[marborus]

Hallo,
mein Virenscanner von AVG hat kein Anti Rootkit. Habe mir jetzt den GMER Antirootkit runtergeladen. Vertragen die sich überhaupt? Ist das sinnvoll oder brauche ich sowas nicht?
Gruß
Markus

[Twisty]

Du solltest prinzipiell dein System im passiven Zustand nach Rootkits scannen, also via Live-CD/-DVD und nicht auf dem zu untersuchenden System selbst. Und gmer ist kein direkter Rootkitscanner, dass ist eher Blacklight von F-Secure.

[XiLeeN2004]

Rootkits sollten (müssen) aktiv sein, um sie (überhaupt) zu erkennen. Primär geht es ja um das Aufspüren von versteckten Prozessen, von denen man dann auf den Verursacher schließt. Daher ist die Nummer mit der Life-CD nach meiner Auffassung eher kontraproduktiv, damit findet man dann bestenfalls bekannte Signaturen, aber keine verdächtigen Aktivitäten. Wo nichts läuft, laufen auch keine Rootkits... GMER ist schon eine gute Wahl. Verträglichkeit wird auch gegeben sein, den Rootkitscanner führt man ja eh on demand aus.

[Twisty]

XiLeeN2004 sagte:

Rootkits sollten (müssen) aktiv sein, um sie (überhaupt) zu erkennen.

Erzähle bitte keine Märchen und verunsichere andere User nicht unnötig.

Ein aktives System kann man nicht effizient prüfen. Allein der Umstand das ein Rootkit so gut arbeiten kann, dass die Verfälschungsqualitäten gar nicht auffallen, macht eine glaubwürdige Überprüfung obsolet. Zu dem wäre die Frage wie du Rootkits/Malware finden willst, die "core assembly code" (Kern-Zusammensetzung-Code) beherrschen. Faktisch ein Ding der Unmöglichkeit. Selbst die Heuristiken finden bei gut programmierten Rootkits rein gar nichts, da diese nicht einmal auffällig werden (würden).

gmer, Blacklight, RootkitRevealer und diverse AV-Lösungen etc. finden auch nur User-Modus-Rootkits. Bei Kernel-Rootkits, Firmware-Rootkits oder Speicher-Rootkits wird die Sache schwieriger, da man schon mehr als die "Baselines" prüfen müsste.

Bei einem Offlinescan ist die Chance also bedeutend höher das Rootkit zu finden, weil das Rootkit nämlich keine (System-)Einträge ändern/manipulieren kann und somit keine Möglichkeit hat sich zu verstecken. Eine weitere und mühselige Variante wäre es, den Netzwerkverkehr auf Auffälligkeiten zu (über)prüfen. Denn das Rootkit braucht eine Schnittstelle nach außen um Befehle/Anweisungen ausführen zu können.
Die maximal höchst mögliche Sicherheit jedoch, bietet eine Neuinstallation des kompromittierten Systems aber das wird leider immer aus Bequemlichkeit vermieden.

Dieser Beitrag wurde von Twisty bearbeitet: 18. März 2010 - 02:01

[XiLeeN2004]

Zitat (Twisty: 18.03.2010, 02:01)

Ein aktives System kann man nicht effizient prüfen.

Stimmt... Gilt für inaktive Systeme aber gleichermaßen... Kommt halt drauf an, nach welcher Art von Merkmalen man sucht...

Zitat (Twisty: 18.03.2010, 02:01)

Allein der Umstand das ein Rootkit so gut arbeiten kann, dass die Verfälschungsqualitäten gar nicht auffallen, macht eine glaubwürdige Überprüfung obsolet.

Hä? Du meinst wohl "schwierig", "obsolet" ist jedenfalls was ganz anderes... Das liegt nun mal in der Natur der Rootkits, sehe da keine Argumentation pro Life-CD, ist einfach nur Fakt. Das Aufspüren von Rootkits ist schwierig. Punkt.

Zitat (Twisty: 18.03.2010, 02:01)

Zu dem wäre die Frage wie du Rootkits/Malware finden willst, die "core assembly code" (Kern-Zusammensetzung-Code) beherrschen.

Wie willst du ihn mit der Life-CD finden? Denn gerade die, auf Signaturen basierende, Erkennung wird durch den Polymorphismus ja ausgehebelt.

Zitat (Twisty: 18.03.2010, 02:01)

Eine weitere und mühselige Variante wäre es, den Netzwerkverkehr auf Auffälligkeiten zu (über)prüfen. Denn das Rootkit braucht eine Schnittstelle nach außen um Befehle/Anweisungen ausführen zu können.

Und auch das setzt ein laufendes System voraus...

Zitat (Twisty: 18.03.2010, 02:01)

Bei einem Offlinescan ist die Chance also bedeutend höher das Rootkit zu finden, weil das Rootkit nämlich keine (System-)Einträge ändern/manipulieren kann und somit keine Möglichkeit hat sich zu verstecken.

Ist deine Meinung... Kann ich akzeptieren, aber nicht teilen. Aus meiner Sicht sind es primär die typischen Aktivitäten, die ein Rootkit verraten (und auch bei unbekannten Rootkits greifen, besser als jede Heuristik allein auf Dateiebene). Wirkung belegt die Existenz. Und Aktivität gibt's nun mal nicht offline...

Nun zitiere ich mich noch mal frech selbst:

Zitat (XiLeeN2004: 17.03.2010, 15:26)

Rootkits sollten (müssen) aktiv sein, um sie (überhaupt) zu erkennen.

Die Aussage ist unglücklich formuliert, das gebe ich gerne zu, aber von Märchen zu reden, finde ich schon recht überheblich...

Die Problematik ist doch, verwendet man eine Life-CD, kann man nur Signaturen suchen. Im Prinzip die einfachste und zuverlässigste Art, um den Rootkit zu identifizieren. In der Praxis aber nahezu untauglich, weil gute Rootkits sich laufend verändern. Letztlich ist es aber auch völlig egal, welcher Rootkit da genau rumrödelt. Wichtig ist nur die Frage, ob etwas rumrödelt, ergo sucht man nach Aktivität...

Der Satz sollte nur aussagen, dass Aktivität oftmals das einzige Indiz für das Vorhandensein eines Rootkits darstellt.

[Twisty]

XiLeeN2004 sagte:

Wie willst du ihn mit der Life-CD finden? Denn gerade die, auf Signaturen basierende, Erkennung wird durch den Polymorphismus ja ausgehebelt.

Deswegen vergleicht man auch die Ergebnisse mit dem vorangegangenen Baselines oder steht in meiner Aussage das Gegenteil? Damit ist das Auffinden eines Rootkits erheblich höher, als sich auf Verhaltensregeln (Heuristik) zu verlassen.

XiLeeN2004 sagte:

Wirkung belegt die Existenz. Und Aktivität gibt's nun mal nicht offline...

Deswegen brachte ich die Möglichkeit des Netzwerkverkehr zu prüfen mit ins Spiel. Aber ich werde es unterlassen hier Überzeugungsarbeit zu leisten. Und wie gesagt, sobald das Rootkit in der Firmware ist, bleibt jeder Versuch das Rootkit aufzuspüren ohne Nutzen.

XiLeeN2004 sagte:

Die Aussage ist unglücklich formuliert, das gebe ich gerne zu, aber von Märchen zu reden, finde ich schon recht überheblich...

Es ist ein Märchen, dass nur aktive Rootkits gefunden werden (können). Aber da du anscheinend kompromittierte Systeme nutzt, um selbige zu prüfen, ist eine weitere Diskussion für mich ohne größeren Nutzen.

Und deine Kritik, Live-CD/-DVD wären ohne größeren Nutzen, weil diese nur Signaturen suchen ist falsch. Nochmals, mit einer sauberen "Baseline" von einem sauberen System findet man die Rootkits mit einer höheren Wahrscheinlichkeit als ohne. Kompromittierte Systeme sollte man nie zum aufsuchen von Schadsoftware nutzen, allein schon aus dem Grund das man nicht weiß, welche Schadcodes überhaupt auf dem System liegen/arbeiten.

[Stefan_der_held]

Also in sachen Rootkit-erkennung und beseitigung empfehle ich def. Avast.

Der Offline-Scanner (startet quasi bevor sich normalerweise ein Rootkit einklinken kann) ist meiner Ansicht nach sehr effizient im erkennen/entfehrnen da sich zu diesem Zeitpunkt normalerweise noch keins der Ungeziefer verstecken kann.

Ein Rootkit im laufenden Betrieb zu erkennen geht nur über Heuristiken (verhaltensanalysen) und selbst da ist es ehr ein Glückstreffer etwas zu finden.

Gruß,

Stefan