Hilfe
Neues Thema
Antworten
Wenn wir von Malware reden, die versucht sich oder das Handeln einer anderen Malware zu verstecken/tarnen redet man ja zumeist von Rootkits oder? Okay jede Malware versucht es natürlich...sagen wir mal so sie gehören zu den Hartnäckigeren.
Nun es gibt ja wiederrum auch sogenannte Rootkit-Finder, die das System auf verdächtige Eingriffe o.ä. durchsuchen sollen. Nun mal ein paar Fragen:
Wonach suchen diese RFs denn genau?
Bzw wenn sie nach bestimmten "Aufrufen" oder was auch immer suchen, gibt es eine Möglichkeit einfach genau solche Dinge zu verbieten? Oder es zumindest zu erschweren.
Also ich denke mal es gibt reltiv viele Möglichkeiten bestimmte Daten für den User unsichtbar zu machen. Aber gibt es vllt auch ein paar bekannte? Hat da vllt mal jemand ein paar gute Informationen? Lese gerne viel, wenns nicht reiner Quelltext von Rootkits sein muss ^^.
Nein mir geht es gerade nicht um Prävention -> eingeschränkte Rechte.
Seite 1 von 1
Rootkits
Nach oben
#2
Stefan_der_held 
- Gruppe: Offizieller Support
- Beiträge: 14.253
- Beigetreten: 08. April 06
- Reputation: 935
- Geschlecht:Männlich
- Wohnort:Dortmund NRW
- Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)
geschrieben 01. Dezember 2006 - 18:46
Zitat (moep: 01.12.2006, 18:39)
Nun es gibt ja wiederrum auch sogenannte Rootkit-Finder, die das System auf verdächtige Eingriffe o.ä. durchsuchen sollen.
Wohlgemerkt kann man ehr dessen Installation verhindern als diese zuverlässig aufzuspühren wenn diese schon installiert sind.
Zitat
gibt es eine Möglichkeit einfach genau solche Dinge zu verbieten? Oder es zumindest zu erschweren.
Also ich denke mal es gibt reltiv viele Möglichkeiten bestimmte Daten für den User unsichtbar zu machen. Aber gibt es vllt auch ein paar bekannte? Hat da vllt mal jemand ein paar gute Informationen? Lese gerne viel, wenns nicht reiner Quelltext von Rootkits sein muss ^^.
Nein mir geht es gerade nicht um Prävention -> eingeschränkte Rechte.
Also ich denke mal es gibt reltiv viele Möglichkeiten bestimmte Daten für den User unsichtbar zu machen. Aber gibt es vllt auch ein paar bekannte? Hat da vllt mal jemand ein paar gute Informationen? Lese gerne viel, wenns nicht reiner Quelltext von Rootkits sein muss ^^.
Nein mir geht es gerade nicht um Prävention -> eingeschränkte Rechte.
Dein letzter Satz ist jedoch genau DIE Lösung (inkl. einem sicher konfiguriertem System), da Rootkits zwingend Administrator Rechte benötigen.
#3
Witi
- Gruppe: aktive Mitglieder
- Beiträge: 5.686
- Beigetreten: 13. Dezember 04
- Reputation: 43
- Geschlecht:Männlich
- Wohnort:Kingsvillage
- Interessen:Frickeln
geschrieben 01. Dezember 2006 - 18:47
Zitat
Wenn wir von Malware reden, die versucht sich oder das Handeln einer anderen Malware zu verstecken/tarnen redet man ja zumeist von Rootkits oder?
Im Großen und Ganzen ja. http://de.wikipedia.org/wiki/Rootkit
Mark Russinovich hat in seinem Blog gezeigt, wie er z.B. den Sony-Rootkit entdeckt hat.
Da dürfte vieles klar werden: http://blogs.technet.com/markrussinovich/a...ne-too-far.aspx
#4 _moep_
geschrieben 01. Dezember 2006 - 18:50
@Stefan_der_held
Ja, ich weiß ich suche ja auch gar keine Lösung ^^
Ich bin eher etwas interessiert an der Funktionsweise eines solchen.
Wo genau sie eben "zuschlagen".
Zum Beispiel um selbst mal eine Datei "verschwinden" zu lassen. Nein ich will kein Rootkit basteln. Einfach mehr so aus neugier, wie so etwas geht.
Oder werden Informationen dahingehend schon wieder illegal?
Mich interessiert doch wirklich nur so das Thema an sich.
Sonst freu ich mich auch über PMs
MfG
EDIT:
@Witi Ja das hört sich doch schonmal nach etwas sehr interessanten an
Werd heute nicht mehr dazu kommen es zu lesen, aber schonmal vielen Dank.
Ja, ich weiß ich suche ja auch gar keine Lösung ^^
Ich bin eher etwas interessiert an der Funktionsweise eines solchen.
Wo genau sie eben "zuschlagen".
Zum Beispiel um selbst mal eine Datei "verschwinden" zu lassen. Nein ich will kein Rootkit basteln. Einfach mehr so aus neugier, wie so etwas geht.
Oder werden Informationen dahingehend schon wieder illegal?
Mich interessiert doch wirklich nur so das Thema an sich.
Sonst freu ich mich auch über PMs
MfG
EDIT:
@Witi Ja das hört sich doch schonmal nach etwas sehr interessanten an
Werd heute nicht mehr dazu kommen es zu lesen, aber schonmal vielen Dank.
Dieser Beitrag wurde von moep bearbeitet: 01. Dezember 2006 - 18:52
#5
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 01. Dezember 2006 - 19:57
Rootkit-Suchprogramme suchen nach Inkonsistenzen in typischerweise von Rootkits manipulierten Funktionen. Z.B. wenn man einen Registry-Key nicht sieht, aber dieser durch Durchsuchen der Registry-Dateien einwandfrei als existent festzustellen ist. Oder wenn ein Prozess nicht in der internen Prozessliste auftaucht, aber trotzdem eine Process ID hat. Oder wenn man nach der ersten Datei in einem Ordner fragt, aber alle Dateien geliefert bekommt, weil die Veränderung durch das Rootkit das Feature "aber gibt mir nur die erste Datei" nicht implementiert hat.
Natürlich ist das auch keine Lösung. Ein Rootkit kann beispielsweise das Lesen der Registry-Dateien erkennen und eine passend manipulierte Version zurückliefern. Oder es kann bei der Abfrage der PID einfach eine neue wählen...
Du veränderst einfach die Kernel-Funktion NtReadFile, sodaß du erst die Originalfunktion aufrufst, um die zu versteckenden Dateien filterst und anschließend dieses Ergebnis zurücklieferst. Und NtGetFunctionHookTable lässt du nur den Zeiger auf Originalfunktion zurückliefern. Und NtSetFunctionHookTable ignoriert mit Erfolgsmeldung den Versuch, die Originalfunktion wiederherzustellen. Und und und...
Natürlich ist das auch keine Lösung. Ein Rootkit kann beispielsweise das Lesen der Registry-Dateien erkennen und eine passend manipulierte Version zurückliefern. Oder es kann bei der Abfrage der PID einfach eine neue wählen...
Zitat
Einfach mehr so aus neugier, wie so etwas geht.
Du veränderst einfach die Kernel-Funktion NtReadFile, sodaß du erst die Originalfunktion aufrufst, um die zu versteckenden Dateien filterst und anschließend dieses Ergebnis zurücklieferst. Und NtGetFunctionHookTable lässt du nur den Zeiger auf Originalfunktion zurückliefern. Und NtSetFunctionHookTable ignoriert mit Erfolgsmeldung den Versuch, die Originalfunktion wiederherzustellen. Und und und...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#6 _moep_
geschrieben 04. Dezember 2006 - 15:26
So danke schön für die Anregungen...werde mich mal in nächster Zeit etwas mit auseinandersetzen. 
#7
grecoman
- Gruppe: Mitglieder
- Beiträge: 19
- Beigetreten: 08. März 07
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Baden-Württemberg
- Interessen:Musik (ausser Volksmusik, Oper, Operette (würg!)), Filme (ausser Heimatfilme (kotz!)), wilde Natur (wilde Tiere (grrrr!)),
geschrieben 18. Mai 2007 - 18:02
Hallo Leute! Hoffe dass ich in diesem Forum richtig bin. Nutze als Sicherheitssoftware Avira Premium Security Suite, welche neuerdings einen Rootkit-Scanner hat. Jedoch bleibt der Scanner jedesmal hängen, zurzeit bei ca. 68 % des Scanvorgangs. Jedesmal bei "HKEY_LOCAL_MACHINE\System\ControlSet003\Services\sptd\Cfg\... oder ...\ControlSet002\.... Habe das Logfile an Hijackthis gesandt mit folgendem Ergebnis:
Habe auch das Avira-Forum hiermit kontaktiert. Bisher keine Antwort. Bin dankbar für jede Antwort. Euer GRECOMAN
Versionsinformationen: BUILD.DAT : 144 20695 Bytes 10.05.2007 12:48:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 18.05.2007 12:38:12 AVSCAN.DLL : 7.0.4.0 41000 Bytes 19.04.2007 17:09:44 LUKE.DLL : 7.0.4.11 143400 Bytes 19.04.2007 17:09:46 LUKERES.DLL : 7.0.4.0 10792 Bytes 19.04.2007 17:09:46 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44 ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 16:45:18 ANTIVIR2.VDF : 6.38.1.100 1168384 Bytes 06.05.2007 09:23:20 ANTIVIR3.VDF : 6.38.1.160 160256 Bytes 18.05.2007 13:04:51 AVEWIN32.DLL : 7.4.0.23 2454016 Bytes 16.05.2007 19:18:47 AVWINLL.DLL : 1.0.0.7 14376 Bytes 19.04.2007 17:09:44 AVPREF.DLL : 7.0.2.1 24616 Bytes 19.04.2007 17:09:44 AVREP.DLL : 7.0.0.1 155688 Bytes 19.04.2007 17:09:49 AVPACK32.DLL : 7.3.0.8 360488 Bytes 02.04.2007 18:01:08 AVREG.DLL : 7.0.1.2 31784 Bytes 19.04.2007 17:09:44 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 19.04.2007 17:09:43 AVARKT.DLL : 1.0.0.17 278568 Bytes 08.05.2007 17:23:51 NETNT.DLL : 7.0.0.0 7720 Bytes 19.04.2007 17:09:46 RCIMAGE.DLL : 7.0.1.16 2469928 Bytes 19.04.2007 17:09:31 RCTEXT.DLL : 7.0.45.0 86056 Bytes 19.04.2007 17:09:31 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: C:\Programme\Avira Premium Security Suite\alldrives.avp Fuzzy Algorithmusprüfung (4.75 / 5.00), Sicher Protokollierung..................: niedrig Primäre Aktion...................: quarantäne Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Dies ist ein unbekannter Prozess. Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Freitag, 18. Mai 2007 15:32 Der Suchlauf nach versteckten Objekten wird begonnen. Im Modul AVARKT.DLL ist eine Exception aufgetreten. Aufruf der Funktion ARK_Scan Fehlerbeschreibung:ACCESS_VIOLATION EAX = 0231E498 EBX = 0000007A ECX = 04899148 EDX = 00000000 ESI = 00000000 EDI = 04899148 Fuzzy Algorithmusprüfung (4.69 / 5.00), Sicher EIP = 023087D0 EBP = 021DE9E4 ESP = 021DE9CC Flg = 00010246 CS = 00000023 SS = 0000001B Ende des Suchlaufs: Freitag, 18. Mai 2007 16:31 Benötigte Zeit: 59:23 min Der Suchlauf wurde abgebrochen! 0 Verzeichnisse wurden überprüft 0 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 davon wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 0 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 0 Hinweise 22 Versteckte Objekte wurden gefunden
Habe auch das Avira-Forum hiermit kontaktiert. Bisher keine Antwort. Bin dankbar für jede Antwort. Euer GRECOMAN
Dieser Beitrag wurde von ShadowHunter bearbeitet: 18. Mai 2007 - 18:07
#8
Afghane, schwarz
geschrieben 19. Mai 2007 - 13:24
Deinstalliere mal DT oder Alk (sptd).
Thema verteilen:
Seite 1 von 1