<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Windows on Fuchsbau</title><link>https://this-is-fine.io/tags/windows/</link><description>Recent content in Windows on Fuchsbau</description><generator>Hugo</generator><language>de-DE</language><lastBuildDate>Thu, 02 Jul 2026 17:30:00 +0200</lastBuildDate><atom:link href="https://this-is-fine.io/tags/windows/index.xml" rel="self" type="application/rss+xml"/><item><title>Die gut getarnte Reverse Shell beim Systemstart — oder: warum moderne Persistenz aussieht wie ein Admin, der zur Arbeit kommt</title><link>https://this-is-fine.io/posts/20260702-autostart-persistenz/</link><pubDate>Thu, 02 Jul 2026 17:30:00 +0200</pubDate><guid>https://this-is-fine.io/posts/20260702-autostart-persistenz/</guid><description>&lt;p&gt;Im vorigen Beitrag über &lt;a href="https://this-is-fine.io/posts/20260702-rootkits/"&gt;Rootkits&lt;/a&gt;
 lief alles auf eine These hinaus: das moderne Rootkit sieht nicht mehr wie ein Rootkit aus, sondern wie legitime Admin-Infrastruktur — ein signierter Treiber, ein eBPF-Programm, ein Scheduled Task. Wer in der Forensik nach den alten Mustern sucht, findet nichts. Dieser Beitrag nimmt die andere Hälfte desselben Phänomens in den Blick: die &lt;strong&gt;Persistenz&lt;/strong&gt;. Denn die Frage „wie bringt man eine Reverse Shell gut getarnt beim Systemstart zum Laufen?&amp;quot; ist im Grunde die Fortsetzung desselben Gedankens — nur eine Schicht weiter oben, im Userspace, und mit einem Artefakt-Set, das man in der Forensik &lt;em&gt;wirklich&lt;/em&gt; täglich findet.&lt;/p&gt;
&lt;p&gt;Wieder die gleiche Regel wie vorher: Das hier ist konzeptionell, nicht operational. Keine Schrittfolgen, keine Payloads. Wer forensisch arbeitet, muss ahnen, wie die Werkzeuge gedacht sind, ohne sie gebaut zu haben.&lt;/p&gt;</description></item><item><title>Rootkits sind nicht verschwunden — sie sehen nur nicht mehr so aus</title><link>https://this-is-fine.io/posts/20260702-rootkits/</link><pubDate>Thu, 02 Jul 2026 17:00:00 +0200</pubDate><guid>https://this-is-fine.io/posts/20260702-rootkits/</guid><description>&lt;p&gt;Ich beschäftige mich viel mit IT-Forensik, und mir ist in den letzten Jahren etwas aufgefallen: &lt;strong&gt;Rootkits kommen mir zur Analyse kaum noch unter.&lt;/strong&gt; Früher war das ein fester Bestandteil des Bedrohungsbilds — ein versteckter Prozess hier, ein gepatchter System Call dort, ein Treiber, der sich aus der Modulliste verabschiedet hat. Heute? Fast nichts mehr. Das hat mich neulich zu einem reinen Gedankenspiel angeregt: Wie aufwändig wäre so etwas mit modernen Mitteln eigentlich noch, speziell in 

&lt;a href="https://www.rust-lang.org/" rel="external noopener" target="_blank"&gt;Rust&lt;/a&gt;
? Und ist das heutzutage überhaupt noch sinnvoll möglich?&lt;/p&gt;
&lt;p&gt;Wichtig vorab: Das hier ist &lt;strong&gt;keine Bauanleitung&lt;/strong&gt;, keine Umsetzung, nichts Operationalisierbares. Es ist ein Gedankenspiel aus der Perspektive jemandes, der Verteidiger-Werkzeuge verstehen will, indem er sich überlegt, wie die andere Seite denkt. Genau das macht Forensik übrigens aus — man muss die Werkzeuge nicht gebaut haben, aber man sollte ahnen, wie sie gedacht sind, um ihre Spuren zu lesen.&lt;/p&gt;</description></item></channel></rss>