476 Intel-Prozessoren, Debug-Register 91 Interdomain-Netzwerkzugriff 386 Intermediate Code Internet Control Message Protocol (ICMP) 195 Internet Protocol (IP) 192 Internet-Protokolle (siehe TCP/IP) Intrusion-Detection-Systeme (IDS) 289, Angriffe gegen Fragmentierung 475 Integritätsprüfer 476 Protokoll-Mutation 475 Spoofing 475 Aspekte des Einsatzes von die fünf schlimmsten Fehler 484 Bayessche Analyse Genauigkeit 472 Präzision 471 Sensibilität 470 Sensibilität kontra Präzision 470 Vorhersagewert 473 Wahrscheinlichkeitsquotienten 474 Beschränkungen und Anfälligkeiten 469 Gateway-IDS 491 hostbasiert CDROMs, Nutzung bei 467 Integritäts-Monitore 466 Logdatei-Monitore Index

19 IDS-Regeloptimierung 483 Netzwerk-IDS (NIDS) Anomalie-Detektoren 468 Signaturprüfer 467 Snort, IDS-Fallstudie zukünftige Entwicklung Embedded-IDS 477 strenge Anomalie-Erkennung 478 visuelle Anzeige der Daten 479 zustandsorientierte, verglichen mit zustandslosen 468 IP (Instruction Pointer) 5 IP (Internet Protocol) 192 IPv4-Paketformat IP-Spoofing 193 ipchains 323 IPSec 477 iptables 323 IPv Adressierung 200 Header-Chaining 199 Sicherheit 200 IRC, Sicherheitsrisiken 346 J John the Ripper, Passwort-Knacker 282 K Kanonisierung 406 KDC (Key Distribution Center) 384 Kerberos-Protokoll 384»Überweisungen«(referrals) 386 KDC (Key Distribution Center) 384 Prinzipale 384 Schwächen Vorauthentifizierung 388 Timestamp-Verschlüsselung Kernel-Ebene, Härten auf 307 Kernelprozesse, Windows CE 127 Key Distribution Center (KDC) 384 Key Scheduling Algorithm (KSA) 429 Kismet 431 Kiwi Syslog 455 klogd 447 Klonen der Festplatte 530 Kontaktketten 221 L Laufzeit-Überwachung, Linux und Unix LDR/STR-Opcode (Load/Store) 137 Lease-Periode 197 Liberty Crack, Trojaner 440 libopcodes Library-Trojaner-Kits 271 libwrap.so Systembibliothek 313 lichtinduzierte Spannungsalternierung 395 Light, Steve 398 LIKE-Modifikator 410 Linux Bastille 306 Debugging (siehe gdb; ptrace) Disassembler 56 ELF (siehe ELF) GNU-Entwicklungswerkzeuge 37 Hexdumps iptables und ipchains 323 Laufzeit-Überwachung lsof-utility ltrace-utility 54 Reverse Code Engineering Antidebugging Antidisassembly Disassembly-Tools entwickeln Problembereiche sys_ptrace 90 Linux HOWTOs 300 Litchfield, David 389 Little-Endian-Format 185 LKM (Loadable Kernel Module) 269 Load String, Systemaufruf 142 Load/Store-Opcode (LDR/STR) 137 Log-Analyse Aggregation 458 Arten von Logdateien 445 globale Log-Aggregation 460 Herausforderungen 458 Kernel-Logging 447 Korrelation 446 Log-Überlauf 458 logfähige Ereignisse 455 Prozess-Accounting 454 SIM-Tools (Security Information Management) 459 Unix entferntes Logging 448 Index 571

20 Unix-Framework in Windows einbinden 455 verdecktes Logging 452 Sniffer 453 Verwendung von Logdaten 456 Windows 452 logcheck 517 Logdateien aufräumen Anwendungs-Logs 257 Editier-Tools 256 Unix binäre Logs 259 Unix Shell-History 257 Dateispuren nach dem Aufräumen 261 Identifikation 256 Logdatei-Monitore Logging entferntes Logging 288 Server 288 Logical Shift Left LSL 138 Logical Shift Right LSR 138 Login-Records 259 logsurfer 517 logwatch 289, 517 lokale DoS-Ressourcen-Angriffe (Unix) 353 lsof-utility ltrace-utility 54 M M-SEARCH-Direktive 366 MAC-Adressen (Media Access Control) 431»magisches«Paket, Aktivierung von Backdoors 273 Mailserver, identifizieren 234 malloc( )-Bomben 354 ManTrap von Recourse 491 Maximum Transmission Unit (MTU) 193 MD5-Algorithmus 282 Meade, Ian 13 menschliche Reconnaissance 239 MessageBoxW Systemaufruf 142 Microsoft SOAP (siehe SOAP) SQL-Server-Schwachstellen 417 Word-Forensik 232 MOV-Opcode (Move) 135 M-SEARCH-Direktive 366 Mstream 359 msyslog 449 MTU (Maximum Transmission Unit) 193 Muad Dib s Crackme # Müll durchsuchen (Reconnaissance) 239 MULTICS-Betriebssystem 279 MVC (embedded Visual C++) Hallo Welt -Programm 139 Call Stack-Fenster 153 Modules-Fenster 153 Registers-Seite 153 test.exe, Reverse Engineering mit MVT (embedded Visual Tools) 133, Geräte-Emulator 140 MyNetWatchMan 460 N ncftp 549 Netcraft.com 239 netforensics 460 NetScanTools Pro 231 Network File System (NFS) 291 Network Information Services (NIS) 291 Network Time Protocol (NTP), Sicherheitsrisiken 343 Netzwerk-IDS (NIDS) Anomalie-Detektoren 468 Signaturprüfer 467 NFS (Network File System) 291 Sicherheitsrisiken 345, 349 ngrep 453 Niedrigenerieladungs-induzierte Spannungsalternierung 395 NIS (Network Information Services) 291 Nmap 205, Gegenmaßnahmen 245 Techniken 243 nm-system-utility 38 Arten von Symbolen 38 Geltungsbereich von Symbolen 38 NNTP, Sicherheitsrisiken 343 No-Listener-Backdoor (Sniffer-basiert) 274 NOP-Sliding (no operation) 145 NOTIFY-Direktive 371 NOTIFY-Signal 365 npasswd-tool 299 nslookup-befehl 227 NTP (Network Time Protocol), Sicherheitsrisiken 343, 348 Nutzlast 175 Byteanordnung umkehren Index

21 O O Dwyer, Frank 387 objdump-utility 56 Objektspeicher 129 od-programm (octal dump) öffentliche Internet-Terminals 238 öffentliche Web-Proxies 236 Old Red Cracker (+ORC) 12 Online-Reconnaissance Opcode-Patching 13 Opcodes 8, 134 Open Source Security Testing Methodology Manual (OSSTMM) 214 OpenSSH-Zugriffskontrolle 316 (siehe auch SSH) Orange Book 295 OS-Fingerprinting aktives Fingerprinting 246 Ident-Fingerprinting 245 Nmap Gegenmaßnahmen 245 Techniken 243 passives Fingerprinting 246 pof (passives OS-Fingerprinting-Tool) RING-Tool 251 Spezial-Tools 245 TCP/IP-Timeout-Erkennung 251 TCP-Stack-Fingerprinting TSN (Telnet Session Negotiation) 241 XProbe Fuzzy-Matching-System 250 OSSTMM (Open Source Security Testing Methodology Manual) 214 P Packer 20 Pakete Analyse 202 Format, IPv Fragmentierung 193, 204 Missbrauch der 205 Nmap nutzen 205 Variablen 204 Schlüssel 429 Sniffing 201 zerlegen 475 Palm OS-Viren 439 Liberty Crack, Trojaner 440 Phage-Virus 438, 440 passive Angriffe 214 passive Reconnaissance Tools passives Fingerprinting 246 Passwort-Angriffe Passwort-Cracker, TSCrack-Programm 378 Passwörter 299 BIOS-Passwörter 302 passwortratende Angriffe 387 PE (Portable Executable), Dateiformat 21 Abschnitte 22 PE-Header 21 PE-Loader 21 Penetrationstests 213 permanentes Datenreservoir (RAM) 527 Personal Firewalls 24 Phage-Virus 438 phf-exploit 468 PHP 410 PHP-Nuke, Anwendung Beispiele für Angriffe 423 Beispiele für Verteidigungsmaßnahmen 425 Installation 423 Website-Framework 411 physikalische Sektoren, Kopien 530 ping-befehl 195 PINs (Smartcards) 394 PKI (Public Key-Infrastruktur) 392 PKINIT 388 Platten 526 Pocket PC, Anfälligkeit gegenüber Viren 438 pof (passives OS-Fingerprinting-Tool) POP3 (Post Office Protocol Version 3), Sicherheitsrisiken 342 Portable Executable (PE), Dateiformat 21 Portmapper, Sicherheitsrisiken 342 Ports, Sicherheitsaspekte TCP UDP Prinzipale 384 prism-getiv.pl 435 ProcDump 22 Produktions-Honeypots 489 Programmiersprachen Pufferüberläufe 171 Wahl der 131 Index 573

22 Programm-Kontrollfluss Protokoll-Mutation 475 Provos, Niels 489 Prozess-Accounting 289, 454 Prozessaudit-Aufzeichnungen 259 Prozesskontrollanweisungen (gdb) 41 Prozessoren ARM-Prozessor (siehe ARM) Assemblersprache und 131 von Windows CE unterstützte 126 Prüfsummen 429 ps-befehl 514 Pseudorandom Generation Algorithm (PRGA) 429 ptrace bösartige Binaries und 74 Breakpunkte und 89 Debug-Register, implementieren 92 Funktionen 88 Prozessüberwachung 98 PTRACE_PEEKUSER und PTRACE_POKEUSER 91 PTRACE_SYSCALL 99 Wrapping mit Kernelmodulen 75 Puffer 173 Pufferüberläufe 145, Beispiel-Crackme Nutzlast 175 Byteanordnung umkehren 184 verhindern pwconv-befehl 300 Q quota-einrichtung 301 R Radiofrequenz-Signaldrift, reduzieren RADIUS (Remote Authentication Dial-In User Service) 436 Rain Forest Puppy 412 RAM (Random Access Memory) 128, 527 RAM-Arten 527 Rapport (harmonisches Verhältnis) 223 RARP (Reverse Address Resolution Protocol) 196 RC4-Algorithmus 429 RCE (Reverse Code Engineering) XV, 10 Embedded-Betriebssysteme (siehe Windows CE) Geschichte 12 Linux Antidebugging Antidisassembly Disassembly-Tools Problembereiche rechtliche Aspekte 36 serial.exe (siehe serial.exe, Reverse Engineering) test.exe, mit MVC Windows CE (siehe Windows CE) Windows-Beispiele bösartige Binaries Muad Dib s Crackme # Windows-Code-Tools Debugger Disassembler Entpacker Hex-Editoren 13 Installations-Manager 24 Personal Firewalls 24 System-Monitore Reaktion auf Vorfälle (siehe Incident Response) Reconnaissance aktiv FTP 236 Tarnung 236 Website-Analyse 235 hinterlassene Beweise 255 menschlich 239 Online passiv Tools Websuche 231 Recourse, Man Trap 491 Recovery Agents (RAs) 399 reg-makro 48 Register 4 ARM-Prozessor, Beschreibung der Registry-Systemaufruf 142 regmon 19 Reinigungsprogramm, sicheres 528 relationale Datenbanken (siehe Datenbanken) Remote Desktop (Windows) 376 Remoteunterstützung (Windows) 380 Reverse Address Resolution Protocol (RARP) 196 Reverse Code Engineering (siehe RCE) Reverse-Shell, getunnelte Index

23 Reverse-Shell/Telnet 272 Richtfunkantennen 427 RING-Tool 251 Risikoanalyse 222 rlogin, Sicherheitsrisiken 345 ROC-Kurve (Receiver Operating Characteristic) 472 Rogue 354 ROM (Read Only Memory) 128 root 280 Rootkits häufig ersetzte Binaries 267 LKM-Kits 269 Methodik 269 Sniffer 318 Root-Server 227 Rotate Right Extended (ROR) 139 Routing-Protokolle 318 RPC Angriffe, Beweise 255 Sicherheitsrisiken 342 rsh, Sicherheitsrisiken 345 rwatch-watchpoints 45 S Salt 282 Samspade.org 230 SAN Dshield.org 460 Sanfilippo, Salvatore 206 SANS 6-Schritt-Incident-Response-Methodik 507 Die 20 kritischsten Internet-Sicherheitslücken 349 Scheduler, Windows CE 128 Segment-Regenerierung 251 Sektoren 526 SELECT-Befehl 409 sendmail 305 Zugriffskontrolle 315 sequenzielle Disassembler 59 sequenzielle Portscans 519 serial.exe, Reverse Engineering Debugging 159 in den Disassembler laden 157 schrittweise Untersuchung 160 (siehe auch Windows CE) Seriennummern knacken (siehe auch serial.exe, Reverse Engineering) setfacl-befehl (Solaris 8) 286 SGI-Maschinen, Sicherheitsrisiken 337 SGID (Set Group ID) 298 SGID-Bit 285 Shadow-Passwort-Suite 299 Shaft 359 Shift-Operationen, Opcodes 138 shred-tool 263 shroud-tool 260 SI-Register (Source) 5 Sicherheit Ereignis 504 Korrelation von Ereignissen 508 Reaktion 505 Zwischenfall 504 Signalstreuung, reduzieren Signatur-Kollisionen 79 Signaturprüfer 467 SIGSTOP 46 SIM-Tools (Security Information Management) 459 Sklyarov, Dmitry 11 Smartcards 393 hacken Reverse Engineering 394 SMB_COM_TRANSACTION-Befehl 363 SMB-Angriff (Service Message Block) SMB-Netzwerkdienste, Sicherheitsrisiken 344 smbnuke 363 SMB-Protokoll (Service Message Block) 362 SMS, Sicherheitslücken 441 SMTP-Protokoll-Server, Sicherheitsrisiken 340 Sniffer 318, 453 Snort 467 Fallstudie Mindestanforderungen an Maschine und Betriebssystem 480 System-Setup Konfiguration für einen Honeypot 498 SOAP (Simple Object Access Protocol) 403 Sicherheit von Webdiensten Xenc (XML-Verschlüsselung) 403 Social Engineering Aktionspläne Angriffe, passive und aktive 214 Definitionen 212 Informationssammlung 221 Kontaktketten 221 Methodik Planung 214 Index 575

24 Risikoanalyse 222 Unterprogramme (Shortcuts) 223 SOCKS Proxy-Port, Sicherheitsrisiken 345 SoftICE Befehle Backtrace-Befehle 562 Fenster-Befehle 562 Fenster-Kontrolle 562 fortgeschrittene 560 Moduskontrolle 561 spezielle Operatoren 563 Symbol/Quell-Befehle 562 Breakpunkte 563 Song, Dug 291 Source-Routing 318 SP-Adresse (Stackpointer) 5 Spiegel 530 Spitzner, Lance 488 Spoofing 475 Spuren (Tracks) 526 Spuren verwischen, Aufräumen nach Angriffen SQL ANSI-Standards 408 Befehle 409 Modifikatoren 409 SQL-Injection-Angriffe Angriffstypen Authentifizierung umgehen 415 Datenbank-Modifikation 416 nicht autorisierter Datenzugriff grundlegende Angriffs-Strings 418 PHP-Nuke, Anwendung Beispiele für Angriffe 423 Beispiele für Verteidigungsmaßnahmen 425 Installation 423 Prävention SQL-Injection, Definition 411 Verteidigungsmaßnahmen externe Verteidigungsmaßnahmen (Sperren der Anwendung) 420 Filter 421 programmtechnische Verteidigungsmaßnahmen 421 Verschleierung 419 Squid-Web-Proxies, Sicherheitsrisiken 346 SS (stack segment) 5 sscan 338 SSDP (Simple Service Discovery Protocol) 366 SSH (Secure Shell) 305, Sicherheitsrisiken 339 vor Missbrauch schützen 301 Zugriffskontrolle 316 ssh-tool 272 SSL (Secure Sockets Layer) 437 Stacheldraht 358 Stack 6 statisches Linken und Disassemblierung 78 Stealth-Interface 496 Sterilisierungs-Werkzeug 500 strcmp-anweisung (Stringvergleich) 143 strenge Anomalie-Erkennung 478 strlen (string length), Vergleichsoperation 143 Stromverbrauchsanalyse 396 su-befehl 300 Subroutinen 148 Suchmaschinen 231 SucKit 271 SUID (Set User ID) 298 Angriffe mit Hilfe von 332 Bit 285 root-sicherheitslücke 268 swap-dateien 540 swatch 517 SWITCH-Anweisungen 73 Symantec DeepSight Analyzer 460 SYN/ACK-Timeout- und Regenerierungs- Zyklen, OS-Fingerprinting mit 251 SYN-Cookie 317 sys_ptrace 90 SysInternals 19 syslog Ausgabe 446 Daemon 287 Probleme 449 Sicherheitsrisiken 348 syslog.conf 448 syslog-ng 449 systat-dienst, Sicherheitsrisiken 338 System-Härten 295 System-Logging 287 (siehe auch Logdateien) System-Logs, Beweise für Angriff in 255 System-Monitore System-Records, aufräumen 260 (siehe auch Logdateien, aufräumen) Systemzeit, Systemaufruf Index

25 T tar-tool 292 TASK 553 Täuschnetzwerk (Honeynet) 494 tbreak-befehl 44 TCP (Transmission Control Protocol) Ports, Sicherheitsrisiken TCP/IP (Transmission Control Protocol/Internet Protocol) 189 Datenpakete 189 Kapselung 189 TCP/IP-Handshaking 197 tcpd 290, 312 TCP-Stack-Fingerprinting TCP-Wrappers 290, Binärform 312 TCT (The Coroner s Toolkit) 522, 553 telnet 272, 303 Sicherheitsrisiken 339 Telnet Session Negotiation (TSN) 241 test.exe 147 Reverse Engineering mit MVC 153 TFN (Tribal Flood Network) 358 TFN2K 358 TGTs (Ticket-Granting Tickets) 384 The Coroner s Toolkit (siehe TCT) Ticket-Granting Service (TGS), Kerberos 385 Ticket-Granting Tickets (TGTs) 384 Tickets 384 Timestamps 447 Timofonica-Trojaner 439 TKIP (Temporal Key Integrity Protocol) 436 /tmp-verzeichnis, Sicherheitsrisiken 299 Torn Trace-Traps 87 traceroute 195, 229 Transmission Control Protocol (TCP) Trinoo 358 Tripwire 270, 466 AIDE, Klon 521 Trojaner 268 TSCrack 378 TSN (Telnet Session Negotiation) 241 tsweb (Microsoft) 378 Tunneling 435 U Überlaufangriffe Pufferüberläufe (siehe Pufferüberläufe) UDP Listener 272 Ports, Sicherheitsrisiken Protokoll 195 Ultra Edit 13 umask-befehl 285 unbenutzter Festplattenplatz 532 UNION-Befehl 409 Universal Root Kit (URK) 270 Unix 279 anwendungsspezifische Zugriffskontrolle binäre Logs 288 Dateiattribute 286 Datei-Zugriffsrechte 284 daytime-dienst, Sicherheitsrisiken 338 dd-befehl 548 entferntes Logging 288 Gruppen 283 History 289 Honeynet aufbauen 494 Laufzeit-Überwachung Log-Analyse entferntes Logging 448 Framework-Einbindung in Windows 455 Netzwerkprotokolle 319 Netzwerksicherheit automatisiertes Härten Backups 292 Benutzerverwaltung 300 BIOS-Passwörter 302 Daemons 303 Dateisystem-Zugriffsrechte 297 Entfernen unsicherer Software 296 Härten 294 hostbasierte Firewalls Lauschangriffe verhindern 318 Login-Sicherheit 299 NFS und NIS 291 physikalische Sicherheit 302 Ressourcen-Kontrolle 301 SSH 301, Systemkonfigurations-Änderungen 317 System-Logging und -Accounting 305 System-Patches 297 TCP-Wrappers 290, /tmp-verzeichnis, Risiken 299 X Windows 294 Passwörter 280, 299 Speicherung in Dateien 283 Index 577