|
Überwachung, Datenschutz und Spam: Rootkits (Erkennung und Bekämpfung)Windows 7 Fragen zu Verschlüsselung, Spam, Datenschutz & co. sind hier erwünscht. Hier geht es um Abwehr von Keyloggern oder aderen Spionagesoftware wie Spyware und Adware. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
22.06.2005, 14:24 | #1 |
| Rootkits (Erkennung und Bekämpfung) Seit einiger beunruhig mich das aufkommen (aufkeimen) von Rootkits. Für alle die noch nicht wissen was das ist: Ein (oder mehrere) Malware Programm(e) die sich so in den Kernel schreiben das sie alle Anzeichen über ihre Existenz aus der Kernelausgabe löschen. So könnte man ohne Tool nur festellen das z.b. die Festplattenkapazität um ca (was weiß ich) 100k kleiner geworden ist (ob gesammt oder frei is fast egal bei 400GB Platten) Lt. meiner Compizeitung gibt es für Windows (noch) kaum Scanner, und noch weniger die das System wieder herstellen können. (Was soll ein Scanner, der nicht repariert? -> HaHa Rootkit gefunden! Bitte Platte löschen und System neu aufsetzen!) ALso wie wird man so was wieder los, oder wie kann man überhaupt feststellen, das man sich einen eingefangen hat? Meine Idee hierzu, (leider bring ich programiertechnisch nur nen "Hallo Welt" zusammen, also muß es jmd anders umsetzen) -> ich beziehe mich hier nur auf Windoof systeme, da ich mich mit Linux und Apple gerademal ein standard Gemüse DAU bin *g* Ein Rootkitscanner und -entferner muß alle Rechte (also root) auf den System besitzen außer das ausführen (wird später klar). Er muß zumindest ohne Probleme auf NTFS lesen,schreiben und löschen können und damit ist Linux als Basis problematisch. Er muß von einem schreibgeschützen Medium laufen. Er kann, muß aber nicht einen Virenscanner enthalten. Er muß sämtliche verfügbaren Speichermedientreiber haben (um auch auf RAID S-ATA etc. zugreifen zu können) Er muß, um u.a. auf verschlüsselte Daten zugreifen zu können auch das installierte System auslesen können. Er sollte TCP/IP und DFÜ-Netzwerk Fähigkeiten. (modem treiber müssen nicht, die Jungs sind eh nich so gefärdet *g*) Er sollte CDs und oder oder DVDs beschreiben können. Folgender Ablauf: Das System bootet von DVD (zur not auch CD) in einem absolutem Minimalmodus (ungefähr so wie das Windowsinstall Prog), dabei wird nur geladen was sich absolut nicht vermeiden läßt und Dinge wie TCP/IP sollten minimierte spezial-dateien sein. Von der Hardware wird nur standard VGA, die Platten, die Netzwerkkarte und der Brenner initialisiert. Alle eingehenden Verbindungen sollte das PRG blocken. 1. Schritt: Dann folgt ein provisorischer Virenscan der NBR und des Bootsektors danach legt das programm ein provisorisches Verzeichniss an und zieht sich die aktuellen Virendaten, sowie die aktuellen Windows Patchdaten (nur Änderungen). Dann kommt der Systemcheck. (Viren) Alle Windowsinternen Dateien (z.B. win.com etc. p.p.) werden weder Repariert, noch verschoben, noch gelöscht. (komm ich später drauf zurück) 2. Schritt: Zunächst wird die ganaue Windowsversion und Patchzustand ermittelt Dann wird die Registry nach verdächtigen Einträgen gescannt und Umleitungen (wenn z.b. an der Stelle von "tcpmon.dll", "malware.dll" aufgerufen wird), die nicht auf einer Positivliste vermerkt sind. -> die Positivliste für Veränderungen ist ein wichtiges Mittel um div Sicherheitssoftware wie z.b. Virenscanner und vorallen Firewalls am laufen zu halten. Diese Dinge merkt sich das Programm. 3. Schritt: Der Hash aller (Kernel) Systemdateien wird jetzt überprüft. Ungültige merkt sich wieder das Programm (ungültig heißt Datei passt nicht zu aktuellen Patchstand oder Datei war lt. Hash nie eine gültige Systemdatei) 4. Schritt: Das Programm erstellt eine Wiederherstellungs CD/DVD. 5. Schritt: Das PRG arbeitet seine Merkliste ab. Das Programm ersetzt infizierte oder zweifelhafte Dateien durch die mitgebrachten (von der Programm DVD), und deaktiviert die Umleitungen. 6. Schritt: nach dem das System nun absolut sauber ist. lassen sich die zweifelhaften Einträge und Dateien einer genaueren Untersuchung unterziehen. Jetzt kann abgeglichen werden ob es bekannte Malware oder um harmloses aus einer unbekannten Quelle (z.B. Hobbyprogger). 7. Schritt Bekannte Malware wird hier ignoriert, ebenso wie unbekannte PRGs die schon in der überprüfung sind. alle anderen können an die Entwickler hochgeladen werden. ---------------- Ich hoffe Ihr versteht was ich meine. Geändert von Spaceman99 (22.06.2005 um 14:57 Uhr) |
22.06.2005, 23:55 | #3 |
| Rootkits (Erkennung und Bekämpfung) Dazu auch dieser Bericht:
__________________http://www.heise.de/security/artikel/58158/0 man beachte auch die Links am Ende des Berichts: http://www.heise.de/security/artikel/58158/2 So, jetzt zum Thema-sicherlich sind Rootkits eine Gefahr, die sicherlich auch nicht von Microsoft unterschätzt wird.Siehe dazu: http://research.microsoft.com/rootkit/ Das Problem ist halt, das Rootkit zu erkennen. Sollte es erkannt werden gibts für den Heimanwender nur eine Lösung: Plattmachen, das alleine aus Vertraunsgründen.Hier gilt: Im Zweifel gegen den PC. Das wird ja auch hier beschrieben: http://www.heise.de/security/artikel/47520 Allerdings geht Jürgen Schmidt meiner Meinung damit zuweit, Privatanwender mit Firmen und deren Servern zu vergleichen. Da bestehen ganz andere Möglichkeiten, da dort sicherlich Vergleichssysteme existieren an denenen sicherlich der Nachweis der erfolgreichen Bereinigung erbracht werden kann. Edit: Ich nehme zurück, dass J.S. jemals Server erwähnt hat. Dennoch ist der Vgl. meiner Meinung nach ziemlich hanebüchen. BTW: Nein, weder J.S. (den kenn ich nicht) noch irgendwer anders hat mich gezwungen, das Edit zu schreiben Bin halt zu blöd Texte, die ich selbst verlinke richtig zu lesen.
__________________ Geändert von cronos (23.06.2005 um 01:16 Uhr) |
23.06.2005, 12:48 | #4 |
| Rootkits (Erkennung und Bekämpfung) Naja das mit dem Platmachen ist immer so ne Sache. Mit dem Einspielen und Konfiguriern meines "nicht standard" System, dauert dies ca. (bei 10h/pro Tag und 7Tagen/Woche) 2-3Wochen. und da sind Spiele nicht mit eingerechnet. Und mein Rechner bietet nach außen keine Serverdienste(zumindes von meiner Seite), und das XAMPP läuft auch nur Zeitweise (und ist außerdem aufs Minimum geschrumpft) Aber trotzem werden immer mehr Privatsystem für Angriffe erobert, und genau da liegt die Chance (ja die Gefahr halt auch). *1) DA Schätzungsweise 50% aller Windoof Nutzer weder einen Virenscanner installiert hat, noch ca. 90% irgendwas von einem Rootkit jemals gehört hat. (davon abgesehen das viele völlig veraltete Scanner haben und Patches nicht einspielen) Und zudem die Entwicklung eines Rootkit entferners aufwendig ist, läßt sich halt MS Zeit. Es ist doch halt so: Solange das BS tut was es soll, kein Geld vom Konto verschwindet, oder ähnliches, ist dem User doch scheißegal ob sein System infiziert ist oder nicht. Deswegen ist ja so wichtig das mal jemand einen vernüftigen Scanner entwickelt. 1*) Der auch potentielle Malware zurückmeldet, damit man diese auch Auswerten kann. Wir sind uns sicher einig das dies nur von einem sauberen System geht. Also Boot vom read only Medium. Es muß sichergestellt werden das der Scanner auf dem neusten Stand ist. Also muß ne Internet anbindung her. Das System, welches scannt sollte möglichst nicht während des Vorgangs infiziert werden. Darum ist es unerlässlich alle unbenötigen Routinen aus dem System zu enfernen. (was nicht da ist kann keine Lücke haben) *2) Es muß insbesondere bei Windoof auch verschlüsselte und restriktierte Dateien zugreifen können. Jetzt kommt der Clue! Anstelle bisheriger Methoden, die da gehen: "Ok, es ist nicht als böse bekannt, also muß es gut sein." Sollte es (zumindest für die Kernel interna) so laufen: "Es ist micht als gut erkannt, also ist es böse!" Und wird gegen eine gute Version ersetzt. Deswegen (s.O.) muß das Sys den letzten Patchstand kennen und erkennen, damit es ein System nicht "zurückpacht" (also Dateien mit bereits geschlossenen Sicherheitslücken wieder einbaut). ---------------------------------- 2*) Sprich: mit einem aufgebockten Auto kann man schlecht vor eine Mauer fahren |
Themen zu Rootkits (Erkennung und Bekämpfung) |
.com, .dll, ablauf, arbeitet, aufsetzen, erkennung, festplatte, infizierte, linux, malware, mehrere, modem, netzwerkkarte, neu, neu aufsetzen, probleme, programm, registry, rootkits, rootkitscanner, s-ata, scan, sicherheitssoftware, speichermedien, system, system neu, system neu aufsetzen, systemdateien, systeme, tcp/ip, tool, treiber, träge, wieder herstellen, windows, überprüfung |