unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Rootkits aufspüren: RootkitRevealer » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Rootkits aufspüren: RootkitRevealer
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

MobyDuck
Lebende Foren Legende


images/avatars/avatar-215.jpg

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 51 [?]
Erfahrungspunkte: 12.194.146
Nächster Level: 13.849.320

1.655.174 Erfahrungspunkt(e) für den nächsten Levelanstieg

Rootkits aufspüren: RootkitRevealer Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Zitat:
Die meisten der unter Windows laufenden Trojaner und Hintertürchen sind mit herkömmlicher Antiviren-Software leicht zu entdecken. Allerdings nimmt die Zahl von Rootkits erheblich zu, die durch Tricks ihre Anwesenheit im System vor gewöhnlichen Scannern verbergen. Das Tool RootkitRevealer liefert dem Anwender Hinweise, ob sein Rechner vielleicht schon enteignet ist.


Weiter bei Heise

Doch Vorsicht: Auch RootkitRevealer findet -systembedingt- nicht alle Rootkits. Das Tool versagt, wenn das Rootkit gerade nicht aktiv ist. Auch ist für die Auswertung ein wenig Einarbeitung nötig, Links finden sich bei Heise an der zitierten Stelle. Wenn's so weitergeht wie bisher wird man jedoch diese Einarbeitung in Kauf nehmen müssen.
16.04.2005 23:30 MobyDuck ist offline Beiträge von MobyDuck suchen Nehmen Sie MobyDuck in Ihre Freundesliste auf

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 21.366.217
Nächster Level: 22.308.442

942.225 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

hmh Irgenwie komm ich im Moment etwas schutzlos vor Augen rollen

Zitat:
In der Beschreibung zu RootkitRevealer wird es bereits angedeutet: Theoretisch kann sich ein Rootkit auch vor RootkitRevealer verstecken. Die grundsätzliche Schwäche des Tools ist nämlich, dass es nur dann funktioniert, wenn auch das Rootkit aktiv ist. Eines der am meisten verbreiteten -- das kostenpflichtige HackerDefender -- fährt daher neuerdings eine ganz simple Strategie: Läuft RootkitRevealer, biegt es einfach keine API-Aufrufe mehr um. Ob ein Scanner nach ihm sucht, stellt es über die Prozessliste fest. Ähnlich ergeht es der Beta-Version von F-Secures Rootkit-Jäger BlackLight. Als Abhilfe empfehlen die Hersteller, den Namen der EXE-Datei zu ändern. HackerDefender würde so nicht mehr die Gegenwart des Detektors bemerken.

Wie lange dieser Trick hilft, bleibt abzuwarten. In der Regel passen die Rootkit-Programmierer ihre Tools sehr schnell an neue Anforderungen an, beispielsweise indem sie die Dateigröße abfragen oder nach Signaturen im Speicher suchen. Ob andere Ansätze zum Aufspüren besser sind, muss sich erst noch zeigen. Microsofts noch nicht öffentlich verfügbarer Strider Ghostbuster ist beispielsweise in der Lage, die ohne Verwendung des Betriebssystems auf der Festplatte vorgefundenen Informationen mit denen im aktiven Betrieb zu vergleichen. [6].

Glaskugel

Sysinternals Tool kann einen Verdacht auf Befall erhärten, allerdings kann es auch unnötige Panik verursachen. Im Test mokierte es sich über Registry-Einträge, die sich bei näherer Untersuchung als harmlos heraus stellten. Für die nähere Untersuchung sind weitere Werkzeuge nötig [3,4], die Bereinigung muss man zudem selber erledigen -- wer es einfacher haben will, muss auf Programme wie Blacklight zurückgreifen [7]. Findet RootkitRevealer nichts, muss das nicht heißen, dass der Rechner frei von Rootkits ist. Das Tool ist ein zusätzliches Werkzeug in der Anti-Rootkit-Werkzeugkiste und nur für fortgeschrittene Anwender geeignet. (dab)

QUELLE


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
16.04.2005 23:38 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

MobyDuck
Lebende Foren Legende


images/avatars/avatar-215.jpg

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 51 [?]
Erfahrungspunkte: 12.194.146
Nächster Level: 13.849.320

1.655.174 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von MobyDuck
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Jo, die Geschichte hat eine andere Qualität als das, was wir bisher gewohnt sind. Bisher reichte es meistens zu sagen, poste mal dein HJT-Log und das weitere ergab sich. Wird auf längere Sicht auch in 90% der Fälle der richtige Weg bleiben. Aber wir werden uns mit neuen Angriffen auseinandersetzen müssen. Und ich werde noch häufiger als bisher zu format c: raten. Eben weil man diese Rootkits noch nicht zuverlässig identifizieren kann.
17.04.2005 00:31 MobyDuck ist offline Beiträge von MobyDuck suchen Nehmen Sie MobyDuck in Ihre Freundesliste auf

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 21.366.217
Nächster Level: 22.308.442

942.225 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Zitat:
Eben weil man diese Rootkits noch nicht zuverlässig identifizieren kann.


hmh Soweit ich weiß kann man so ziemlich alles was NEU auf dem Schädlingsmarkt ist noch nicht zuverlässig identifizieren.

Aber man kennt meistens sehr schnell gewisse Parallelen und findet dann den Verursacher mit etwas Gefühl und Interesse für Details. Petzauge


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
17.04.2005 00:42 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

MobyDuck
Lebende Foren Legende


images/avatars/avatar-215.jpg

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 51 [?]
Erfahrungspunkte: 12.194.146
Nächster Level: 13.849.320

1.655.174 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von MobyDuck
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Nee, das ist hier anders. Du kannst systembedingt keine Diagnose treffen. Aber irgendwo ist natürlich ein Dropper. Den findet man natürlich. Und dann ist nichts mehr mit fixe dies und lösche das.
17.04.2005 00:53 MobyDuck ist offline Beiträge von MobyDuck suchen Nehmen Sie MobyDuck in Ihre Freundesliste auf

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 21.366.217
Nächster Level: 22.308.442

942.225 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

An dem Tag wo ich sage "Gegen Ungezieferbefall hilft nur noch formatieren" werde ich mein Hobby aufgeben.

Dann ist jede Beratung für den A***h. motz


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
17.04.2005 01:08 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

Bishop Bishop ist männlich
Regular


Dabei seit: 30.03.2005
Beiträge: 84

Level: 34 [?]
Erfahrungspunkte: 605.807
Nächster Level: 677.567

71.760 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Tja dedie, auch wenn es dir nicht gefällt, das ist nunmal die einzig sichere Methode, auch wenn sich der eine oder andere Schädling eventuell anders entfernen lässt.
17.04.2005 08:45 Bishop ist offline Beiträge von Bishop suchen Nehmen Sie Bishop in Ihre Freundesliste auf

Cidre
Routinier


images/avatars/avatar-68.gif

Dabei seit: 29.03.2005
Beiträge: 497

Level: 43 [?]
Erfahrungspunkte: 3.585.080
Nächster Level: 3.609.430

24.350 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Zitat:
Original von dedie
An dem Tag wo ich sage "Gegen Ungezieferbefall hilft nur noch formatieren" werde ich mein Hobby aufgeben.

Dann ist jede Beratung für den A***h. motz

Es wird immer die sicherste Variante bleiben, um die Vertrauenswürdigkeit eines kompromittierten Systems wiederherzustellen.
Die Aufspürung von undetectable Malware gestaltet sich jetzt schon äusserst schwierig und wird es auch in ferner Zukunft leider bleiben.
Die Beratung (Absicherung) kann und sollte auch vorsorglich erfolgen, damit es erst gar nicht zum Worst-Case kommt.Petzauge


__________________
Gruß, Cidre
S-Mod d-b



17.04.2005 10:37 Cidre ist offline Homepage von Cidre Beiträge von Cidre suchen Nehmen Sie Cidre in Ihre Freundesliste auf

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 21.366.217
Nächster Level: 22.308.442

942.225 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Ich schreib doch schon gegen und nicht bei.
Bloß wenn das ganze wirklich soweit kommt das man nicht mehr 100% sagen kann da ist Ungeziefer drauf oder nicht, dann hat die Gegenseite gesiegt heulen


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
17.04.2005 10:44 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

MobyDuck
Lebende Foren Legende


images/avatars/avatar-215.jpg

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 51 [?]
Erfahrungspunkte: 12.194.146
Nächster Level: 13.849.320

1.655.174 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von MobyDuck
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

@ Cidre und Bishop
Full ACK. Der Trend geht nunmal in Richtung Kommerzialisierung. Der böse Virus, der nur kaputt macht ist doch fast ausgestorben. Nach Lektüre der letzten c't könnte sogar ich blutiger Laie nen Disk-jacking-Wurm coden, aber in the Wild gibt's keinen. An einer kaputten Festplatte verdient man eben nicht.

Und da es um sehr viel Geld geht, sitzen "auf der anderen Seite" teilweise verflixt fähige Leute. Gehe mal davon aus, dass sie auch schon mal von HJT und e-Scan gehört haben... Im Augenblick profitieren wir noch davon, dass es noch sehr viel einfach gecodetes Amateuer-Zeugs gibt und dass die Profis vor allem auf die Nachlässigkeit der User setzen. Das wird nicht so bleiben.
17.04.2005 12:42 MobyDuck ist offline Beiträge von MobyDuck suchen Nehmen Sie MobyDuck in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Rootkits aufspüren: RootkitRevealer

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2024 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;