Forum: Offtopic Herausfinden was eine .exe so treibt auf dem PC

Nix einfacher als das.
Du installierst auf dem gleichen PC, auf dem
die EXE läuft einen Proxy, etwa "Proxycap" oder "Proxifier"
und leitest die Aktivitäten Deiner EXE dann darüber.

Proxycap und Proxifier protokollieren alles, was das Programm,
zu der die EXE gehört, dann im Internet  macht und zeigt es an.
Die Ausgabe kann natürlich dann zur besseren Auswertung in ne
externe Datei exportiert werden.

mfg

Es geht ihm hier wohl auch um die internen API-Aufrufe (Schnittstellen, 
Dateien, Registry), so in der Art, wie strace.

Naja, die Proxys zeigen nicht den Inhalt der Connektionen an,
sondern "nur" wer mit wem redet.
Sie sind eigentlich dazu da Programme, die keine Möglichkeit
haben im Programm eigene Umleitung über nen proxy zu definieren,
zu "kappen" also nen proxy überzustülpen. Du verwendest es also
"dual use".

Für Inhalte der streams mußt Du dann stärkere "Waffen" auffahren.

mfg

> mußt Du dann stärkere "Waffen" auffahren

Da würde ich doch erst mal die Microsoft Sysinternals installieren. Und 
den Process Monitor starten.

Die teuren Tools anderer Firmen sind auch nicht besser.

Kommuniziert ne SPS übers Netz mit seinem Bedienprogramm über TCP
oder hat es da andere Protokolle?

Genau!! geil!  Installiere Sysinternals!

Wenn die EXE wirklich übers Netz kommuniziert,
würd ich eines der beiden Cap's von oben, die Shareware sind,
oder ethercap (open source) nehmen, um die Ports heraustzfinden,
und dann wireshark (ist Open source) einsetzen zum
Feinschmökern.

Wireshark ist ganz schön komplex, da ist's dann sehr gut,
wenn Du schon die benutzten Ports kennst, da der Rest dann
ausblendbar ist.

mfg

Lotta  . schrieb:
> Kommuniziert ne SPS übers Netz mit seinem Bedienprogramm über TCP
> oder hat es da andere Protokolle?

Industrie-PC unter WindowsXP-Pro. In diesem PC ist eine PCI-Karte 
gesteckt,
nennt sich CMP60, auf dieser Karte ist die gesamte Steuerung. Also NC 
und PLC.
Die Kommunikation zwischen der PCI-Karte und dem PC läuft über TCPIP.

Sysinternals habe ich gerade mal hier auf dem PC installiert, danke für 
den Tip, erstmal schauen wie ich die tausende anderen Prozesse 
herausfiler.
Erscheint nicht "mal so eben so" ....

Morgen werde ich schauen ob Sysinternals auch auf dem XP-Pro läuft.
WireShark erscheint mir auch eine gute Idee, eben weil die kommunikation 
über TCP-IP läuft. Hauptaugenmerk dabei aber noch darauf heraus zu 
finden, welche Settings da nicht richtig sind wenn mtxcontrol nicht 
verbindet.
Ein Kollege hatte schon mal den PC-Name geändert, danach bekamen wir 
keine Verbindung mehr.
Extrem zickig das Programm  ;-)

Lieben Dank!

Deshalb würd ich als erstes proxifier einsetzen.
Der zeigt die Kommunikation an, Nicht funktionierende
Connections werden in ROT angezeigt.
Also ein geiler Einstieg in Dein Problem.

mfg

Er wird (leider) nicht weit kommen.
> WindowsXP-Pro
Viel Spass wird es bereiten, so alte Versionen noch zu finden.
Z.B. Wireshark 1.10.14.
Oder Systernals Procmon.

Und die Jungs die das gebaut haben, waren auch clever.
Das IP "bleibt" auf der Karte selbst.
Und den Treiber fuer das kurze Netzwerk haben sie ja
hoffentlich auch selber geschrieben.

Motopick schrieb:
> Er wird (leider) nicht weit kommen.

> Und die Jungs die das gebaut haben, waren auch clever.
> Das IP "bleibt" auf der Karte selbst.
> Und den Treiber fuer das kurze Netzwerk haben sie ja
> hoffentlich auch selber geschrieben.
Huch!?!
Wie meinst Du das? Die müßten doch mindestens über den
Localhost gehen, sonst bräuchten sie doch kein Netzwerk
und könnten über die Prozesskommunikation gehen, oder?

> über den Localhost gehen

Den ja nun schon mal gar nicht wenn sie mit ihrer Karte reden wollen.
Die Verbindung laeuft ja wohl ueber die IP der Hostseite mit der
IP(-Adresse) der Karte.
Aber es ist kein Problem in der Applikation z.B. ein verschluesselndes
VPN einzusetzen und das erst auf der Karte wieder auszutunneln.
Oder in den Treiber einige "Besonderheiten" einzubauen.

Edith:
Besser: ueber die IP der Hostseite mit der
IP(-Adresse) in der Karte.

Motopick schrieb:
>> über den Localhost gehen
>
> Den ja nun schon mal gar nicht wenn sie mit ihrer Karte reden wollen.
> Die Verbindung laeuft ja wohl ueber die IP der Hostseite mit der
> IP(-Adresse) der Karte.
> Aber es ist kein Problem in der Applikation z.B. ein verschluesselndes
> VPN einzusetzen und das erst auf der Karte wieder auszutunneln.
> Oder in den Treiber einige "Besonderheiten" einzubauen.

Du meinst, die hatten damals schon ein VPN?  :-O
Möglich ist es natürlich.
Ab dann müßte das VPN ja in Proxifier sichtbar werden,
und zwar in 1 Stream, in einer Connection, nicht wahr?

Einfaches SSL reicht bereits, um die Wireshark-Suppe zu versalzen.

> Du meinst, die hatten damals schon ein VPN?  :-O
> Möglich ist es natürlich.
IPSEC gibt es schon seeeehr lange.

> Ab dann müßte das VPN ja in Proxifier sichtbar werden,
> und zwar in 1 Stream, in einer Connection, nicht wahr?

Wenn sich die (IP-)Session ueberhaupt irgendwie ausleiten
laesst...

Wie sie das VPN ausgestaltet haben, waere erstmal unbekannt.
Moeglich waere von nur einer Connection bis zu vielen alles.
Das kann auch sein, dass z.B. nicht IP verwendet wird, sondern
ESP moeglicherweise in Verbindung mit AH. Wie bei nativem
IPSEC eben ueblich.
Es wird nur nirgendwo "VPN" draufstehen wenn es die Applikation
selber macht. Man sieht dann halt nur (Semi-)Rauschen.

(prx) A. K. schrieb:
> Einfaches SSL reicht bereits, um die Wireshark-Suppe zu versalzen.

ja, dagegen hilft dann nur "Woman in the middle"... :-P

@Motopick,
Interessant!

Installiere bitte erstmal proxifier, damit wir nen Anfang haben.

> Einfaches SSL reicht bereits

SSL ist eher eine moderne Plage :).

> ja, dagegen hilft dann nur "Woman in the middle"... :-P

Wie ich schon feststellte, waren die Entwickler clever.
Das IP ist nur "innerhalb" der Karte sichtbar.
Moeglicherweise gibt es nicht mal ein Pin an dem das anliegt.

Motopick schrieb:
>> ja, dagegen hilft dann nur "Woman in the middle"... :-P
>
> Wie ich schon feststellte, waren die Entwickler clever.
> Das IP ist nur "innerhalb" der Karte sichtbar.
> Moeglicherweise gibt es nicht mal ein Pin an dem das anliegt.

Wozu denn aber dann "IP"?
Die exe kann ja dann nen port der Karte direkt ansprechen... :-O
Ist eigendlich vorgesehen, das die Karte auch in nen entfernten
Rechner eingebaut sein kann wo die GUI nicht drauf läuft?

> Wozu denn aber dann "IP"?

Es koennte ja Versionen der Karte geben, die ihr Innenleben
etwas mehr exponieren und damit dann z.B. im Dutzend von einem
zentralen System steuerbar sind.
Die Software bliebe dabei fast die selbe.

P.S.

Mal als Beispiel:
Ich besitze z.B. einen JTAG-Adapter der sowohl ueber USB als
auch ueber Ethernet betrieben werden koennte.
Beides ist auch auf der Platine bestueckt.
Der Unterschied ist nur das fehlende "Loch" im Gehaeuse fuer
den Ethernetport.

Motopick schrieb:
>> Wozu denn aber dann "IP"?
>
> Es koennte ja Versionen der Karte geben, die ihr Innenleben
> etwas mehr exponieren und damit dann z.B. im Dutzend von einem
> zentralen System steuerbar sind.
> Die Software bliebe dabei fast die selbe.

Das ist auch bei unserem Galep so. Der läßt
sich über USB oder auch über ne simulierte
Ethernet-Schnittstelle steuern.
Und?
Ist es bei Deiner Karte auch so?
Was sagt die Bedienungsanleitung?
Hacken ist's, wenn man die Karte zwingt,
sich mehr zu exponieren un dabei vielleicht
Schachstellen zu bemerken.

mfg

> Das ist auch bei unserem Galep so.

Ich habe noch den "richtigen" mit Parallelport. :)
Der muss auch nicht "booten", sondern funktioniert einfach so.

> Was sagt die Bedienungsanleitung?

Keine Ahnung. Mir reicht der USB. Das koennte sich noch aendern,
wenn es wirklich nur noch signierte Treiber sein sollen.
Beim USB-Treiber musste ich fuer die Installation naemlich noch
die Seriennummer des Adapters in der inf-Datei nachtragen.
Damit passte die Signatur natuerlich nicht mehr.
Den Umstand haette man ueber das Netzwerk ja nicht.

Aber noch lange kein Grund die Bedienungsanleitung zu lesen :).

> Hacken ist's, wenn man die Karte zwingt

Im industriellen Umfeld finde ich "Sicherheitsmassnahmen" schon O.K.
Wenn es die Karte eben mit einem richtigen Ethernetanschluss gaebe,
waere ein VPN schon das richtige um das sicher zu machen.
Das "Hacken" kann sich da schwierig gestalten, wenn das Zertifikat
gesichert(!) irgendwo in der Karte liegt und das VPN  eben dieses
Zertifikat benutzt. Da ist dann nicht viel zu "hacken".

Das ist auch noetig. Ich hatte mal einen Kunden der von
"Unregelmaessigkeiten" :) in seinem Netzwerk geplagt war.
Der hatte in seinem weit verzweigten LAN tatsaechlich ein
kleines Kaestchen, mit mir unbekannter Funktion, dass mindestens
einmal am Tag ein: "Ich bin die Rootbridge der Welt" hinausposaunt hat.
Das konnte das Kaestchen aber nicht wirklich...
Ein so lahmgelegtes Netz, kann da durch verdorbene Zwiscenprodukte
ein Schaden in nicht geringer Hoehe verursachen.

Motopick schrieb:
>> Das ist auch bei unserem Galep so.
>
> Ich habe noch den "richtigen" mit Parallelport. :)
> Der muss auch nicht "booten", sondern funktioniert einfach so.
>
Hey! Nicht schlecht! hast Du den unter Windows zu laufen?
Auf dem Board hier hat ein netter OM ein Treiber für Win10
geschrieben, der den Parallelport auch unter Win32 bedienen kann!
Auf dem Board hier sind wirklich außergewöhnliche Typen drauf,
deshalb bin ich ja zum Lernen hier.
>
>> Hacken ist's, wenn man die Karte zwingt
>
> Im industriellen Umfeld finde ich "Sicherheitsmassnahmen" schon O.K.
> Wenn es die Karte eben mit einem richtigen Ethernetanschluss gaebe,
> waere ein VPN schon das richtige um das sicher zu machen.
> Das "Hacken" kann sich da schwierig gestalten, wenn das Zertifikat
> gesichert(!) irgendwo in der Karte liegt und das VPN  eben dieses
> Zertifikat benutzt. Da ist dann nicht viel zu "hacken".
>
Wo würdest Du das Zertifikat auf der Karte speichern, wenn Du im 
industriellen Umfeld entwickelst?  Welchen "Stinkeputz" hättest
Du für Hacker in der Hinterhand?

> Das ist auch noetig. Ich hatte mal einen Kunden der von
> "Unregelmaessigkeiten" :) in seinem Netzwerk geplagt war.
> Der hatte in seinem weit verzweigten LAN tatsaechlich ein
> kleines Kaestchen, mit mir unbekannter Funktion, dass mindestens
> einmal am Tag ein: "Ich bin die Rootbridge der Welt" hinausposaunt hat.
> Das konnte das Kaestchen aber nicht wirklich...
> Ein so lahmgelegtes Netz, kann da durch verdorbene Zwiscenprodukte
> ein Schaden in nicht geringer Hoehe verursachen.
>
Oh ja, das war die Konkurrenz! ;--)

mfg

> Wo würdest Du das Zertifikat auf der Karte speichern

Da muss man nicht viel nachdenken. Es gibt tatsaechlich fuer
sowas Controller, die mit "ihrem" gespeicherten Zertifikat
alle noetigen Operationen koennen, ohne dass das Zertifikat
dabei "exposed" wird. Muss einem nicht gefallen, kann man aber
so kaufen. Je nach Leistungsfaehigkeit gibt es sowas sogar
zum "Wechseln" auf einer Chipkarte.
Ansonsten habe ich von dem Thema wenig Ahnung, da ich sowas
nicht entwickle.

Wenn ich "meine" (Hobby-)Produkte sicher machen wollte, wuerde
ich natuerlich etwas mathematisch nicht einfach umstossbares
waehlen. Z.B. die Maechtigkeit der reellen Zahlen ausnutzen.
Mehr werde ich abaer nicht verraten :).

Immerhin hat man mit den "Elliptischen Kurven" ja auch schon
einen Standard in dieser Richtung.

> Oh ja, das war die Konkurrenz! ;--)

Mit dem Auffinden war mein Job diesbezueglich erledigt.
Mitunter ist es gut, nicht zu viel zu wissen.

P.S.

Falls du eine Fernbedieungs-"Betty" besitzt, auch die hat schon
so einen Cryptocontroller dabei.

Motopick schrieb:
> P.S.
>
> Falls du eine Fernbedieungs-"Betty" besitzt, auch die hat schon
> so einen Cryptocontroller dabei.

Oh,ja!
Die swisscom hat ja gemeint, das sich das Teil wirtschaflich nicht
lohne.
Gerüchteweise wird aber gemunkelt, das das Teil ne Hintertür hatte,
weil ja die Schweizer Kryptographie durch den heimlichen Aufkauf
der Crypto-AG durch sämtlichen westlichen Geheimdienste total
unterwandert war.  ;-O  ;-)))

mfg

> ne Hintertür hatte

Eine Hintertuer fuer was?
Wenn es in der (Ur-)Betty so etwas wie Kryptografie gab,
war die sicher nicht von der Crypto-AG.

Ich schaetze allerdings die Moeglichkeit mit meinem eigenen
Verfahren, Dinge vor Zugriff zu schuetzen.
Gerade in Anbetracht der Moeglichkeit etwaiger Hintertuerchen.


In der Betty, die bei mir auf dem Tisch liegt, ist der Kaefer aber
bereits ausgeloetet. Der Pin wird fuer wichtigere :) Ding gebraucht.
Und Zertifikate sind dem kleinen alten Scheisserchen sowieso fremd.
Siehe das (Kurz-)Datenblaettchen.

Motopick schrieb:
>> ne Hintertür hatte
>
> Eine Hintertuer fuer was?

Ja! Das ist die Frage. Was hat nen Kryptochip dann in der Ferbedienung 
zu suchen?
> Wenn es in der (Ur-)Betty so etwas wie Kryptografie gab,
> war die sicher nicht von der Crypto-AG.
>
Warum nicht? "weltbeherrschung" mittels Ferbedienung?  ;-P
Immerhin wurden die unsichere Enigmaverschlüsselung und die darauf
folgenden Algorithmen der Crypto AG in diesem Sinne vertrieben...

> Ich schaetze allerdings die Moeglichkeit mit meinem eigenen
> Verfahren, Dinge vor Zugriff zu schuetzen.
> Gerade in Anbetracht der Moeglichkeit etwaiger Hintertuerchen.
>
Ha! Jetzt wird es interessant! Ne verschlüsselung sollte
ja auch sicher sein, wenn man den Algorithmus kennt.
Wie machst Du das ohne starke Verschlüsselung?
Um starke Verschlüsselung zu entwickeln muß man ein Genie sein
und als Muttersprache Mathematik können. ;-O
>
> In der Betty, die bei mir auf dem Tisch liegt, ist der Kaefer aber
> bereits ausgeloetet. Der Pin wird fuer wichtigere :) Ding gebraucht.
> Und Zertifikate sind dem kleinen alten Scheisserchen sowieso fremd.
> Siehe das (Kurz-)Datenblaettchen.
Geil!! Wozu wurde das Ding denn nun eingebaut?
Orakle mal bitte!


mfg

> Ha! Jetzt wird es interessant! Ne verschlüsselung sollte
> ja auch sicher sein, wenn man den Algorithmus kennt.
> Wie machst Du das ohne starke Verschlüsselung?

Gegenwaertig verwendet "mein" Algorithmus einen 8 Byte langen Key.
Den kann ich mit linear steigendem Aufwand beliebig lang waehlen.
Es erhoeht den Aufwand fuer den "Angreifer" aber betraechtlich,
wenn er keine Ahnung vom verwendeten Algorithmus hat. :)
Und da reichen die 8 Byte dann allemal.
Es sind, da nur fuer Eigengebrauch vorgesehen, auch keine Sicherungen
gegen "schwach" gewaehlte Keys enthalten. Man muss schon wissen
was man tut. Und sicherlich gibt es auch noch ein Potential der
Verbesserung, um das "Keymaterial" effektiver zu nutzen.

Da der Algorithmus sich auf die Maechtigkeit des reellen Zahlenraums
stuetzt, ist es schon eine "starke" Verschluesselung.

Tests mit "Diehard" haben bislang auch keine Auffaelligkeiten des
kryptierten Materials erkennen lassen. Es ist eben weitestgehend
ein gleichverteiltes Rauschen. Und dazu muss man kein Genie sein...

> Wozu wurde das Ding denn nun eingebaut?

Es wird wohl nicht das Rezept des Merkeleintopfs gewesen sein.
Vielleicht eine Kundennummer und ganz wichtig: das Kundenguthaben?

Mir ist der Verwendungszweck auch immer irgendwie unklar geblieben.
Vermutlich waere ich auch nicht in der Zielgruppe des intendierten
Zwecks gewesen.

Ich finds total fürchterlich!
Ein Chipkarten Nacktchip in ner Fernbedienung!
Da schießt jemand mit Elefanten auf Mücken! ;-O
Wie lang soll die Fernbedienung samt User diesen
Beschiß (!) aushalten?!? :-O

Das ist genauso, wie Andy Maguhn in seinem Telefon
ne Gesprächs-Ausleitungs-Mimik gefunden hat.
Andy hat ja auch elustere Freunde wie Herrn Assange (respekt!)
oder Herrn Snowden (respekt!)

Aber wo soll das Ganze enden wenn sogar in Fernbedienungen
harte Crypto eingebaut wird...

mfg

So ein SMS-Ausleiter ist schon praktisch. Der leitet naemlich
auch die sonst ungesehenen "stillen" SMS gleich mit um und
macht sie sichtbar.

Ich glaube auch so ziemlich alle IP-System-Telefone
(Cisco, Alcatel, ...) haben eine Moeglichkeit, Gespraeche
fuer die Teilnehmer nicht sichtbar, in den internen Flash
mitzuschneiden. Mindestens bei Alcatel habe ich sowas schon
in der (Admin-)Web-GUI gesehen.
Und die Firmware des "Basebandprozessors" in einem Mobilfon
kennt ja auch keiner ganz genau.

SSL ueber HTTP, hat neben dem Vorteil den Teilnehmern eine
"scheinbar" private verschluesselte Kommunikation
zu fuehren, eben auch den Nachteil, dass "Informationsabfluesse"
genau so gut dem Benutzer verborgen bleiben.
Wie sicher das ganze wirklich ist, weiss ohnehin keiner.
Wildcardzertifikate sind ja bereits gesichtet worden.

Neugierige koennen sich immerhin mit einem M.I.T.M.-Proxy
da teilweise Zugang verschaffen. Unbefriedigend bleibt die
gesamte Situation trotzdem. Ich muss der Firma die mir ein
Haus gebaut hat, auch keine Schluessel fuer "Wartung" und
"Studium des Nutzungsverhaltens" ueberreichen.

Da muss endlich mal ein Schloss davor!

Oder nicht? :)

Lotta  . schrieb:
> Aber wo soll das Ganze enden wenn sogar in Fernbedienungen
> harte Crypto eingebaut wird...

Damit man den P..VideoSender auf der Fernbedienung nur verschlüsselt 
erreichen kann und wenn man einen zufälligen Unsinn auf die Tasten 
drückt, man sofort wieder bei ARD oder ZDF landet. ;o)

Die ersten Versuche mit der Serie erwiesen sich als Flop, weil der 
betreffende Kundenkreis bereits schon beim Anlegen des Schluessels 
scheiterte und mit Video zum Nachmachen, alle den gleichen Schlüssel 
anlegten. ;o)

Vielleicht gibt es noch schönere und ausgefallenere Erklärungen. Müßte 
man mal fragen ob ChatGPT noch was besseres einfällt.