Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)
-   -   Rootkit scanner unter einer Live CD ? (https://www.trojaner-board.de/162423-rootkit-scanner-live-cd.html)

TrojanerHunterNEW 03.01.2015 21:59

Rootkit scanner unter einer Live CD ?
 
Hallo, wollte hier mal nachfragen, Warum es eigentlich keinen Rootkit scanner unter einer Live CD gibt ( also in richtung Linux, oder Windows, oder sonst ein Os) die nach Windows Rookit´s suchen soll.

Den solche Rootkit´s verstecken sich ja tief in einen betroffenen Windows System, dem zu folge schlecht auf zu spüren das ganze ist.

THN

schrauber 03.01.2015 22:10

Gegenfrage:
Wie willst Du das machen wenn Du unter einer Live CD unterwegs bist? ;)

Dante12 04.01.2015 16:40

Theoretisch ist es möglich per Signatur Teile eines Rootkits zu finden. Aber eine Garantie das damit die Funktionen beim Start entfernt wurden besteht nicht. Rootkits fallen durch diverse Prozesse im System auf. Zum Beispiel Netzwerkverkehr oder Dateioperationen. Und dieses Verhalten lässt sich nicht Offline Analysieren.

TrojanerHunterNEW 05.01.2015 19:29

Hallo, ich dachte das ging halt unter Linux, da gibt es halt ein Programm das nach Rootkit´s unter Windows suchen tut ? Sö ähnlich halt. Also geht das nicht ?

THN

deeprybka 05.01.2015 20:17

Zitat:

Zitat von TrojanerHunterNEW (Beitrag 1404943)
Hallo, ich dachte das ging halt unter Linux, da gibt es halt ein Programm das nach Rootkit´s unter Windows suchen tut ? Sö ähnlich halt. Also geht das nicht ?
THN

So was z.B. meinst Du: Scan a Windows PC for Viruses from a Ubuntu Live CD

Die Frage ist ja eher, was Du unter "Rootkit" verstehst.
Der "Hackerdefender", wird sehr wahrscheinlich mit so ner LiveCD auffindbar sein.

TrojanerHunterNEW 05.01.2015 21:21

Also könnte es doch gehen, aber es währe nicht der richtige Weg dazu, oder ?

THN

deeprybka 05.01.2015 21:24

Es kommt eben ganz darauf an was Du eigentlich machen willst. Mit MBAR bzw. den neueren Versionen von MBAM sowie dem Kaspersky TDSS Killer hat man doch gute Tools zur Hand....

schrauber 05.01.2015 21:29

hier liegt das Problem schon in der Begrifflichkeit.

Mit einer Live CD machst Du gar nix. Eine Live CD ist per Definition ein Betriebssystem, meist Linux, von CD.

Du kannst dann zwar die ganze Platte scannen, auch die Windows-Partition, aber nicht die Registry von Windows.

ReatogoXP ist auch nur die Live-CD, ohne das entsprechende OTLPE würde da gar nix gehen.

Ergo gibt es dann keine Rootkits, da sich nichts verstecken kann, es wird ja nicht geladen.

Neben oben genannten reinen ARK Tools reicht FRST in der RE, OTLPE (nich ganz legal, aber für hier erstmal egal) oder ne stinknormale batch in der RE, die die win registry lädt, um Malware zu finden und zu entfernen, auch solche die im Live Windows ein Rootkit darstellt.

TrojanerHunterNEW 05.01.2015 21:32

Nun ja scheinbar ist das Thema nu zu komplex für mich, um es zu verstehen....

Ok ich versuchs mal so, wir nehmen einen Linux Live cd mit Wine, und lasen Malwarebytes Anti-Root Kit laufen. Oder ein anderes Antirootkit Program mit Wine laufen.

Währen da die chancen nicht größer einen Schädling zu finden ?

THN

schrauber 05.01.2015 21:39

wenn MBAR da überhaupt läuft, wird es das aktuelle System scannen. Plus je nach Scanner die Festplatte.

Kein Programm wird die Registry von Windows scannen, die muss vorher geladen werden.

Fragerin 06.01.2015 10:37

Also muss ein Rootkit aktiv sein, um gefunden zu werden?
Wenn es aber aktiv ist, dann kann es auch selber alles manipulieren, um nicht gefunden zu werden? Und genau diese Manipulationen werden dann gesucht und doch gefunden, oder wie?

cosinus 06.01.2015 10:54

Zitat:

Zitat von Fragerin (Beitrag 1405123)
Also muss ein Rootkit aktiv sein, um gefunden zu werden?
Wenn es aber aktiv ist, dann kann es auch selber alles manipulieren, um nicht gefunden zu werden? Und genau diese Manipulationen werden dann gesucht und doch gefunden, oder wie?

Wenn du das Rootkit mit einem ARK finden willst, ja, dann muss das Rootkit natürlich aktiv bzw das kompromittierte System muss gebootet sein. Denn ARK-Tools wie zB GMER oder MBAR suchen nach rootkitcharakterischen Spuren - die können nicht da sein, wenn statt dem kompromittierten Betriebssystem ein Live-System von CD gestartet ist. Aber ein rootkit-binary im Dateisystem, welches im kompromittierten OS so nicht sichtbar wäre, ist sichtbar im Live-OS, da hat dante12 ja schon geschrieben dass sowas theoretisch per Signatur von einem normalen Virenscanner (aus dem Live-OS) gefunden werden kann.

schrauber 06.01.2015 11:01

genau, aber eben nur die datei. deswegen sind 80% der rechner, die wegen BKA Trojaner mit einer Live CD bereinigt werden im Anschluss No-Booter. Weil der Reg-Eintrag immer noch aktiv ist.

cosinus 06.01.2015 11:23

Zitat:

Zitat von schrauber (Beitrag 1405134)
Weil der Reg-Eintrag immer noch aktiv ist.

Gibt es denn überhaupt Rettungssysteme von Live-CD, die die Registry des zu untersuchenden Windows scannen können?

OTLPE kann ja zB auch die Hives laden. Und Kaspersky Rescue hat einen Kaspersky Registry Editor, ich weiß jetzt aber nicht, ob der Scanner auf diesem Rettungssystem auch automatisch die Registry des offline Systems lädt und scannen kann...

schrauber 06.01.2015 11:32

OTLPE zählt nicht als Live System. Denn es hat manuellen Eingriff. Ne Live CD ist für mich, einlegen, booten, starten. Rest macht das Prog. Ob KAV die Registry läd weiß ich nicht. Ich halte sowieso nix von diesen Dingern.

Dauernd bleibt was übrig, wenns gut läuft, oder No-Booter, wenns schlecht läuft. Und mit FRST RE bringe ich jeden Rechner mit BKA und Co von Hand schneller wieder zum Booten als diese Live Dinger.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131