Hacken Sie sich selbst - bevor es andere tun!
Testen Sie Ihr System auf Schwachstellen und schließen Sie Lücken
PROFESSIONELLE HACKER nutzen ausgefeilte Angriffs-Tools, um in Computersysteme einzudringen. Wir zeigen, wie Sie selber diese Tools gegen Ihre eigenen Geräte nutzen und damit die Schwachstellen in Ihrem Netzwerk aufdecken. Wenn Sie diese dann schließen, sind Sie in Zukunft gegen Angriffe von ProfiHackern viel besser geschützt.
Penetrationstests per Frameworks: Drei Anbieter für Angriffs-Tools
Profi-Hacker verwenden für ihre Angriffe auf Netzwerke und Rechner in den meisten Fällen spezielle Frameworks. Diese versammeln unter einer Oberfläche alle erforderlichen Tools für möglichst viele verschiedene Attacken. Teil
„Hacken Sie sich selbst: Scannen, analysieren, Schwachstellencode finden und angreifen!“
des Frameworks sind auch die sogenannten Exploits. Das sind Programme oder zumindest Codeteile, die neu entdeckte Sicherheitslücken in Software ausnutzen können. In der digitalen Sicherheitsindustrie gibt es drei große Frameworks. Zum einen handelt es sich dabei um die rein kommerziellen Frameworks von Immunity (www.immunitysec.com) und Core Security (www.coresecurity.com) sowie das System Metasploit. Letzteres startete 2003 als Open-Source-Projekt mit gerade mal elf Exploit-Codes. Über die Jahre hat sich die Zahl der vorhandenen Exploits in Metasploit besonders durch die freiwillige Mitarbeit von Sicherheitsforschern auf aktuell rund 1500 erhöht. Seit einigen Jahren wird Metasploit von der Firma Rapid 7 (www.rapid7.com) auch in zwei kommerziellen Varianten vertrieben. Die immer noch verfügbare, kostenlose CommunityVersion ist ebenfalls über Rapid 7 erhältlich.
Sogar das BSI empfiehlt Penetrationstests
Bei Angriffen mithilfe von speziellen HackingSystemen denken die meisten Leute an Kriminelle, die sich illegal Zugang zu Computersystemen verschaffen möchten. Tatsächlich aber werden Frameworks wie Metasploit völlig legitim und legal eingesetzt. Und zwar immer dann, wenn entweder der Administrator eines Netzwerks diese Angriffe zu Testzwecken auf das eigene System ausführt oder ein Sicherheitsunternehmen im Auftrag einer Firma die Firmennetzwerke angreift. Wenn Sie zu Hause selbst ein Netzwerk mit PC, NAS und Mobilgeräten betreiben, sind Sie Ihr eigener Administrator. Entsprechend dürfen auch Sie ganz legal mit Metasploit Ihre eigene IT angreifen, um auf diese Weise Schwachstellen in den Geräten aufzudecken. Sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt solche Testangriffe (Penetrationstests) und hat eine Anleitung dazu veröffentlicht. Darin beschreibt das BSI die folgenden fünf Schritte als ideale Vorgehensweise für Pentests: 1. Informationsbeschaffung: Über welche IP-Adressen ist das Ziel erreichbar? 2. Scan des Zielsystems: Welche Dienste/ Programme lassen sich von der Seite des Angreifers aus ansprechen (Portscan)? 3: System- und Anwendungserkennung: Analyse der angebotenen Dienste des Systems, etwa FTP-Server, mit dem Ziel, genaue Programmversionen zu erfahren oder zu erraten. 4. Recherche nach Schwachstellen: Nachdem bekannt ist, welche Programme und Systeme erreichbar sind, lässt sich nach Sicherheitslücken zu diesen Programmen suchen. 5. Ausnutzung der Schwachstellen: Im letzten Schritt findet dann der tatsächliche Angriff statt, der im schlimmsten Fall den kompletten Zugriff auf das Zielsystem zur Folge hat. Die vollständige Empfehlung des BSI finden Sie über www.pcwelt.de/bsipen. Andere Empfehlungen listen weitere Schritte auf und nennen vor allem die Zeitpunkte, an denen der Penetrationstester mit der Zielfirma, das heißt seinem Auftraggeber, Rücksprache hält. Denn nur in seltenen Fällen findet ein Blindtest statt, bei dem die IT-Verantwortlichen des Zielsystems nicht wissen, dass sie von Pentestern angegriffen werden. Wesentlich häufiger sind diese wenigstens über den Zeitpunkt des Angriffs informiert. Zumindest jedoch hat ein gründlicher Austausch von Kontaktdaten (Telefonnummern, Mailadressen) auf beiden Seiten stattgefunden. Das ist notwendig, damit man sich im Ernstfall, wenn beispielsweise Systeme ausfallen, über die Gründe austauschen kann. Wenn Sie selbst Ihre eigenen Systeme angreifen, bleiben die fünf oben genannten Schritte dennoch gültig. Denn auch Sie müssen ja wissen, über welche IP-Adresse Ihre Geräte erreichbar sind, und sehr wahrscheinlich werden auch Sie nicht auswendig wissen, welcher FTPServer auf Ihrem NAS läuft.
So bekommen Sie das Hacker-System Metasploit
Damit Sie mit dem Testen Ihrer Systeme loslegen können, brauchen Sie das Framework Metasploit. Zuverlässig funktioniert der Download der Gratis-Version von Metasploit über den kommerziellen Anbieter Rapid 7 (www. metasploit.com). Wählen Sie auf der DownloadSeite (Direktlink www.pcwelt.de/metaspl) die Version Metasploit Community.
Der Hersteller ist an Ihren Daten interessiert und natürlich auch daran, Ihnen die Pro-Version zu verkaufen. Deshalb schiebt er Ihnen vor dem Download eine Registrierungsmaske unter. Weil die Firma die Software nur innerhalb der USA verkaufen darf, sind auch nur Registrierungen mit entsprechender Adresse und Telefonnummer möglich. Wer keine Skrupel hat, hier falsche Angaben zu machen, der kann sich über die Website http://de.fakename generator.com eine US-amerikanische Adresse erzeugen lassen. Wenn Sie die Einweg-Mailadresse des Fakegenerators verwenden wollen, klicken Sie mit der rechten Maustaste auf den Link „Klicken Sie hier, um diese E-Mail-Adresse zu verwenden“und wählen Sie „Im neuen Tab öffnen“. So können Sie ebenfalls die übrigen Adressdaten der Seite kopieren und haben gleichzeitig einen Browser-Tab offen, auf dem der Posteingang der Wegwerf-Mailadresse angezeigt wird. Rapid 7 sendet daraufhin den Lizenz-Key für Metasploit. Dieser ist für die Nutzung der kostenlosen Community-Version zwar nicht erforderlich, bringt aber Vorteile, etwa die webbasierte Oberfläche der ProVersion. Wer keine Fake-Adresse nutzen möchte, lädt Metasploit Framework Open Source (auf Plus-DVD 2) herunter. Diese Version ist aber nur über die Befehlszeile zu bedienen.
So installieren Sie das HackerSystem auf einem Testrechner
Rechner: Um Ihre eigene IT anzugreifen, sollten Sie einen Testrechner nutzen. Im Idealfall hat dieser eine eigene Verbindung zum Internet. Denn der Test soll ja überprüfen, ob Sie vom Internet aus angreifbar sind. Wenn der Testrechner über WLAN verfügt, dann lässt sich eine eigene Internetverbindung beispielsweise über Ihr Smartphone herstellen. Voraussetzung ist, dass Ihr Mobilfunkprovider Tethering unterstützt. Wie Sie diese Verbindung aufbauen, erklärt die ausführliche Schritt-für-SchrittAnleitung unter www.pcwelt.de/1859907. Linux: Metasploit gibt es als 32-Bit- sowie als 64-Bit-Version für Linux auf der Website www. metasploit.com. Wer sich gut mit Linux auskennt, der kann die Distribution Kali-Linux nutzen (auf Plus-DVD 2). Es handelt sich dabei um eine auf Pentests optimierte Linux-Version. Sie enthält bereits das komplette Metasploit Framework. Dies hat den Vorteil, dass schon alle Abhängigkeiten der Metasploit-Pakete erfüllt sind. Ein Punkt, der nicht zu unterschätzen ist. Um Metasploit unter Kali zu nutzen, starten Sie zunächst die beiden Init-Scripts: sudo /etc/init.d/postgresql start sudo /etc/init.d/metasploit start Im Anschluss daran starten Sie die MetasploitKonsole über den Befehl msfconsole Alternative: Die Version Metasploitable ist speziell für die Virtualisierungs-Software Virtualbox (auf Plus-DVD 2) gemacht und erlaubt ein schnelles Kennenlernen des Frameworks. Sie lässt sich per Virtualbox unter Linux oder Windows einsetzen. Wer sich eher unter Windows zu Hause fühlt, kann auch die im Folgenden besprochene Metasploit-Version für Windows verwenden. Windows: Bei der Installation von Metasploit für Windows hilft ein gewohnter Assistent. Übernehmen Sie idealerweise die Voreinstellungen und belassen Sie als Installationsverzeichnis „C:\metasploit“. Der Assistent weist Sie auch darauf hin, dass Sie die Firewall und das Antivirenprogramm deaktivieren müssen. Beides ist zwingend erforderlich, damit Metasploit seine Arbeit erledigen kann. Die Software bringt viele Exploit-Codes mit, die auch von tatsächlich im Internet verbreiteten Viren verwendet werden. Der Virenwächter würde diesen Code finden und löschen. Das Framework würde somit nicht mehr komplett funktionieren. Darum ist es am einfachsten, Metasploit auf einem Testrechner zu installieren, auf dem kein Antivirenprogramm installiert ist. Sollte dann etwas mit der Software schiefgehen oder sich – unabhängig von dieser Tätigkeit – ein PC-Schädling von jemand anderem einschleusen, lässt sich der Testrechner jederzeit plattmachen. Selbstverständlich sollten sich auf einem Test-PC keine persönlichen Daten befinden, die ein Virus stehlen kann. Falls Sie keinen eigenen Test-PC zur Verfügung haben, stellen Sie Ihr Antivirenprogramm einfach so ein, dass es den Ordner „C:\metasploit“nicht scannt. Der Installationsassistent von Metasploit fragt Sie auch, über welchen Port Sie das Tool später ansprechen wollen. Hier können Sie den Vorschlag 3790 übernehmen. Auf jeden Fall müssen Sie sich Ihre Wahl merken. Übernehmen Sie die übrigen Vorschläge des Assistenten und
beenden Sie die Installation. Die rund 185 MB große Installationsdatei ist stark komprimiert und verschlüsselt. Bis alles entpackt und installiert ist, dauert es insbesondere auf älteren PCs einige Minuten. Sie beenden die Installation per Klick auf „Finish“. Danach startet Ihr Standardbrowser und zeigt eine lokal gespeicherte Infoseite an. Diese erklärt Ihnen, dass die eigentliche Weboberfläche von Metasploit Pro mit einem SSL-Zertifikat geschützt ist, das Ihr Browser als unsicher einstufen wird. Die Meldung Ihres Browsers müssen Sie ignorieren, um auf den lokalen Webserver von Metasploit zugreifen zu können. Dorthin gelangen Sie über den angezeigten Link https://localhost: 790. Die Adresse ist eine andere, wenn Sie sich für einen anderen Port entschieden hatten. Im nächsten Schritt müssen Sie einen beliebigen Benutzernamen und ein Passwort angeben, um ein Konto in Metasploit anzulegen. Im Anschluss daran werden Sie nach dem LizenzKey gefragt, den Sie per Mail nach dem Download zugeschickt bekommen hatten. Dieser Schritt ist notwendig, um auf die Weboberfläche von Metasploit zuzugreifen. Diese gehört zum kommerziellen Teil der Software und bietet ein paar übersichtliche Werkzeuge an. Zwingend für die Nutzung von Metasploit sind der Key und die Weboberfläche allerdings nicht. Auch in diesem Ratgeber gehen wir ausschließlich auf die Nutzung der Konsole ein, also der Eingabeaufforderung von Metasploit.
Lernen Sie die MetasploitKonsole kennen
Nach der Installation von Metasploit für Windows startet automatisch der Browser mit Zugriff auf die kommerzielle Metasploit-Webober- fläche. Universell ist jedoch die Nutzung von Metasploit mittels Konsole. Starten Sie diese über „Windows-Logo -> Alle Programme/Alle Apps -> Metasploit -> Metasploit Console“. Daraufhin öffnet sich die Eingabeaufforderung des Frameworks. Beim ersten Start müssen Sie einige Zeit warten, bis alle Dienste gestartet sind. Wenn die Konsole bereit ist, erscheint als Prompt „msf >“für Metasploit Framework. Dort geben Sie wie in der Windows CMD (Eingabeaufforderung) oder der Bash unter Linux Befehle ein, die Sie mit der Taste Enter starten. Die wichtigsten Befehle stellen wir hier vor. Banner: Beim Start der Konsole werden zuletzt die Zahl der verfügbaren Exploits (rund 1500), Auxiliaries (rund 950) und Payloads (gut 400) angezeigt. Möchten Sie diese Anzeige erneut aufrufen, geben Sie banner ein. Exploits sind Code, mit dem eine Schwachstelle ausgenutzt wird. Auxiliary-Module helfen dabei, Informationen über das Zielsystem einzuholen. Das beginnt bei DNS-Abfragen, geht über einfache Portscanner und endet bei speziellen Scannern, etwa für FTP-Server. Payload bezeichnet den eigentlichen Schadcode. Er wird zumeist über den Exploit-Code in das Zielsystem gebracht und ermöglicht dort zum Beispiel den Zugriff von außen oder sammelt interne Daten und sendet diese an den Pentester zurück. Show und Search: Der Befehl show listet sämtliche verfügbare Module sowie Exploits Ihrer Metasploit-Installation auf. Dies geht für die Exploits etwa über show exploits. Weitere Optionen erhalten Sie dann über show -h. Diese Liste ist allerdings sehr lang und übersteigt bei den Exploits die Standardanzeigekapazität der Konsole. Wenn Sie also auf der Suche nach einem passenden Exploit für ein Zielsys- tem sind, ist der Befehl search besser geeignet. Er bietet unter anderem die Optionen type und name. Vermuten Sie bei Ihrem Zielsystem beispielsweise eine Lücke in einer Dateifreigabe über SMB (Server Message Block), suchen Sie so nach verfügbaren Exploits: search type:exploit name:smb Sämtliche Optionen von search erhalten Sie über search -h. Umgang mit Modulen – use, set, back: Jedes Modul in Metasploit bringt unterschiedliche Optionen mit. Für Exploits müssen Sie meistens die Adresse des Zielsystems angeben und welche Payload mitgeschickt werden soll. Bei Auxiliary-Modulen geben Sie in der Regel auch eine Zieladresse oder einen Adressbereich ein. Möchten Sie ein Modul, das Sie beispielsweise über den Search-Befehl gefunden haben, zur Konfiguration auswählen, verwenden Sie einfach den Befehl use Modulpfad/Modulname. Ein Modul aus der Search-Liste lässt sich übrigens mithilfe der Maus markieren und im Anschluss daran über „Edit -> Paste“in die Befehlszeile (msf >) einfügen. Unsere Suche von oben nach Exploit und smb hat beispielsweise den Exploit „quick_tftp_pro_mode“geliefert. Der ist zwar von 2008, hat allerdings die Bewertung „good“. Wenn also eine alte Version von Quick TFT laufen sollte, dann stehen die Chancen nicht schlecht, dass dieser Exploit funktioniert und eine Payload einschleusen kann. Um den Exploit zu konfigurieren, geben Sie ihn anschließend folgendermaßen ein: msf >use exploit/windows/tftp/
quick_tftp_pro_mode Der Prompt wechselt in das Modul: msf exploit (quick_tftp_pro
_mode) >
Um herauszufinden, welche Optionen ein Modul bietet, geben Sie show options ein. msf exploit (quick_tftp_pro_mode)
> show options Typische Optionen für einen Exploit sind RHOST und RPORT, was die IP-Adresse und den Port des anzugreifenden Systems meint. Um die Optionen zu ändern, verwenden Sie den Befehl set parameter option. In unserem Beispiel sieht das dann so aus: msf exploit (quick_tftp_pro_mode)
> set RHOST 178.254.10.72 Um die Konfiguration eines Moduls zu verlassen, geben Sie back ein. Der Prompt springt danach auf „msf >“zurück.
Informationen über das Zielsystem einholen
Ein professioneller Penetrationstester nutzt für die erste Informationsgewinnung alle verfügbaren Quellen. Er prüft etwa über DNS-Abfragen, welche IP-Adressen zu einer Internetadresse gehören und welche weiteren Dienste die Zielfirma anbietet. So hat die Website einer Firma oft eine andere IP-Adresse als spezielle Datendienste, etwa für die Mitarbeiter im Außendienst. Denn die Webseite läuft bei einem Domain-Hoster und der Datendienst auf den eigenen Servern der Firma. Für den Test Ihrer eigenen IT braucht Sie das alles nicht zu kümmern. Sie müssen lediglich die IP-Adresse Ihres DSL-Routers ermitteln. Diese erfahren Sie über die Weboberfläche Ihres Routers oder über den Speedtest von PC-WELT unter www.speedmeter.de oder über den Browser-Check unter www.browsercheck. pcwelt.de. Auf dieser Webseite finden Sie Ihre IP unter „Externe IP-Adresse“. Scanning des Systems mit Portscannern: Wenn Sie Ihre IP-Adresse ermittelt haben, können Sie diese mit einem Portscanner untersuchen. So finden Sie heraus, ob Ihr System nach außen hin – also ins Internet – Dienste anbietet. Zum Scannen von IP-Adressen dient zum Beispiel das mächtige Tool Nmap, das in Metasploit integriert ist. Über „nmap IP-Adresse“erfahren Sie, welche Ports geöffnet sind. Bei Standardports lässt sich automatisch auf den dahinter aktiven Dienst schließen. Dabei sieht der Befehl folgendermaßen aus: msf >nmap 178.254.10.72 Der Scan dieser privaten Webseite ergab, dass etwa Port 21 offen ist. Somit ist wahrscheinlich ein FTP-Server hinter der IP-Adresse aktiv. Jeder offene Port ist ein potenzielles Angriffsziel und muss genauer untersucht werden.
Scanning des Systems mit Schwachstellenscannern
Wenn Sie ermittelt haben, welche Adressen und welche Dienste das Ziel bietet, müssen Sie als Nächstes genauere Informationen über das Zielsystem in Erfahrung bringen. Dabei helfen Vulnerabilityscanner. Dies sind Schwachstellenscanner, die Sicherheitslücken in Programmen suchen. Ziel des Schwachstellenscans ist es, anschließend einen Exploit-Code auf die gefundene Schwachstelle loszulassen. Metasploit bietet mehrere Scanner. Eine Liste erhalten Sie mit dem Search-Befehl: msf >search type:auxiliary Die Liste ist lang, kann aber mit weiteren Parametern des Search-Befehls gefiltert werden. Wir zeigen hier exemplarisch den Einsatz von TCP Syn. Sie nutzen zunächst den Befehl use: msf >use scanner/portscan/syn Der Prompt wechselt in das Modul und sieht daraufhin wie folgt aus: msf auxiliary(syn) > Der Show-Befehl zeigt Ihnen die Optionen des Moduls an: msf auxiliary(syn) >show options Mit dem Set-Befehl und RHOSTS sowie RPORT legen Sie das Ziel fest, etwa so: msf auxiliary(syn) >set RHOSTS
178.254.10.72 msf auxiliary(syn) > set RPORTS
20, 21 Der Befehl run startet den Scanvorgang: msf auxiliary(syn) >run Das Einholen der Information und das Scannen des Zielsystems sind die wichtigsten Schritte bei einem Penetrationstest. Nur wenn dabei die richtigen Erkenntnisse gewonnen wurden, lässt sich das Ziel im nächsten Schritt mit einem Exploit sowie einer Payload oder einer anderen Methode angreifen.
Angriff des Zielsystems mit einem Exploit
Wenn Sie im Zielsystem einen Dienst ausfindig gemacht haben, der von außen ansprechbar ist und gleichzeitig über eine Sicherheitslücke verfügt, können Sie diese nun mit einem Exploit aus dem Metasploit Framework angreifen. Angenommen, auf unserem Zielsystem (178.254.10.72) läuft unter Port 21 eine alte Version von Quick FTP für Windows XP, dann starten Sie den Exploit so: msf > use exploit/windows/tftp/
quick_tftp_pro_mode msf exploit (quick_tftp_pro_mode)
>set RHOST 178.254.10.72 msf exploit (quick_tftp_pro_mode)
>set RPORT 21 msf exploit (quick_tftp_pro_mode)
>run
Passwortscanner in Metasploit für Angriffe auf Log-ins
Der Angriff auf ein System mit einem ExploitCode kann zwar sehr wirkungsvoll sein, da man wegen der Schwachstelle zumeist nicht nur die Schutzbarriere des Systems überwindet, sondern auch gleich zusätzlichen, feindlichen Code, die Payload, im System aktivieren kann. Der Nachteil besteht jedoch darin, dass Angriffe mit Exploit-Code oft schiefgehen. Das passiert beispielsweise dann, wenn im Zielsystem doch eine neuere Version der lückenbehafteten Software läuft. Ein Fall, der häufig auftritt, weil viele Scans auf Schwachstellen nicht immer zuverlässige Ergebnisse liefern. Und selbst wenn der Exploit zur Software-Version passt, kann dieser durch ein Sicherungssystem, etwa einen Virenwächter, abgefangen werden. Deshalb sind bei Penetrationstestern (und bei Hackern) Angriffe auf Passwortsysteme sehr beliebt. Zum einen gibt es ab einer gewissen Netzwerkgröße meistens mehrere Systeme, die mit Passwörtern geschützt werden, zum anderen sind immer wieder Benutzerkonten dabei, für die keine langen und komplexen Passwörter vergeben wurden. Passwortscanner: Metasploit bietet auch eine ganze Reihe von Passwortscannern für die verschiedenen Dienste. Denn Log-in-Daten sind ja nicht nur auf dem PC für das WindowsKonto erforderlich, sondern für sehr viele weitere Dienste auch. Um bei dem Beispiel mit dem FTP-Server zu bleiben: Viele FTP-Server bieten ja nicht nur Dateien zum öffentlichen Download an, sondern erlauben angemeldeten Nutzern auch den Upload. Diese Benutzerkonten sind natürlich mit einem Passwort geschützt, doch wenn das etwa „Passwort“, „Test123“oder „asdf“lautet, hat ein Passwortscanner es schnell geknackt. In Metasploit finden sich entsprechende Scanner in dem Pfad „scanner_login“. Folglich können Sie etwa so danach suchen: msf >search type:auxiliary
path:scanner_login Beispielhaft zeigen wir hier die Befehlszeilen für den Scanner ftp_login. In den folgenden Zeilen laden wir das Modul, legen danach die Ziel-IP-Adresse fest, bestimmen „admin“als Zielkonto und laden anschließend als Passwortdatei die Datei „pass.txt“. Entsprechende Passwortdateien kursieren im Internet. msf >use auxiliary/scanner/ftp/
ftp_login msf auxiliary (ftp_login) >set
RHOSTS 178.254.10.72 msf auxiliary (ftp_login) >set
USERNAME admin msf auxiliary (ftp_login) >set
PASS_File pass.txt msf auxiliary (ftp_login) >run Die Datei „pass.txt“enthält die Passwörter, die der Scanner ausprobieren soll. Sie müssen die Datei in den Pfad von Metasploit speichern, also standardmäßig „C:\metasploit\“.
Schutz gegen die Angriffe von Metasploit & Co.
Das Framework Metasploit bietet noch zahlreiche weitere Module für das Scannen von Zielsystemen und für den Angriff auf Schwachstellen in Diensten und Software. Viele der Lücken müssen auch gar nicht vom Internet aus ansprechbar sein. Weiß oder vermutet ein Angreifer oder Pentester, dass auf einem Rechner im Zielnetzwerk eine veraltete Version von Word oder Adobe Reader installiert ist, dann kann er dem Benutzer dieses PCs einfach ein verseuchtes Word-Dokument oder eine verseuchte PDF-Datei per Mail zusenden. Für das Erstellen derart verseuchter Dokumente bietet Metasploit ebenfalls etliche Module. Der Schutz gegen alle Angriffe dieser Art ist eigentlich recht einfach: Installieren Sie immer sämtliche Sicherheits-Updates für Ihre Software. Das betrifft Windows sowie alle Anwenderprogramme. Bieten Sie in Richtung Internet lediglich diejenigen Dienste an, die Sie auch tatsächlich brauchen. Wenn Sie keinen heimischen FTP-Server mit Internetzugriff auf Ihrem NAS benötigen, deaktivieren Sie diesen Zugriff. Schließlich ist eine aktuelle Antiviren-Software immer eine gute Idee. Zwar gibt es eine ganze Reihe von Exploits, die Ihren Code ausschließlich im Arbeitsspeicher des Rechners ablegen und sich damit für die einfachen Dateiscanner von Antiviren-Tools unsichtbar machen. Doch zumindest gegen die Mehrzahl der Payloads schützt ein Antivirenprogramm.