Was alles deutet darauf hin, dass Windows/Linux gehackt wurde?
reicht z.B. schon, wenn sich von selbst Fenster öffnen, schließen, der Desktop Hintergrund geändert ist?
1 Antwort
In der Regel gibt es nichts auffälliges, was ein Nicht-Fachmann erkennt.
Bei forensischen Untersuchungen sind die gängigsten Anzeichen
- Netzwerkverbindungen die nicht aufgeklärt / etwas harmlosen zugeordnet werden können.
- Komische Prozess-Namen die sich nur minimal von realen Namen unterscheiden
- Prozesse die von ungewöhnlichen Parent-Prozessen gestartet wurden. Da wäre ein sehr auffälliges Beispiel die Powershell oder eine DLL-Datei die von Word oder Excel gestartet wird. Oft sind es aber nicht so auffällige Dinge.
- Prozesse die dies normalerweise nicht tun und jetzt plötzlich mit dem Internet kommunizieren
Daher muss man den internen Aufbau von Windows recht genau kennen und vor allem den Startprozess und die Hierarchie welche Prozesse welche starten.
Außerdem ist es einiges an Arbeit jede einzelne Netzwerkverbindung zu prüfen und zu recherchieren was dahinter stecken könnte.
Es hilft auch zu wissen welche Prozesse normalerweise mit dem Internet kommunizieren und welche nicht.
Etc.
Darum studieren Leute so etwas oder machen entsprechende Ausbildungen zum IT-Forensiker oder Incident Responder.
Fenster die aufgangen, etc. waren in den 1990er Jahren aktuell als Schadware noch primär trollen wollte. Heute wird damit Geld verdient und das geht nur wenn der User nicht merkt, dass man Passwörter, Kreditkartendaten, etc. anfängt und stiehlt.
Es läuft also heute eher nach dem Motto von Kali-Linux: "The quieter you become the more you hear"