Wie erkennt ihr Rootkits?

07.05.2006, 18:15

Hallo,

mich würde mal interessieren, welche Maßnahmen ihr aufgreift um Rootkits zu erkennen.

Welche Tools setzt ihr dazu ein?

TCPView (sofern Ports geöffnet werden)
RootkitRevealer (erkennbar sind ja nicht alle Rootkits)

Es gibt ja noch eine ganze Reihe von Tools von Sysinternals. Allerdings weiss ich nicht genau, welche zur Rootkiterkennung empfehlenswert sind.

Rene-gad · 07.05.2006, 18:21

Zitat:

Zitat von *Christian*

mich würde mal interessieren, welche Maßnahmen ihr aufgreift um Rootkits zu erkennen.

Ich versuche es mit Brain 1.0.

Für Dienigen, die davon nix halten, ein Link: ftp://data.kaspersky.ru/Docs/

07.05.2006, 18:25

He he ... ach was!

Keine Sorge, mein Rechner hat auch ganz sicher keine Rootkits installiert.

Im übrigen dürfte Kaspersky an einem aktiven Rootkit nicht mehr viel auszurichten haben, denke ich mal.

MightyMarc · 07.05.2006, 18:30

a) ein zwischengeschalteter Rechner mit ethereal
b) ein Portscan von aussen

In den einschlägig bekannten Foren kann man ja lesen, dass RATs - wenn gut programmiert - von keinem RK-Scanner detektiert werden können und auch Netzwerkanalysetools - wenn auch dem befallenen Rechner installiert - ins Leere laufen.

07.05.2006, 18:38

Zitat:

Zitat von MightyMarc

a) ein zwischengeschalteter Rechner mit ethereal
b) ein Portscan von aussen

In den einschlägig bekannten Foren kann man ja lesen, dass RATs - wenn gut programmiert - von keinem RK-Scanner detektiert werden können und auch Netzwerkanalysetools - wenn auch dem befallenen Rechner installiert - ins Leere laufen.

Wenn es ein guter Rootkit ist, der jede Systemabfrage abfängt gebe ich dir recht. Allerdings weiss ich nicht, ob alle derzeitigen Rootkits so gut sind.

MightyMarc · 07.05.2006, 18:42

Zitat:

Zitat von *Christian*

Allerdings weiss ich nicht, ob alle derzeitigen Rootkits so gut sind.

Natürlich nicht. Es gibt die Standardrootkits, die vermutlich auch die größte Verbreitung haben. Und dann gibt es die RATs die sich einer selbst schreibt und den Quellcode maximal an drei oder vier ihm persönliche bekannte Personen weitergibt. Das sind die wirklich gefährlichen.

Im übrigen ist es durchaus sinnvoll, zwei oder mehr RK-Scanner zu verwenden. Sie kommen sich ja auch nicht gegenseitig ins Gehege wie On-Access-Virenscanner.

12.05.2006, 15:13

Naja, ob Scanner so sinnvoll sind ... ich weiss nicht ...
Ich würde versuchen mit anderen Tools danach zu suchen.

Auf Anhieb fällt mir nur RootkitRevealer und F-Secure BlackLight als Scanner ein. Hier dürften wohl die Programmierer genau diese Scanner austricksen.

07.05.2006, 18:15	#1
Christian Gast	Wie erkennt ihr Rootkits? Hallo, mich würde mal interessieren, welche Maßnahmen ihr aufgreift um Rootkits zu erkennen. Welche Tools setzt ihr dazu ein? TCPView (sofern Ports geöffnet werden) RootkitRevealer (erkennbar sind ja nicht alle Rootkits) Es gibt ja noch eine ganze Reihe von Tools von Sysinternals. Allerdings weiss ich nicht genau, welche zur Rootkiterkennung empfehlenswert sind.

07.05.2006, 18:25	#3
Christian Gast	Wie erkennt ihr Rootkits? He he ... ach was! Keine Sorge, mein Rechner hat auch ganz sicher keine Rootkits installiert. Im übrigen dürfte Kaspersky an einem aktiven Rootkit nicht mehr viel auszurichten haben, denke ich mal. __________________

12.05.2006, 15:13	#7
Christian Gast	Wie erkennt ihr Rootkits? Naja, ob Scanner so sinnvoll sind ... ich weiss nicht ... Ich würde versuchen mit anderen Tools danach zu suchen. Auf Anhieb fällt mir nur RootkitRevealer und F-Secure BlackLight als Scanner ein. Hier dürften wohl die Programmierer genau diese Scanner austricksen.

Wie erkennt ihr Rootkits?

Diskussionsforum: Wie erkennt ihr Rootkits?