Category Archives: Software

DensityScout :: Dichte von Dateien berechnen

Die Ersteller von Malware haben als oberstes Ziel, ihre Malware möglichst lange unerkannt zu halten. Da Virenscanner heutzutage jedoch ein gutes Set an schädlichen Routinen kennen und auch effektiv blocken, müssen die Angreifer ihren Code verstecken und verschleiern, um nicht gleich bei der ersten Ausführung erkannt zu werden. Diesen Prozess nennt man „obfuscation“.

Eine Methode ist das Zufügen von Junk-Code. Dazu wird der Code als Gesamtpaket durch Einfügen von „nutzlosem“ Code an kritischen Stellen verändert, was das Erkennen durch Pattern-Scans erschwert. Eine andere Methode ist das „run time packaging“, also das Packen von Code mit z.B. einer Laufzeit-Compression oder Verschlüsseln von kritischen Codeteilen. Durch diese beiden Methoden kann aus einer bekannten Malware eine komplett neue, unbekannte Malware erstellt werden, welche aber eigentlich genau dasselbe ist und tut.

Jedoch haben diese Verschleierungsmassnahmen auch einen negativen Punkt: Durch mehrfaches Packen, Verschlüsseln und Zufügen nimmt die Dichte („Entropy“ oder „Density“) eines Samples zu (vielen Dank an Wonjer Christian für den Hinweis). Und da die meisten Programme, die ein User in seinem täglichen Gebrauch so nutzt, nicht gepackt sind, fallen all jene auf, welche etwas zu verstecken haben.

So bin ich vor kurzem auf das Tool von Christian, genannt DensityScout gestossen, welche eben genau diese besagte Diche von Dateien berechnen kann:

Name: DensityScout
Author: Wojner Christian
URL: https://www.cert.at/downloads/software/densityscout_en.html

Zum Durchführen eines Scans kann das Tool mit folgenden Parametern aufgerufen werden:

densityscout -r -pe -p 0.1 -o output.txt c:\Windows\System32

Dadurch werden alle PE-Files im Ordner C:\Windows\System32 geprüft und Ergebnisse mit einer Dichte kleiner als 0.1 angezeigt.

[Update vom 29.08.2016]

Densityscout gibt mit dem Zahlenwert nicht die eigentliche Dichte an. Bei der Verwendung des Tools bedeutet ein kleinerer Wert eine höhere Dichte. Christian hat mir das via Email wie folgt erklärt:

Der Indikatorwert bei Densityscout ist zugegebener Maßen etwas kontroversell, da ein kleinerer Wert auf eine höhere Dichte hindeutet. Als „Eselsbrücke“ kann man sich hierbei vorstellen, dass dieser Wert eine Art fiktiven „freien Platz“ zwischen den möglichen Zuständen 0-255 für die betreffende Datei/Section darstellt. Stellen Sie sich vor, Sie stünden bei einem Live-Konzert zwischen vielen anderen Menschen. Der Platz zwischen Ihnen und den anderen Menschen entspricht diesem Wert. Rücken alle zusammen wird die Dichte höher und der freie Platz zwischen den Menschen nimmt gleichermaßen ab.

[/Update]

Der Grenzwert von 0.1 kann natürlich beliebig angepasst werden, es hat sich jedoch gezeigt, dass auf einem sauberen Betriebssystem jegliche ausführbare Dateien innerhalb von System32 über dieser Grenze zu liegen kommen.

Lediglich die folgenden 2 Dateien tanzen aus der Reihe, sind aber völlig legitim:

(0.03763) | c:\Windows\System32\bootres.dll
(0.05214) | c:\Windows\System32\WdfCoinstaller01009.dll

Alles Andere ist erstmal verdächtig und sollte genauer geprüft werden.

Berechtigungsprobleme nach Upgrade von Piwik

Seit der automatischen Upgrade-Funktion von Piwik geht das Update auf eine neue Piwik-Version bekanntlich schnell und unkompliziert. Ich habe bereits die eine oder andere Version über die Funktion aktualisiert und seither noch nie ein Problem gehabt – doch einmal ist ja bekanntlich immer das erste Mal:

Fai­led to load HTML file: Please check your ser­ver con­fi­gu­ra­tion. You may want to whi­te­list “*.html” files from the “plugins” direc­tory. The HTTP sta­tus code is 404 for URL “plugins/ZenMode/angularjs/quick-access/quick-access.html“

Diese Meldung spuckt mir das Webinterface nach einem erfolgreichen Upgrade entgegen. Und sie hat nicht ganz unrecht – wenn ich die Datei im Browser direkt öffnen möchte, so erhalte ich eine Zugriffsverletzung…

Um die Meldung wegzubekommen (eine Einschränkung in der Funktionalität konnte ich bisweilen nicht feststellen), müssen die Berechtigungen auf 3 Ordner von 750 auf 755 geändert werden:

1. /plugins/ZenMode/
2. /plugins/ZenMode/angularjs/
3. /plugins/ZenMode/angularjs/quick-access/

Hierbei sollte auch nur die Berechtigung der Ordner und nicht der Dateien angepasst werden, da dass Erlauben zum Ausführen für Alle mir bereits etwas Bauchschmerzen bereitet.

Adonit Jot Script Review aus erster Hand

Da es leider immer mal wieder Notizen während meines Studiums gibt, welche man schlecht über eine Computer-Tastatur aufnehmen kann und da ich meine Notizen immer in Evernote erfasse und ablege, bietet sich das iPad mit Penultimate, welches direkt in Evernote synchronisieren kann, durchaus an.

Leider ist das Schreiben und Zeichnen mit dem Finger alles andere als präzise und komfortabel, weshalb ich immer mal wieder einen anderen Stift ausprobiert habe für das iPad. Von solchen mit einem dicken, weichen Ende, bis hin zu den Stiften mit einem durchsichtigen Plättchen am Ende, keiner konnte das Gefühl und die Präzision eines richtigen Stiftes auf Papier mitbringen – bis jetzt!

adonit_jot_script

Seit kurzer Zeit habe ich den Adonit Jot Script Evernote ausprobiert, welcher speziell für Evernote, genauer gesagt Penultimate entwickelt wurde. Dieser Stift ist der erste und einzige Stift mit einer normalen Spitze, welcher sich wie ein ganz gewöhnlicher Stift bedienen lässt:

Mit seinem Preis von knapp CHF 100.- gehört er zwar zu den teuersten Stiften auf dem Markt, doch ich bin der Meinung, dass der Preis gerechtfertigt ist und sich durchaus lohnt.

Bei all den Werbevideos möchte ich euch auch nicht eine eigene Probe vorenthalten, welche ich komplett mit dem Stift erfasst habe (RSA-Verschlüsselung aus einer Mathematik-Vorlesung):

rsa

Oder auch zeichnen geht problemlos, wie die folgende Notiz über die Schichten-Theorie beweist:

schichten

Alles in allem möchte ich den Stift nicht mehr hergeben, da das Erfassen von Notizen so nicht nur schnell und einfach von statten geht, sondern auch durchaus Spass macht!

Sitemap.xml Error 403 für Googlebot

Ich habe ja gerade erst über das Google Publisher Plugin berichtet, welches eine WordPress-Installation automatisch in die Google Webmaster-Tools integriert und so habe ich damit ein bisschen rumgespielt und unter dem Punkt Sitemap folgenden Fehler gefunden:

sitemap_error403

„Eigentlich war ich der Meinung das mein Plugin „All in One SEO“ für mich eine sitemap.xml angelegt und zugänglich gemacht hat, aber vielleicht habe ich ja auch selbst mal etwas verändert“, dachte ich mir. Also habe ich einfach mal selbst versucht, die Sitemap im Browser anzusprechen und als URL eingetippt. Und heraus kam – eine gültige XML-Seite mit allem was reingehört! Na toll…

Also habe ich mich mal auf die Suche nach einem anderen Plugin gemacht und bin über „Google XML Sitemaps“ gestolpert. Doch irgendwie habe ich auch da einen Fehler 403 erhalten, womit ich wohl einen Fehler im Plugin ausschliessen konnte. Vorsichtig wie ich bin, habe ich aber noch ein Validierungstool für Sitemaps verwendet, um beide XML-Dateien zu prüfen: 100% valide, wie zu erwarten, also bin ich wieder zurück auf mein altes Plugin gewechselt.

Nach etwas ausprobieren und hin und her, habe ich erkannt, dass der Fehler ja mit einem Code 403 zurückgegeben wird, was nicht heisst, dass etwas nicht gefunden werden konnte, sondern dass nicht die passenden Berechtigungen vorhanden sind. Und dann war das Problem auch mehr oder weniger einfach zu lösen, denn wenn es um Berechtigungen und Zugriff geht, ist .htaccess immer die erste Wahl. So habe ich mit dem file-Tag einfach mal den Zugriff auf die Sitemap explizit erlaubt:

<Files "sitemap.xml">
	allow from all
</Files>
<Files "sitemap.xml.gz">
	allow from all
</Files>

Und siehe da, noch immer nichts! Ich wollte eigentlich schon aufgeben, bis ich in einem Geistesblitz noch auf die Idee kam, mein neues Plugin nochmals zu verwenden. Und ganz plötzlich verschwand der Fehler auch!

sitemaps_success

Die Moral vom Ganzen: Da ich WordPress in einem Subfolder einsetze, entstanden Probleme mit der .htaccess-Datei und der Berechtigung und selbst als das korrigiert war, funktioniert es erst, wenn man ein Plugin hat, welches gültige XML-Dateien erzeugen kann – also Finger weg von „All in One SEO“ und ihrer „XML Sitemaps“-Funktion!

Adsense-Verwaltung einfach gemacht

Adsense-Anzeigen zu platzieren und in der richtigen Grösse zu konfigurieren ist immer so eine Sache und meist mit etwas Aufwand verbunden, als es eigentlich sein sollte.

Aber nun, da Google offiziell ein Plugins names Google Publisher, aktuell noch Beta, gibt es Abhilfe.
Nach der Installation erscheinen die Einstellungen unter „Einstellungen“ > „Google Publisher Plugin“:

home

Selektiert man hier Adsense, so kommt man in eine saubere und einfache Übersicht und kann hinter jedem roten Plus eine Anzeige platzieren. Automatisch wird dabei eine passende Anzeige in der passenden Grösse erstellt und eingefügt:

set

Natürlich kann mit einem Klick auf das Zahnrädchen am linken unteren Rand einer Anzeige auch selektiert werden, welche Art von Anzeigen, also Text- oder Bildanzeigen, ein Besucher sehen soll:

settings

Natürlich kann nicht jeder beliebige Platz zum Anzeigen von Werbebanner automatisch selektiert werden, so sind für ausgefallene Plätze immer noch Anpassungen im Code nötig, doch für die meisten Benutzer von WordPress wird das wohl auch so ausreichen.

« Older Entries