 Demo / Test - Rootkit
 Hi,
in gewisser Weise fragst Du sehr wohl nach Malware. Du stellst dir vielleicht etwas wie die Eicar-Testdatei für Virenscanner vor. Die lädt man runter und schaut ob der Scanner anschlägt, wenn nicht löscht man die Datei und nichts ist passiert. Und selbst wenn man sie ausführt passiert auch nichts, weil sie so programmiert ist.
Bei Rootkits sieht das aber anders aus. Es geht dir ja offensichtlich nicht daran, ob die Installationsdatei per Signatur vom normalen Virenscanner erkannt wird, sondern ob die speziellen Erkennungstechniken, mit denen man versucht, ein Rootkit zu ermitteln, funktionieren. Die können aber erst greifen, wenn das System infiziert ist, was z.B. oft heißt, dass der Windows-Kernel manipuliert wird. Sie zielen darauf Hinweise zu ermitteln, dass auf dem System Dinge verborgen werden, vor der Installation ist das nicht der Fall.
Und was machst Du dann, wenn der Rootkitscanner nichts findet? Dann bekommst Du es nicht mehr von System runter, denn in Explorer und Konsole ist nichts zu machen, da es ja ein Rootkit ist. Wobei im Übrigen auch selbst wenn der Rootkitscanner was meldet er das oft auch nicht so entfernen kann, als ob es nie auf dem System gewesen wäre.
Also: Klar kann man mit Rootkits Demo-Vorführungen machen, das heißt aber ein System zu infizieren.
Karl
| 
22.09.2009, 14:06
Hybrid-Darstellung
