HijackThis analyzer - Privacy en beveiliging

vrijdag 18 juni 2004 20:48

Acties:

Verwijderd

Topicstarter

Hoop dat dit mag (doe zelf wel gelijk ff een topicreport),
heb een tooltje geschreven voor het analyzeren van HijAckthis logfiles.

Het is een eerste (na 2e, maar 1e heb ik weg gegooid) aanzet, er wordt gechecked
via de volgende sites:
- liutilities.com (per bestand analyze wordt hier verbinding mee gemaakt, maak hier nog een cache functie voor)
- sysinfo.org (startuplist en bho's )
- spywareguide.com

Werking is simpel.
1e opstart moet je altijd even update info files doen

Hierna kan je een logfile aanwijzen en via start deze laten analyzeren.
Resultaat:
- Witte regel, er is niks gevonden over deze regel
- Groene regel, er is iets gevonden maar het is in orde
- Rode regel, er is iets gevonden maar het is spy/adware oid.

Als er bij de omschrijving een http://site. nog wat staat, kan je de regel dubbelklikken en zal je webbrowser naar een info pagina gaan over het bestand/bho op die regel.

Letop dit is een eerste aanzet, dus kijk goed wat je met het resultaat doet !.
Als er nog andere sites zijn waar tegen gechecked kan worden had ik het graag gehoord.

Het geheel is hier te downloaden: http://home.hccnet.nl/mvanrijnen/files/hijackana.rar

bugmeldingen had ik graag gehad van de wat bekendere namen in jet BV forum,
zodat niet m'n mailbox overvol raakt.

[ Voor 6% gewijzigd door Verwijderd op 18-06-2004 20:50 ]

vrijdag 18 juni 2004 20:53

Acties:

Mike Jarod

Klinkt veelbelovend

Is idd iets anders dan je me eerst al liet zien. Ben nu aan het updaten, maar hij lijkt te hangen. Kan ook zijn omdat ik best wel heftig aan het downloaden ben nu, edit zometeen wel deze post met mijn bevindingen.

edit1: kan het zijn dat ie hangt omdat sysinfo (weer eens) slecht bereikbaar is?
edit2: never mind is al ok

edit3:

hij doet ook O16's / cabs!
edit4: cosmetisch: de scrollbars zijn klein en updaten niet tijdens het scrollen

edit5: cosmetisch: scrollen met muiswieltje zou ik liever zien dat alles meescrolt ipv de verlichte regel.
edit6: cosmetisch: kolomkoppen / namen
edit7: request: optie om bij onbekende items bij google te zoeken
edit8: suggestie: bij alle regels optie geven om in popup oid de eigenschappen te bekijken, dan heb je niet zoveel velden naast elkaar, maakt het overzichtelijker.
edit9: muggeziften: zou liever een klein icoontje met de verschillende kleuren zien ipv compleet verlichte regels.

Maar ik ben er zeer over te spreken

Hij geeft blijkbaar nogal wat false positives, maar daar kan jij denk ik niet veel aan doen omdat je je dataset van verschillende websites afhaalt.

Ga zo door

* Mike Jarod geeft maui71 een schouderklopje

edit10: hier een lijst met sites die spyware kunnen bevatten, misschien is het mogelijk hier ook mee te vergelijken? (bv de O16's en hosts file)
edit11: misschien ver gezocht: extra categorie / kleur maken voor items die ie niet herkent maar wel bepaalde steekwoorden bevatten zoals search, plugin, sex, dailer enz. alles wat in de hosts file staat behalve localhost kan daar ook onder vallen.

[ Voor 125% gewijzigd door Mike Jarod op 18-06-2004 21:42 ]

vrijdag 18 juni 2004 20:54

Acties:

wildhagen

Blablabla

Eerste bug heb ik al gevonden.

Bij mij marked hij Outlook.exe als Spy/adware (hij is bordeaux-rood). Niet echt fijn

(en ja, die .exe staat op de juiste plek

)

De rest klopt wel, zo te zien...

Verder ziet het idd best grappig uit, ik zal het zeker eens uitgebreid gaan testen, maar dat word dan wel morgen

Nog een bug: steeds als ik een kolom verbreed springt de focus terug naar de eerste kolom, niet handig.

Feature-request: copy/paste mogelijkheid

Mike Jarod: nee, hier is hij ook vrij taag, analyse van mijn log duurde ongeveer 1.5 minuut. Geduld hebben, dan komt-ie wel (iig hier)

[ Voor 33% gewijzigd door wildhagen op 18-06-2004 20:56 ]

Virussen? Scan ze hier!

vrijdag 18 juni 2004 20:58

Acties:

ParaNoiMia

Bij mij wordt winrar.exe rood aangegeven (is de file waarmee ik nota bene het proggie heb uitgepakt

)

vrijdag 18 juni 2004 21:03

Acties:

Verwijderd

Twee quasi off-topic opmerkingen:

- Als je niet weet of iets mag, is het de bedoeling dat je eerst even navraagt voordat je het toch maar post.

- Je zou kunnen overwegen om de executable te compressen met bijv. UPX om de file nog wat kleiner te maken.

vrijdag 18 juni 2004 21:06

Acties:

dreeke

outdated icon

Ik ga hem van de week eens op mijn werk proberen

Bij gebrek aan uw reclame staat hier mijn handtekening.

vrijdag 18 juni 2004 21:30

Acties:

Verwijderd

Topicstarter

Goed, kan ik weer verder (ik ga ff niet iedereen lopen quoten hier).

Dat van die outlook.exe & winrar had ik idd ook gezien, is vrij raar op zich, oplossing (outlook sluiten voordat je de boel gaat analyseren). Ik vind sowieso dat als je opzoek gaat naar spyware etc, dat je in eerste instantie eerst zoveel mogelijk programma's afsluit.

- Weten of ik mag posten -> Sorry, ben eigenwijs (vraag maar aan m'n projectleiders)

- Trage update van Info files -> die SysInfo site is idd zo sloom als wat.
(of gebruik je een proxy, daar doe ik namelijk nog niks mee).
- UPX -> Moet ik eens even naar kijken zou geen probleem moeten zijn.
- Cosmetisch -> Gaan we allemaal bekijken en veel van doen
- Copy/Paste -> Gaan we ook doen
- Kolom bug -> gaan we fixen

ben vooral op zoek naar meer sites om executables te checken, ik vraag me af of er geen site is die beter checked dus op filesize, md5 hash etc. Nu is de meeste controle puur op filenames (of guids), en dat is natuurlijk nooit 100%

vrijdag 18 juni 2004 21:48

Acties:

_the_crow_

Rare vogel

Tis even mierenn**ken, maar goed.
Als ik het programma start op 800x600 dan valt de 'start'-knop weg. Dan kan ik het venster resizen tot ik een ons weeg, maar die knop komt echt niet te voorschijn.

Afbeeldingslocatie: http://picserver.student.utwente.nl/view_image.php/9ZGRAO971HHV/picserver.jpeg

Verder een goed initiatief. Ik zal nog een keer gaan checken op een pc waar wel veel spyware op zit. Ik sodemieter dat soort dingen er gelijk af natuurlijk.

Ik kreeg geen rode-balken bij 'normale' programma's overigens.

Schrödingers cat: In this case there are three determinate states the cat could be in: these being Alive, Dead, and Bloody Furious.

vrijdag 18 juni 2004 22:25

Acties:

Verwijderd

het is best een goed ding maar ik zou wat meer dingen sites erin doen die weten welk bestand spyware bevat

vrijdag 18 juni 2004 23:48

Acties:

Verwijderd

Ik denk dat je beter zo'n xml of ini file van sysinfo kan downloaden en die in je .exe stoppen en dan gwn een update button erbij. Het is dan niet helemaal up to date maar het is wel veel sneller en het scheelt die sites weer bandbreedte.

zaterdag 19 juni 2004 00:10

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 18 juni 2004 @ 23:48:
Ik denk dat je beter zo'n xml of ini file van sysinfo kan downloaden en die in je .exe stoppen en dan gwn een update button erbij. Het is dan niet helemaal up to date maar het is wel veel sneller en het scheelt die sites weer bandbreedte.

Dit gebeurt ook, alleen de 1e keer moet je 'm natuurlijk downloaden en dat gaat gewoon niet snel. Probeer het maar eens met "de hand".

Heb intussen al een aantal bugs gefixed, ben nu bezig met de cache functie voor liutilities, anders worden die lui ook weer boos vermoed ik.

zaterdag 19 juni 2004 03:10

Acties:

Verwijderd

Topicstarter

Update:

Afbeeldingslocatie: http://home.hccnet.nl/mvanrijnen/files/hijackana-screenshot.png

Download hier: http://home.hccnet.nl/mvanrijnen/files/hijackana.rar

Updates:
- ClipBoard plakken
- Cache voor liutils site
- Start grootte van form aangepast
- Onbekende items bij google te zoeken
- Detail weergave
- klein icoontje ipv compleet verlichte regels
- cosmetisch: kolomkoppen / namen
- upx compressie v/d executable

- Intern zeer veel code cleaning

Wat betreft scrollen en scrollbars, ik gebruik een std Stringgrid component van Delphi 5, dus daar kan ik weinig aan doen. Misschien de zooi in een listview ofzo zetten.

Ik zal het vervolg bij gaan houden op een website, die ik hier later nog wel post.

zaterdag 19 juni 2004 08:58

Acties:

wildhagen

Blablabla

Vaag... die nieuwe versie kan ik niet opstarten... ik kan dubbelklikken wat ik wil, maar hij start niet?

De oude start nog steeds wel...

Virussen? Scan ze hier!

zaterdag 19 juni 2004 10:10

Acties:

Mike Jarod

Nog wat linkjes

http://allentech.net/parasite/list.phtml -> moeilijk te rippen voor je applicatie denk ik.

http://www.pestpatrol.com...Incorporating_Spyware.asp -> lijst met bekende software waar spyware in zit. Weet niet of je er wat aan hebt, is alleen maar tekst.

http://generation.net/~hleboeuf/bhoindex.htm -> ook weer moeilijk te rippen, maar wel weer wat info.

Zal later nog eens verder zoeken

edit1: http://www.computercops.biz/CLSID.html -> BHO list.

edit2: http://www.mvps.org/winhelp2002/blaster.htm -> nog wat CLSID's, maar dit is een update voor JavaCool Spywareblaster, denk dat deze pagina steeds zal veranderen.

[ Voor 26% gewijzigd door Mike Jarod op 19-06-2004 10:19 ]

zaterdag 19 juni 2004 10:22

Acties:

Verwijderd

Topicstarter

wildhagen schreef op 19 juni 2004 @ 08:58:
Vaag... die nieuwe versie kan ik niet opstarten... ik kan dubbelklikken wat ik wil, maar hij start niet?

De oude start nog steeds wel...

hm, heft vast met die UPX compress te maken, ik zet er ff een andere versie naast, kan je ff kijken of ie het dan doet.
Probeer deze eens ff:
http://home.hccnet.nl/mvanrijnen/files/hijackana_wh.rar

zaterdag 19 juni 2004 10:29

Acties:

wildhagen

Blablabla

Thanks, die werkt wel

Virussen? Scan ze hier!

zaterdag 19 juni 2004 10:32

Acties:

Verwijderd

Topicstarter

Mike Jarod schreef op 19 juni 2004 @ 10:10:
Nog wat linkjes

Zijn er wel een paar die ik kan gebruiken denk ik.

http://www.computercops.biz/CLSID.html
Is een kopie van de bholist van sysinfo geloof ik, maar a) beter te downloaden, b) beter georganiseerd.

wildhagen schreef op 19 juni 2004 @ 10:29:
Thanks, die werkt wel

Goed dat was dan het einde van de upx compressie

[ Voor 37% gewijzigd door Verwijderd op 19-06-2004 11:17 ]