Rootkits (Erkennung und Bekämpfung)

Spaceman99

Seit einiger beunruhig mich das aufkommen (aufkeimen) von Rootkits.
Für alle die noch nicht wissen was das ist: Ein (oder mehrere) Malware Programm(e) die sich so in den Kernel schreiben das sie alle Anzeichen über ihre Existenz aus der Kernelausgabe löschen.
So könnte man ohne Tool nur festellen das z.b. die Festplattenkapazität um ca (was weiß ich) 100k kleiner geworden ist (ob gesammt oder frei is fast egal bei 400GB Platten)

Lt. meiner Compizeitung gibt es für Windows (noch) kaum Scanner, und noch weniger die das System wieder herstellen können. (Was soll ein Scanner, der nicht repariert? -> HaHa Rootkit gefunden! Bitte Platte löschen und System neu aufsetzen!)

ALso wie wird man so was wieder los, oder wie kann man überhaupt feststellen, das man sich einen eingefangen hat?

Meine Idee hierzu, (leider bring ich programiertechnisch nur nen "Hallo Welt" zusammen, also muß es jmd anders umsetzen)
-> ich beziehe mich hier nur auf Windoof systeme, da ich mich mit Linux und Apple gerademal ein standard Gemüse DAU bin *g*
Ein Rootkitscanner und -entferner muß alle Rechte (also root) auf den System besitzen außer das ausführen (wird später klar).
Er muß zumindest ohne Probleme auf NTFS lesen,schreiben und löschen können und damit ist Linux als Basis problematisch.
Er muß von einem schreibgeschützen Medium laufen.
Er kann, muß aber nicht einen Virenscanner enthalten.
Er muß sämtliche verfügbaren Speichermedientreiber haben (um auch auf RAID S-ATA etc. zugreifen zu können)
Er muß, um u.a. auf verschlüsselte Daten zugreifen zu können auch das installierte System auslesen können.
Er sollte TCP/IP und DFÜ-Netzwerk Fähigkeiten. (modem treiber müssen nicht, die Jungs sind eh nich so gefärdet *g*)
Er sollte CDs und oder oder DVDs beschreiben können.

Folgender Ablauf:
Das System bootet von DVD (zur not auch CD) in einem absolutem Minimalmodus (ungefähr so wie das Windowsinstall Prog), dabei wird nur geladen was sich absolut nicht vermeiden läßt und Dinge wie TCP/IP sollten minimierte spezial-dateien sein.
Von der Hardware wird nur standard VGA, die Platten, die Netzwerkkarte und der Brenner initialisiert.
Alle eingehenden Verbindungen sollte das PRG blocken.
1. Schritt:
Dann folgt ein provisorischer Virenscan der NBR und des Bootsektors danach legt das programm ein provisorisches Verzeichniss an und zieht sich die aktuellen Virendaten, sowie die aktuellen Windows Patchdaten (nur Änderungen).
Dann kommt der Systemcheck. (Viren)
Alle Windowsinternen Dateien (z.B. win.com etc. p.p.) werden weder Repariert, noch verschoben, noch gelöscht. (komm ich später drauf zurück)
2. Schritt:
Zunächst wird die ganaue Windowsversion und Patchzustand ermittelt
Dann wird die Registry nach verdächtigen Einträgen gescannt und Umleitungen (wenn z.b. an der Stelle von "tcpmon.dll", "malware.dll" aufgerufen wird), die nicht auf einer Positivliste vermerkt sind.
-> die Positivliste für Veränderungen ist ein wichtiges Mittel um div Sicherheitssoftware wie z.b. Virenscanner und vorallen Firewalls am laufen zu halten.
Diese Dinge merkt sich das Programm.
3. Schritt:
Der Hash aller (Kernel) Systemdateien wird jetzt überprüft. Ungültige merkt sich wieder das Programm (ungültig heißt Datei passt nicht zu aktuellen Patchstand oder Datei war lt. Hash nie eine gültige Systemdatei)
4. Schritt:
Das Programm erstellt eine Wiederherstellungs CD/DVD.
5. Schritt:
Das PRG arbeitet seine Merkliste ab.
Das Programm ersetzt infizierte oder zweifelhafte Dateien durch die mitgebrachten (von der Programm DVD),
und deaktiviert die Umleitungen.
6. Schritt: nach dem das System nun absolut sauber ist. lassen sich die zweifelhaften Einträge und Dateien einer genaueren Untersuchung unterziehen.
Jetzt kann abgeglichen werden ob es bekannte Malware oder um harmloses aus einer unbekannten Quelle (z.B. Hobbyprogger).
7. Schritt
Bekannte Malware wird hier ignoriert, ebenso wie unbekannte PRGs die schon in der überprüfung sind. alle anderen können an die Entwickler hochgeladen werden.


----------------
Ich hoffe Ihr versteht was ich meine.