Frage zum Thread Enviroment Block
-
Hallo kann mir jemand sagen was hier genau im TEB abgefragt wird?
0F014ECD |. 64:A1 18000000 MOV EAX,DWORD PTR FS:[18] 0F014ED3 |. 8988 180F0000 MOV DWORD PTR DS:[EAX+F18],ECXIch habe das in einem Programm gefunden wo ich die vermutung habe das es sich um Malware handelt.
GData hatte bei mir einen Viren Meldung ausgeben kurz danach öffnete sich ein Programm mit dem Namen: somoto-master.exe
Aber das Programm ist kurz danach abgestürtzt da es wohl auf ungültige Opcodes getroffen istDieses somoto ding war im Temp Verzeichniss es gibt sehr viele Funktionen in dem Programm die mit Zw Anfangen aber die werden doch eigentlich nur von Kernel Mode Programm verwendet oder täusche ich mich da?
Wobei scheint ja auch so zu gehen, ich hab auch mal ein User Mode Programm gesehen was als PE Datei vorlag und auf den Kernel zugreiffen konnte ...
Würde mich mal interessieren was dieses somoto-master ding genau macht.
Funktionen wie WSAStartup, Connect oder Send konnte ich nicht finden.
Ich hab nicht wirklich Ahnung von Malware Analyse aber ist es eigentlich möglich sich z.b. eigene Netzwerk Funktionen zu schreiben ohne die WIN API zu verwenden?
-
Ohne weiter Code würde ich mal sagen, das in irgendeiner Art an der NTVDM manipuliert werden soll (betrifft also nur 32Bit-Systeme) - meine mich zu erinner dass es in dieser einen Bug gab/gibt, durch den man Admin-Rechte bekommen konnte/kann (Privilege escalation).
Einige Zw* Funktionen könne auch aus dem User Mode aufgerufen werden ... ist aber schon sehr verdächtig.