quiz Posted April 2, 2009 Share Posted April 2, 2009 Hallo, während der Nutzung von DVBViewer bekomme ich von meiner Firewall immer ziemlich beunruhigende Meldungen: Sobald ich ein anderes Programm im Vordergrund habe (und DVBViewer im Hintergrund) kommt dann immer die Meldung "DVBViewer.exe möchte ein Tastatur-Ereignis an einen anderen Prozess (Programm XYZ) senden - dies kann zur Folge haben, dass Programm XYZ unathorisierte Befehle ausführt". Während ich das Ganze bereits bei Webbrowser, Mailprogramm & Co. leicht beunruhigend finde hört für mich der Spaß spätestens auf, wenn ich die Meldung bekomme "DVBViewer möchte ein Tastatur-Ereignis an truecrypt.exe senden - dies kann dazu führen dass TrueCrypt.exe unauthorisierte Befehle ausführt" Diese Meldung erhalte ich für JEDES Programm welches gerade im Vordergrund läuft, selbst an Taskmanager & Co werden Tastatur-Ereignisse gesendet. Was hat das Ganze zu bedeuten und kann man diesen Spuk irgendwie abschalten? Warum will der DVBViewer irgendwelche Tastatur-Events an alle möglichen Programme senden? Welchen Sinn hat das? Quote Link to comment
Griga Posted April 2, 2009 Share Posted April 2, 2009 Warum will der DVBViewer irgendwelche Tastatur-Events an alle möglichen Programme senden? Der DVBViewer will das bestimmt nicht, aber vielleicht ein Modul, das im DVBViewer-Kontext eingebunden ist, also Plugins, DLLs usw. Hauptverdächtige der harmlosen Art wären Module, die etwas mit einer Fernbedienung zu tun haben und deren Kommandos in simulierte Tastendrücke umsetzen. Quote Link to comment
quiz Posted April 3, 2009 Author Share Posted April 3, 2009 Der DVBViewer will das bestimmt nicht, aber vielleicht ein Modul, das im DVBViewer-Kontext eingebunden ist, also Plugins, DLLs usw. Hauptverdächtige der harmlosen Art wären Module, die etwas mit einer Fernbedienung zu tun haben und deren Kommandos in simulierte Tastendrücke umsetzen. Zusätzliche Addons oder Plugins hab ich nicht eingebunden, auch keinerlei TV-Karten-Software installiert, lediglich den reinen Treiber für die TV-Karte. Quote Link to comment
Equinox Posted April 3, 2009 Share Posted April 3, 2009 Welche Firewall ist das denn überhaupt? (Damit wir mal wissen, ob man die Meldung ernst nehmen muss) Quote Link to comment
Griga Posted April 3, 2009 Share Posted April 3, 2009 Dann ist Misstrauen angesagt. Der DVBViewer verwendet direkt oder indirekt sehr viele System-DLLs, und wenn eine davon vergiftet ist... aus der Ferne lässt sich das jedoch nicht beurteilen. Da helfen nur einschlägige Analyse-Tools und Scanner. Quote Link to comment
Lars_MQ Posted April 3, 2009 Share Posted April 3, 2009 Am besten das ganze etwas systematisch angehen. Also den Viewer erstmal im Safemode starten (start -> programme -> DVBViewer programmgruppe -> support -> DVBViewer (safemode). In diesem modus werden keinerlei plugins geladen, ausserdem wird auch kein sender getuned und graph aufgebaut. Testen ob das Verhalten in diesem Zustand auftritt, wenn nicht, eine TS-Datei wiedergeben und überprüfen, ob da was passiert. Dann einen sender einschalten und prüfen. So kann man schonmal grob einkreisen, was man genauer abklopfen muss... Quote Link to comment
quiz Posted April 3, 2009 Author Share Posted April 3, 2009 Am besten das ganze etwas systematisch angehen. Also den Viewer erstmal im Safemode starten (start -> programme -> DVBViewer programmgruppe -> support -> DVBViewer (safemode). mit welchen Parametern kann man diesen Safe-Modus über die Kommando-Zeile starten? Hab die Programm-Gruppe gelöscht und nur die normale DVBViewer-Verknüpfung im Startmenü gelassen. Quote Link to comment
quiz Posted April 3, 2009 Author Share Posted April 3, 2009 Dann ist Misstrauen angesagt. Der DVBViewer verwendet direkt oder indirekt sehr viele System-DLLs, und wenn eine davon vergiftet ist... aus der Ferne lässt sich das jedoch nicht beurteilen. Da helfen nur einschlägige Analyse-Tools und Scanner. naja, eine "Vergiftung" in Form eines Virus oder einer anderen Infektion schließe ich zu 100% aus. Bin mir vollkommen sicher dass mein System vollkommen malware-frei ist. Ich hab die TV-Karte Skystar USB 2 HD. Vielleicht werden da ja bereits bei der Treiber-Installation irgendwelche DLL-s installiert, die für die Fernbedienung vorgesehen sind und DVBViewer greift auf diese Dateien zu. Werde das mal mit dem Safe-Mode testen. Bisschen beunruhigend ist das Ganze schon. Zumal der DVBViewer sich beim Start auch immer mit dem Internet verbinden will, zwar erst mal nur zum DNS auf Port 53, aber das blockiere ich dann immer, keine Ahnung wohin der danach noch verbinden will. Quote Link to comment
quiz Posted April 3, 2009 Author Share Posted April 3, 2009 (edited) "-c -va" Meldungen kommen auch im abgesicherten Modus noch Hab hier mal paar Screenshots angefügt von den Meldungen. Edited April 3, 2009 by quiz Quote Link to comment
Lars_MQ Posted April 3, 2009 Share Posted April 3, 2009 Hmm, da weiss ich auch nicht weiter. Da Du der einzige bist, der überhaupt so ein problem hat, denke ich, solltest Du entweder Dein system grundlich durchchecken oder die firewall mal untersuchen, ob die nicht ein wenig fehlerhaft reagiert... Die iNetverbindung dürfte der updatecheck sein, oder rss oder wetter infos. Quote Link to comment
quiz Posted April 3, 2009 Author Share Posted April 3, 2009 Hmm, da weiss ich auch nicht weiter. Da Du der einzige bist, der überhaupt so ein problem hat, denke ich, solltest Du entweder Dein system grundlich durchchecken oder die firewall mal untersuchen, ob die nicht ein wenig fehlerhaft reagiert... Die iNetverbindung dürfte der updatecheck sein, oder rss oder wetter infos. Naja, was heisst der Einzige. Die Frage ist halt ob andere Firewalls solche Ereignisse überhaupt anzeigen (ist ja nicht wirklich die Firewall sondern der integrierte proaktive Schutz) und möglicherweise liegts ja auch an DLLs die der TV-Karten-Treiber installiert. Das System selbst ist absolut sauber (und die Meldung kommt auch auf unterschiedlichen Rechnern) und dass die Firewall bzw der proaktive Schutz fehlerhaft reagiert erscheint mir auch ziemlich unwahrscheinlich da die Firewall zum einen nen ziemlich guten Ruf hat und zum Anderen sonst nie solchen Meldungen kommen, ausser in Verbindung mit dem DVBViewer. Was mich sehr verwundert ist die Tatsache dass das selbst im abgesicherten Modus passiert, wenn dort keine zusätzlichen Plugins und Addons geladen werden, aber vielleicht sind in den Treiberdateien der TV-Karte tatsächlich irgendwelche solchen Sachen integriert damit die aktiven Programme Tastatureingaben entgegen nehmen. Was ich wiederum aber absolut nicht nachvollziehen könnte denn warum soll eine Software, die im Hintergrund auf Befehle einer Fernbedienung wartet, zusätzlich irgendwelche "Events" an völlig andere Software schicken. Quote Link to comment
SupaChris Posted April 3, 2009 Share Posted April 3, 2009 Vielleicht sind das einfach die normalen COM-Events, die der DVBViewer ständig abfeuert, und die fälschlicherweise von der Firewall-Software als Bedrohung erkannt werden? Diese Software-Firewalls sind doch sowieso nahezu nutzlos. Hast du denn Keyboard eingaben, wenn du das erlaubst? Ich glaube nicht. Wenn, dann müsste man ja mal sehen, dass irgendwo was eingetippt wird oder so. Kannst ja auch mal EventGhost installieren, dann siehst du bei aktiviertem DVBViewer Plugin auch alle Events, wenn die mit den von der Firewall gemeldeten übereinstimmen, also zur gleichen Zeit kommen, dann weißt du Bescheid. Quote Link to comment
Tjod Posted April 3, 2009 Share Posted April 3, 2009 Also der einzige mit dem Phänomen ist quiz nicht. Ich hatte das auch schon mal vor längerem im internen Bereich angesprochen. Das hängt auf jeden Fall direkte mit dem DVBViewer zusammen und nicht mit irgend welchen Plugins. Und eine Fehlfunktion der Firewall ist das sicher auch nicht. Wenn ein Programm wirklich ein Nach Hause telefonieren von den meisten Programmen verhindern möchte muss es halt auch jegliche Kommunikation zwischen Programmen überwachen. Da sonst kann ja einfach ein zur Kommunikation mit dem Internet berechtigtes Programm missbraucht werden um Daten zu übermitteln. Bei welchem Programm man was erlaubt muss man dann aber immer selbst wissen. Und um die regeln für so eine Firewall halbwegs sinnvoll fest zu legen braucht man schon einiges an PC Kenntnissen. Wenn man einfach immer verbieten klickt läuft schnell fast nichts mehr und wenn man immer alles erlaubt kann man sich so ein Programm auch gleich komplett sparen. Falls ernsthaftes Interesse besteht guck ich mir das nochmal genauer an. Allerdings weiß ich Grade kein Tool mit dem man z.B. bei SendMessage gut sehen kann was welches Programm an wehen schickt. Quote Link to comment
Kat-CeDe Posted April 3, 2009 Share Posted April 3, 2009 Hi, ich habe mal mit Keyloggern gespielt und da kam bei mir gar nichts. @Tjod, mit dem Programm Winspector kann man (fast) alle Messages aller Fenster sehen und protokolieren und da kam bei mir auch nichts wenn DVBViewer im Hintergrund war. Ralf Quote Link to comment
quiz Posted April 4, 2009 Author Share Posted April 4, 2009 Hast du denn Keyboard eingaben, wenn du das erlaubst? Ich glaube nicht. Wenn, dann müsste man ja mal sehen, dass irgendwo was eingetippt wird oder so. Keyboardeingaben natürlich nicht. Ich denke aber auch nicht dass die Meldung bedeutet dass man nun irgendwas auf dem Bilschirm sehen müsste dass da was wie von Geisterhand getippt wird. Keyboard-Event, ja so richtig hab ich auch keinen Plan was das bedeuten könnte. Die Firewall unterschiedet ja auch explizit zwischen Keyloggern und Keyboard-Events. Und es ist ja (glücklicherweise) kein Keylogger aber eben ein Keyboard-Event. Wobei mir der Unterschied nicht klar ist. Wenn ein Tatstaur- oder Mausereignis an ein anderes Programm weitergeleitet wird dann ist das ja schon so ne Art Keylogger. Aber das Programm sammelt offenbar keine Tastatureingaben sondern will Tastatureingaben an diverse andere gerade im Vordergrund befindliche Software schicken. Mekwürdigerweise wenn diese im Vordergrund sind und man damit arbeitet. Das heisst, ich arbeite beispielsweise im Firefox und DVBViewer will irgendein Keyboard-Ereignis an Firefox schicken. Das Ganze passiert AUSSCHLIESSLICH wenn sich die Programme im Vordergrund befinden. Solange sich DVBViewer im Vordergrund befindet kommt absolut nix. Aber DVBViewer will immer an alle Programme Tastatur-Events schicken sobald sich das betreffende Programm im Vordergrund befindet. Noch mystischer wird das Ganze wenn man später mit anderen Programmen auf den Explorer zugreifen will, dann kommt ne Meldung ob man das zulassen möchte da die Explorer.exe seit dem letzten Mal modifiziert wurde. Und die Firewall hält bei sämtlichen anderen Programmen still, ich teste noch wirklich ziemlich oft diverse Software, und da kam noch nie was. So dass ich nicht denke dass die Firewall übermäßig häufig Fehlalarm bringt. Hi,ich habe mal mit Keyloggern gespielt und da kam bei mir gar nichts. kannste das mal genauer erklären? Quote Link to comment
Kat-CeDe Posted April 4, 2009 Share Posted April 4, 2009 Hi quiz, erstmal zu keyboard events. Übersetzt einfach Tastaturereignisse. Es gibt die API-Routinen keybd_event und SendInput mit denen ein Programm ein solches Event erzeugen kann und das sieht für die meisten Programme (DirectInput kann gehen muß nicht gehen) aus als wenn wirklich die Tastatur gedrückt wurde. Ich benutze es in einem Programm um z.B. Spiele mit einem Gamepad zu steuern die dafür eigentlich nicht ausgelegt sind. Keylogger klinken sich so in Windows ein das sie alle Tastatureingaben mitbekommen und protokolieren können. Kann man recht einfach feststellen da meistens ein Windows-Hook benutzt wird. In diesem Fall hier wären mögliche Einsatzgebiete z.B. Programme die etwas mit einer Fernsteuerung zu tun haben (girder, eventghost oder Fernbedienungs-Treiber). Was ich jetzt gemacht habe war einen Keylogger und ein virtuelles Keyboard einzusetzen um zu sehen ob irgendein Keyboard-Event ausgelöst wird wenn DVBViewer im Hintergrund läuft. Weiter habe ich alle API-Aufrufe protokoliert während DVBViewer im Hintergrund lief. Ergebnis DVBViewer macht gar nichts. Es muß also irgendwo in der Software liegen die Du sonst noch installiert hast. Ralf Quote Link to comment
quiz Posted April 6, 2009 Author Share Posted April 6, 2009 Was ich jetzt gemacht habe war einen Keylogger und ein virtuelles Keyboard einzusetzen um zu sehen ob irgendein Keyboard-Event ausgelöst wird wenn DVBViewer im Hintergrund läuft. Weiter habe ich alle API-Aufrufe protokoliert während DVBViewer im Hintergrund lief. Ergebnis DVBViewer macht gar nichts. Es muß also irgendwo in der Software liegen die Du sonst noch installiert hast.Ralf erst mal danke für deine Hilfe und deine Mühe. Das deutet ja dann darauf hin dass es am TV-Karten-Treiber liegen muss, denn sonst würde das ja bei dir auch auftreten. Aber diese TV-Karte ist ja nicht gerade selten, so dass paar Andere das gleiche Problem haben müssten. Naja, ich versuch selbst mal mit dem Event Ghost was rauszubekommen. Oder welches Programm hast du dafür benutzt? Quote Link to comment
quiz Posted April 6, 2009 Author Share Posted April 6, 2009 Kann man hier im Forum Beiträge nachträglich gar nicht editieren? Wie auch immer, ich hab jetzt mal diesen Winspector installiert, der protokolliert zwar sich öffnende Fenster usw, aber ich hab keine Möglichkeit gefunden, dass Keyboard-Eingaben mitgeloggt werden? Hab zum Testen mal bisschen was auf der Tastatur geschrieben aber sowas meldet der gar nicht. Hast du dafür ein anderes Programm genutzt? Quote Link to comment
Kat-CeDe Posted April 6, 2009 Share Posted April 6, 2009 Hi quiz, Kann man hier im Forum Beiträge nachträglich gar nicht editieren? doch aber vielleicht nur eine gewisse Zeit. In Forensoftware kann man einstellen wie lange es möglich sein soll Beiträge zu editieren. aber ich hab keine Möglichkeit gefunden, dass Keyboard-Eingaben mitgeloggt werden? Es werden anscheinend nur Messages protokolliert die auch das Programm benutzt. Wenn man also WM_CHAR, WM_KEYUP oder WM_KEYDOWN sehen will muß man ein Programm nehmen das auch auf diese Messages reagiert. Unter http://www.rbsoft.de/winspector.png findest Du einen Auschnitt wie in meinem Programm (RBjoy) der Tastendruck A abgefragt wird. Sagt dein Programm noch genauer was für Tastaturevent ausgelöst wird? Ralf Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.