Rootkit?

KarlKarl · 13.01.2008, 21:11

Eine Antwort steht noch aus. Dafür muss ich auch erstmal nachlesen, u.a. Teile des Buches von Mark Russinovich. Kein leichter Stoff, das geht bei mir ans Limit, vielleicht auch drüber raus.

Die praktische Anwendung der Schreibweise mit "\??" ist vor allen Dingen dann von Bedeutung, wenn Malware Dateien agelegt hat, die die Namen von den alten DOS-Geräten haben oder damit anfangen, z.B:

Code:

ATTFilter

con.sys
prn.sys

Die lassen sich mit dem DIR-Befehl nicht löschen, wenn man aber die erweiterte Schreibweise mit "\??" vor dem vollständigen Pfadnamen anwedet, geht es. Jedenfalls wenn sie nicht noch anderweitig blockiert sind, wie es bei Malware ja oft vorkommt. Eine bekannte Malware, die diese Technik benutzt, ist das Gromozon-Rootkit.

Ich möchte gerne noch eine technisch genaue Antwort schreiben, aber ich verspreche es lieber nicht. Ich habe soviel um die Ohren und bin nicht in ein fremdes aufregendes und interessantes Land gefahren, um den ganzen Tag vor meinem Notebook zu hängen.

ordell1234 · 14.01.2008, 05:22

Kein Streß, Karl. Die Frage war nur von akademischem Interesse. Merci für deine Antwort.

Zitat:

Zitat von KarlKarl

Ich habe soviel um die Ohren und bin nicht in ein fremdes aufregendes und interessantes Land gefahren, um den ganzen Tag vor meinem Notebook zu hängen.

Zitat:

Britney Spears floh offenbar mit Freund kurz nach Mexiko

...Das Blatt zitierte einen Mitarbeiter eines mexikanischen Hotels, demzufolge Spears eine pinkfarbene Perücke und schwarze Stiefel trug. Sie habe sich geweigert, Autogramme zu schreiben und habe eine gefälschte Gucci-Tasche gekauft. Paparazzi folgten dem Paar auf dessen Rückweg nach Los Angeles...

AFP: Britney Spears floh offenbar mit Freund kurz nach Mexiko

Betsteht da ein Zusammenhang?

KarlKarl · 14.01.2008, 06:03

Pinkfarbene Perücke und schwarze Stiefel? So eine habe ich doch neulich gesehen, als ich mit meiner Freundin spazierenging.

Echte Gucci-Taschen dürften hier auch nur schwer zu bekommen sein.

BataAlexander · 14.01.2008, 09:14

Zitat:

Zitat von KarlKarl

Die lassen sich mit dem DIR-Befehl nicht löschen, wenn man aber die erweiterte Schreibweise mit "\??" vor dem vollständigen Pfadnamen anwedet, geht es.

del c:\con.sys bringt da die Fehlermeldung
del \\.\C:\con.sys sollte Erfolg bringen wenn ich das richtig in den Kopf gelesen habe.^^

14.01.2008, 06:03	#18
KarlKarl /// Helfer-Team	Rootkit? Pinkfarbene Perücke und schwarze Stiefel? So eine habe ich doch neulich gesehen, als ich mit meiner Freundin spazierenging. Echte Gucci-Taschen dürften hier auch nur schwer zu bekommen sein. __________________

Rootkit?

Plagegeister aller Art und deren Bekämpfung: Rootkit?

Rootkit?

Rootkit?

Rootkit?

Rootkit?

Ähnliche Themen: Rootkit?