Hallo,
mein Virenscanner von AVG hat kein Anti Rootkit. Habe mir jetzt den GMER Antirootkit runtergeladen. Vertragen die sich überhaupt? Ist das sinnvoll oder brauche ich sowas nicht?
Gruß
Markus
Seite 1 von 1
Antirootkit
Anzeige
#2
geschrieben 17. März 2010 - 13:56
Du solltest prinzipiell dein System im passiven Zustand nach Rootkits scannen, also via Live-CD/-DVD und nicht auf dem zu untersuchenden System selbst. Und gmer ist kein direkter Rootkitscanner, dass ist eher Blacklight von F-Secure.
#3
geschrieben 17. März 2010 - 15:26
Rootkits sollten (müssen) aktiv sein, um sie (überhaupt) zu erkennen. Primär geht es ja um das Aufspüren von versteckten Prozessen, von denen man dann auf den Verursacher schließt. Daher ist die Nummer mit der Life-CD nach meiner Auffassung eher kontraproduktiv, damit findet man dann bestenfalls bekannte Signaturen, aber keine verdächtigen Aktivitäten. Wo nichts läuft, laufen auch keine Rootkits... GMER ist schon eine gute Wahl. Verträglichkeit wird auch gegeben sein, den Rootkitscanner führt man ja eh on demand aus.
#4
geschrieben 18. März 2010 - 02:01
XiLeeN2004 sagte:
Rootkits sollten (müssen) aktiv sein, um sie (überhaupt) zu erkennen.
Erzähle bitte keine Märchen und verunsichere andere User nicht unnötig.
Ein aktives System kann man nicht effizient prüfen. Allein der Umstand das ein Rootkit so gut arbeiten kann, dass die Verfälschungsqualitäten gar nicht auffallen, macht eine glaubwürdige Überprüfung obsolet. Zu dem wäre die Frage wie du Rootkits/Malware finden willst, die "core assembly code" (Kern-Zusammensetzung-Code) beherrschen. Faktisch ein Ding der Unmöglichkeit. Selbst die Heuristiken finden bei gut programmierten Rootkits rein gar nichts, da diese nicht einmal auffällig werden (würden).
gmer, Blacklight, RootkitRevealer und diverse AV-Lösungen etc. finden auch nur User-Modus-Rootkits. Bei Kernel-Rootkits, Firmware-Rootkits oder Speicher-Rootkits wird die Sache schwieriger, da man schon mehr als die "Baselines" prüfen müsste.
Bei einem Offlinescan ist die Chance also bedeutend höher das Rootkit zu finden, weil das Rootkit nämlich keine (System-)Einträge ändern/manipulieren kann und somit keine Möglichkeit hat sich zu verstecken. Eine weitere und mühselige Variante wäre es, den Netzwerkverkehr auf Auffälligkeiten zu (über)prüfen. Denn das Rootkit braucht eine Schnittstelle nach außen um Befehle/Anweisungen ausführen zu können.
Die maximal höchst mögliche Sicherheit jedoch, bietet eine Neuinstallation des kompromittierten Systems aber das wird leider immer aus Bequemlichkeit vermieden.
Dieser Beitrag wurde von Twisty bearbeitet: 18. März 2010 - 02:01
#5
geschrieben 18. März 2010 - 06:29
Zitat (Twisty: 18.03.2010, 02:01)
Ein aktives System kann man nicht effizient prüfen.
Zitat (Twisty: 18.03.2010, 02:01)
Allein der Umstand das ein Rootkit so gut arbeiten kann, dass die Verfälschungsqualitäten gar nicht auffallen, macht eine glaubwürdige Überprüfung obsolet.
Zitat (Twisty: 18.03.2010, 02:01)
Zu dem wäre die Frage wie du Rootkits/Malware finden willst, die "core assembly code" (Kern-Zusammensetzung-Code) beherrschen.
Zitat (Twisty: 18.03.2010, 02:01)
Eine weitere und mühselige Variante wäre es, den Netzwerkverkehr auf Auffälligkeiten zu (über)prüfen. Denn das Rootkit braucht eine Schnittstelle nach außen um Befehle/Anweisungen ausführen zu können.
Zitat (Twisty: 18.03.2010, 02:01)
Bei einem Offlinescan ist die Chance also bedeutend höher das Rootkit zu finden, weil das Rootkit nämlich keine (System-)Einträge ändern/manipulieren kann und somit keine Möglichkeit hat sich zu verstecken.
Nun zitiere ich mich noch mal frech selbst:
Zitat (XiLeeN2004: 17.03.2010, 15:26)
Rootkits sollten (müssen) aktiv sein, um sie (überhaupt) zu erkennen.
Die Problematik ist doch, verwendet man eine Life-CD, kann man nur Signaturen suchen. Im Prinzip die einfachste und zuverlässigste Art, um den Rootkit zu identifizieren. In der Praxis aber nahezu untauglich, weil gute Rootkits sich laufend verändern. Letztlich ist es aber auch völlig egal, welcher Rootkit da genau rumrödelt. Wichtig ist nur die Frage, ob etwas rumrödelt, ergo sucht man nach Aktivität...
Der Satz sollte nur aussagen, dass Aktivität oftmals das einzige Indiz für das Vorhandensein eines Rootkits darstellt.
#6
geschrieben 18. März 2010 - 11:14
XiLeeN2004 sagte:
Wie willst du ihn mit der Life-CD finden? Denn gerade die, auf Signaturen basierende, Erkennung wird durch den Polymorphismus ja ausgehebelt.
Deswegen vergleicht man auch die Ergebnisse mit dem vorangegangenen Baselines oder steht in meiner Aussage das Gegenteil? Damit ist das Auffinden eines Rootkits erheblich höher, als sich auf Verhaltensregeln (Heuristik) zu verlassen.
XiLeeN2004 sagte:
Wirkung belegt die Existenz. Und Aktivität gibt's nun mal nicht offline...
Deswegen brachte ich die Möglichkeit des Netzwerkverkehr zu prüfen mit ins Spiel. Aber ich werde es unterlassen hier Überzeugungsarbeit zu leisten. Und wie gesagt, sobald das Rootkit in der Firmware ist, bleibt jeder Versuch das Rootkit aufzuspüren ohne Nutzen.
XiLeeN2004 sagte:
Die Aussage ist unglücklich formuliert, das gebe ich gerne zu, aber von Märchen zu reden, finde ich schon recht überheblich...
Es ist ein Märchen, dass nur aktive Rootkits gefunden werden (können). Aber da du anscheinend kompromittierte Systeme nutzt, um selbige zu prüfen, ist eine weitere Diskussion für mich ohne größeren Nutzen.
Und deine Kritik, Live-CD/-DVD wären ohne größeren Nutzen, weil diese nur Signaturen suchen ist falsch. Nochmals, mit einer sauberen "Baseline" von einem sauberen System findet man die Rootkits mit einer höheren Wahrscheinlichkeit als ohne. Kompromittierte Systeme sollte man nie zum aufsuchen von Schadsoftware nutzen, allein schon aus dem Grund das man nicht weiß, welche Schadcodes überhaupt auf dem System liegen/arbeiten.
#7
geschrieben 18. März 2010 - 12:46
Also in sachen Rootkit-erkennung und beseitigung empfehle ich def. Avast.
Der Offline-Scanner (startet quasi bevor sich normalerweise ein Rootkit einklinken kann) ist meiner Ansicht nach sehr effizient im erkennen/entfehrnen da sich zu diesem Zeitpunkt normalerweise noch keins der Ungeziefer verstecken kann.
Ein Rootkit im laufenden Betrieb zu erkennen geht nur über Heuristiken (verhaltensanalysen) und selbst da ist es ehr ein Glückstreffer etwas zu finden.
Gruß,
Stefan
Der Offline-Scanner (startet quasi bevor sich normalerweise ein Rootkit einklinken kann) ist meiner Ansicht nach sehr effizient im erkennen/entfehrnen da sich zu diesem Zeitpunkt normalerweise noch keins der Ungeziefer verstecken kann.
Ein Rootkit im laufenden Betrieb zu erkennen geht nur über Heuristiken (verhaltensanalysen) und selbst da ist es ehr ein Glückstreffer etwas zu finden.
Gruß,
Stefan
Thema verteilen:
Seite 1 von 1