von ca. 08:00 bis 09:10
1
MZ
2
Dynamic-Link-Library. Eine Bibliothek, die dynamisch zur Laufzeit des Programms geladen werden kann.
3
In dieser Datei werden Hosts-Einträge verwaltet. Ein Hosts-Eintrag besteht aus einer IP und einem Hostnamen (Kurzname oder FQDN).
4
a.out
5
Ein Programm um unter Windows die System-/Userkonfiguration zu verwalten und zu ändern (Registry).
6
MZ deutet auf ein executable unter DOS/Windows hin. PE (Portable Executable) deutet auf ein executable-format für Windows hin. FSG (Fast Small Good) ist ein executable compressor.
7
FSG, kkrunchy
8
netstat, tcpdump, lsof, top
9
Ganz korrekt: Keine Netzverbindung und keine externen Daten. Jegliche Dateneingabe nur über verifizierte Wege (selbstgebaute Tastatur z.B.).
Etwas realistischer: Firewall, die nur Verbindungen zulässt, die auch benötigt werden (3128 zu einem proxy, eingehend 22 für ssh, ... je nach Situation eben). Jegliche Datenkommunikation sollte von einem AV-Tool überwacht werden, zusätzlich kann ein lokales AV-Tool dafür sorgen regelmäßig einen Status des Systems zu erreichen. Außerhalb der VM, in der man arbeitet, auch noch regelmäßig einen Check über das Disk-Image.
10
tcpdump, wireshark, libpcap
11
Ein Buffer-Overflow ist ein überschreiben eines vorher fest (oder falsch dynamisch) allokierten Buffers, beispielsweise eines Strings. Ein typisches Beispiel sind nicht verifizierte Usereingaben: die Eingabe einer Telefonnummer ist nicht begrenzt und wird in einen Buffer mit der Länge 15 (z.B.) eingelesen. Sobald mehr als 15 Byte eingegeben werden werden nachgelagerte Speicherbereiche überschrieben. Man kann Buffer Overflows dazu verwenden um einen Absturz des Programms zu verursachen oder durch überschreiben bestimmter Bereiche des Stacks auch eigenen Code auszuführen.
12
Eine Hardware-Firewall ist üblicherweise weniger anfällig für Angriffsszenarien, allerdings zeigen Exploits gegen z.B. e1000, dass auch Hardware keinen ultimativen Schutz darstellen. Eine Software-Firewall ist meistens einfacher konfigurierbar, da es mehr Tools zur Verwaltung gibt.
13
20 ftp-data
21 ftp
25 smtp
80 http
110 pop3
139 netbios-ssn
445 microsoft-ds (smbfs, cifs)
14
10.0.0.0/8 (also eigtl. 10.x.x.x) ist ein Bereich, der in RFC 1918 als strikt privat definiert ist und von jedem außerhalb des Internets für interne Kommunikation verwendet werden kann. RFC 1918 definiert außerdem noch 192.168.0.0/16 und 172.16.0.0/12.
15
Ein Handle über das eine Kommunikation mit einem anderem Programm möglich ist, meistens wird diese Kommunikation über das Netz geführt, aber auch lokale Kommunikation sowie simple FIFOs können darüber realisiert werden.
16
Um seinen lokalen Adressbereich zu kennen.
17
Es werden 3 Pakete benötigt um eine TCP-Verbindung aufzubauen: SYN, SYN-ACK, ACK. Damit ist garantiert, dass die Verbindung sicher besteht und die Reihenfolge der Pakete (sequence-number) geklärt ist.
18
ICMP (Internet Control Message Protocol) - Port 8
19
z.B UDP, aber auch ICMP und viele weitere.
20
simple mail _transfer_ protocol (senden)
post _office_ protocol (empfangen, genauer: abholen)
21
registry, autostart-folder, autorun einer virtuellen cd, explorer.exe ersetzen, system-dll überlagern
22
Known-Plaintext attack. Andere Arten: Chosen-Plaintext attack, ciphertext-only attack.
23
Falls die Entropie der Datei hoch ist (möglichst zufällige Verteilung) ist die Wahrscheinlichkeit hoch, dass die Datei verschlüsselt oder komprimiert wurde. Ob eine Datei verschlüsselt ist, kann man nur durch Entschlüsselung feststellen, ansonsten könnte es sich immer auch um simple Zufallszeichen handeln.
24
shutdown /a
25
eicar.com wird 100x durch 7zip gepackt, dabei immer zwischendurch eine tmp-datei angelegt, verschoben bzw. wieder gelöscht.
26
mit lsof nachschauen welcher prozess sie verwendet, diesen killen und dann löschen.
27
net service <dienst> stop
28
on-access: Datei wird beim öffnen gescannt.
on-demand: Datei wird auf Bedarf (Anforderung des Users) gescannt.
29
Jede .exe (effektiv alles was als exefile durchgeht) wird mit datei.exe "urspr. programm.exe" "restliche parameter" aufgerufen.
30
3, 4 und 6
31
Es werden die Rechte 7 (read, write, execute) für den eigenen user, 6 (read, write) für die gruppe und 4 (read) für alle anderen gesetzt.
32
secure socket layer. SSL dient der Verschlüsselung von socket-verbindungen.
33
https - 443
34
md5, sha256, 3des
35
dm-crypt, truecrypt, hdiutil (OS X)
36
Mittels einer nicht verifizierten Eingabe, die direkt (ohne oder mit wenig Veränderung) an SQL übergeben wird ist es möglich Zugriff auf andere Tabellen/Daten zu bekommen. Siehe auch http://xkcd.com/327/ (Little Bobby Tables).
37
Eine SandBox beschränkt den Zugriff eines Programms auf bestimmte Daten. Eine virtuelle Maschine kapselt den kompletten Rechner (inkl. Kernel, etc.).
38
.exe, .pif, .scr, .com, .jpg.exe (hatten wir schon), .dll.exe (auch)
Unter neueren Windows-Versionen sollte auch .mp3 und .jpg automatisch starten, allerdings mit irgendeinem Media-Player (trotzdem exploitbar).
B
1
75
2
Endlosschleife
3
linkFile -> ' am Ende
C
1
Ist der Stern in Box 1 oder 2?
Ja: Ist der Stern in Box 1?
Ja: 1
Nein: 2
Nein: Ist der Stern in Box 3?
Ja: 3
Nein: 4
2
1000(x-y)+zy
3
Ira ist größer als Harold
4
3 (BEIDE, ZUSAMMEN)
5
3
1
3
6
d
d
c
7
(jew. 42 ist immer eine sinnvolle antwort, aber gemeint sind vermutlich die:)
2 (2^2-1=3, 3^2-1=8, ...)
5 (8, x, 7, x, 6, x, 5)
1 (oder 2)Add a code snippet to your website: www.paste.org