DLL Prüfung ob defekt oder nicht

#0
08.10.2007, 15:03
...neu hier

Beiträge: 5
#1 Habe mal ein Online-Tool gesehen, mit welchem eine DLL hochgeladen werden konnte und diese dann gegen vorhandene Muster überprüfte.
Dieses bräuchte ich nun, weiss aber nicht mehr wie es hieß.

Kann mir jemand weiterhelfen?
Seitenanfang Seitenende
08.10.2007, 15:17
Member

Beiträge: 3306
#2 "Gegen vorhandene Muster überprüfen" ;) Was soll dabei denn rauskommen? Willst du prüfen ob Systemdateien nicht mehr den ursprünglichen Zustand haben (Checksummen) oder auf Viren scannen oder ganz was anderes?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
08.10.2007, 15:23
...neu hier

Themenstarter

Beiträge: 5
#3 Ich will überprüfen ob sie dem ursprünglichen Zustand entspricht, oder ob Sie defekt ist, und das online auf einer Kundenmaschine.
Ich will keine Virenprüfung.
Seitenanfang Seitenende
08.10.2007, 15:26
Member

Beiträge: 3306
#4 Hast du denn eine Datei oder Checksumme des ursprünglichen Zustands? Woher soll denn ein Online Dienst wissen was der ursprüngliche Zustand ist? Geht es um Windows Systemdateien? Wenn ja kannst du dir mit dem System File Checker behelfen:
http://support.microsoft.com/?scid=kb%3Ben-us%3B310747&x=12&y=16

Sonst musst du halt von beiden DLLs eine Checksumme bilden (MD5 etc.) und vergleichen. Da gibt es zig Tools.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
08.10.2007, 15:45
...neu hier

Themenstarter

Beiträge: 5
#5 Ja es handelt sich tw. um System-Files. Ich will aber bei der Zielmaschine keine Klimmzüge, ich bin nämlich nicht vor Ort.
Da gab es eine Page, da konnte ich die Datei hochladen, und der überprüfte, ob es ok ist oder nicht, welche Version und bei welcher Systemversion. Hab mir leider deren Url nicht gemerkt.
Es hilft mir nichts, zu wissen dass es zig Tools gibt, ich finde nur derzeit keines. Urls würden mir schon weiterhelfen (zumindest eine) ;)
Seitenanfang Seitenende
12.10.2007, 13:36
Member

Beiträge: 546
#6 "Autoruns" von Sysinternals/Microsoft kann dir möglicherweise weiterhelfen. Nach Auflistung der Systemkomponenten
kannst du per Rechtsklick auf den entsprechenden Eintrag "Verify" MS eigene DLL- und Executable-Files, Dienste o.ä.
auf Gültigkeit prüfen lassen. Zumindest die, die beim Start von "Autoruns" aktiv sind.

Jetzt zu den Einschränkungen:
- geprüft wird auf Gültigkeit, nicht auf Aktualität bzw. "letzte bekannte Version"
- AR muß lokal ausgeführt werden, remote lässt sich das wahrscheinlich nur per VNC realisieren
- AR erkennt und (in)validiert nur MS Dateien. Dies aber sehr zuverlässig.
- die zu prüfenden Objekte müssen müssen beim Start von AR bereits geladen sein

Link: http://www.microsoft.com/technet/sysinternals/Utilities/AutoRuns.mspx

Gruß,

Sepia
Seitenanfang Seitenende
12.10.2007, 13:45
Member

Beiträge: 3306
#7 Ich verstehe immer noch nicht so genau was da geschehen soll. Systemdateien prüfen geht nicht remote, weil diese ständig upgedatet werden. Version, Datum usw. von DLLs kriegt man direkt über die Dateieigenschaften heraus und nur zu checken ob eine DLL eine gültige DLL ist und keine umbenannte Exe etc. ist wohl auch nicht Sinn der Sache.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
12.10.2007, 14:24
...neu hier

Themenstarter

Beiträge: 5
#8 Folgendes Szenario:
Eine (System)DLL wird bei der Installation eines Programms aktualisiert.
Leider ist diese aktualisierte Datei am Zielrechner nachher defekt oder modifiziert (weshalb auch immer), jedoch fällt dies nicht auf, da die Funktionalität normalerweise nicht verwendet wird.
Nun wird ein anderes Programm installiert, dass Funktionalität dieser DLL benötig und siehe da, es crasht.
Da ich den Namen der DLL kenne, dachte ich mir, überprüfe diese Datei mal auf Korrektheit.
Da sah ich mal eine Seite, da konnte man diese Datei hochladen und aufgrund des Dateinamens und der Versionseinträge prüfen ob diese Datei im Vergleich zu einer Referenzdatei anders ist. (einfacher Filecompare).
Daraus ersieht man dann ob die Datei defekt oder manipuliert ist.

Also: es soll der Inhalt der Datei (die einzelnen Bytes) im vergleich zu einer Referenz überprüft werden können, dies noch dazu in einer Fernwartungssession!)
Alles klar nun ;)
Seitenanfang Seitenende
12.10.2007, 15:16
Member

Beiträge: 546
#9 Asdrubael schrieb:

Zitat

Systemdateien prüfen geht nicht remote, weil diese ständig upgedatet werden.
Doch. Genau das praktiziert bspw. "Autorun", indem es die digitalen Signaturen online gegenprüft[1]. Ist die geprüfte, signierte
Quell-Datei defekt oder ungültig, fällt das Ergebnis negativ aus.

Zitat

Version, Datum usw. von DLLs kriegt man direkt über die Dateieigenschaften heraus[..]
Kann und wird von $BadGuy und $Schadprogramm beliebig gefälscht werden. Die Dateieigenschaften sind kein Indikator
für die letztendliche Richtigkeit selbiger.

[1] Verbindung zu "crl.microsoft.com".

SM schrieb:

Zitat

Da sah ich mal eine Seite, da konnte man diese Datei hochladen[..]
Die Seite muß ja zwangsläufig über eine gigantische Datenbank verfügen, wenn sie (fast?) jede, für Windows-OSe
programmierte Systemdatei durch 3rd-Party Hersteller identifizieren kann. Sollte dir der URL zu dieser Seite wieder einfallen, poste ihn bitte.

Wie wär's mit dem "Comp"-Befehl unter einer Shell? Der ist via UNC-Schreibweise auch remote in der Lage,
Dateien auf einem entfernten Host zu vergleichen. Vorausgesetzt, die Quell-Datei befindet sich auf dem lokalen
Computer und ist vorab mittels Prüfung als gültig eingestuft, kannst du diese dann als Referenz heranziehen.

Gruß,

Sepia
Seitenanfang Seitenende
12.10.2007, 16:16
Member

Beiträge: 3306
#10

Zitat

Sepia postete
Asdrubael schrieb:

Zitat

Systemdateien prüfen geht nicht remote, weil diese ständig upgedatet werden.
Doch. Genau das praktiziert bspw. "Autorun", indem es die digitalen Signaturen online gegenprüft[1]. Ist die geprüfte, signierte
Quell-Datei defekt oder ungültig, fällt das Ergebnis negativ aus.
Ich meinte ich kann nicht eine Microsoft DLL auf irgendeinem fremden PC darauf prüfen ob sie wirklich von Microsoft stammt. Dafür muss der User irgendein Programm starten usw. Zumindest ist mir sonst nichts bekannt.

Zitat

Zitat

Version, Datum usw. von DLLs kriegt man direkt über die Dateieigenschaften heraus[..]
Kann und wird von $BadGuy und $Schadprogramm beliebig gefälscht werden. Die Dateieigenschaften sind kein Indikator für die letztendliche Richtigkeit selbiger.
Malware wollen wir mal ausschließen, wenn der PC verseucht ist ist eh alles zu spät. Aber eine Checksumme über die Datei bzw. ein binärer Vergleich ist natürlich tauglicher als ein simples checken nach Name, Version etc. Ich plädiere weiterhin für md5 Checksummen, die kann man online für bestimmte Dateien berechnen lassen und dann vergleichen. Geht z. B. hier:
http://www.promo-games.de/md5calc.php?lan=en
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
12.10.2007, 16:28
Member

Beiträge: 546
#11

Zitat

Ich meinte ich kann nicht eine Microsoft DLL auf irgendeinem fremden PC darauf prüfen ob sie wirklich von Microsoft stammt.
Da hatte ich dich missverstanden. Ich nahm an, du sahst prinzipiell keine Möglichkeit, Dateien online zu validieren.

Gruß,

Sepia

Seitenanfang Seitenende
15.10.2007, 08:39
...neu hier

Themenstarter

Beiträge: 5
#12 Leider ist die Diskussion nicht sehr hilfreich und ist meinem ursprünglichen Post betreffend langsam eine Themenverfehlung.
Daher nochmals eine präzise Frage:
"Kennt jemand eine Seite, auf der ich eine System-DLL uploaden kann (z.B. \Windows\System32\ntdll.dll, kann aber auch jede beliebige andere System-DLL sein) und die mir dann mitteilt, die Datei ist ok oder defekt (oder ev. virenverseucht)"

Wie die Seite das macht ist mir egal, ob mit md5 oder durch Dateivergleich (oder durch ein griechisches Orakel ;) ), ich bin nur an dem Ergebnis interessiert.
Seitenanfang Seitenende