Rootkit scanner unter einer Live CD ?
 

Hallo, wollte hier mal nachfragen, Warum es eigentlich keinen Rootkit scanner unter einer Live CD gibt ( also in richtung Linux, oder Windows, oder sonst ein Os) die nach Windows Rookit´s suchen soll.

Den solche Rootkit´s verstecken sich ja tief in einen betroffenen Windows System, dem zu folge schlecht auf zu spüren das ganze ist.

THN

Gegenfrage:
Wie willst Du das machen wenn Du unter einer Live CD unterwegs bist? ;)

Theoretisch ist es möglich per Signatur Teile eines Rootkits zu finden. Aber eine Garantie das damit die Funktionen beim Start entfernt wurden besteht nicht. Rootkits fallen durch diverse Prozesse im System auf. Zum Beispiel Netzwerkverkehr oder Dateioperationen. Und dieses Verhalten lässt sich nicht Offline Analysieren.

Hallo, ich dachte das ging halt unter Linux, da gibt es halt ein Programm das nach Rootkit´s unter Windows suchen tut ? Sö ähnlich halt. Also geht das nicht ?

THN

So was z.B. meinst Du: Scan a Windows PC for Viruses from a Ubuntu Live CD

Die Frage ist ja eher, was Du unter "Rootkit" verstehst.
Der "Hackerdefender", wird sehr wahrscheinlich mit so ner LiveCD auffindbar sein.

Also könnte es doch gehen, aber es währe nicht der richtige Weg dazu, oder ?

THN

Es kommt eben ganz darauf an was Du eigentlich machen willst. Mit MBAR bzw. den neueren Versionen von MBAM sowie dem Kaspersky TDSS Killer hat man doch gute Tools zur Hand....

hier liegt das Problem schon in der Begrifflichkeit.

Mit einer Live CD machst Du gar nix. Eine Live CD ist per Definition ein Betriebssystem, meist Linux, von CD.

Du kannst dann zwar die ganze Platte scannen, auch die Windows-Partition, aber nicht die Registry von Windows.

ReatogoXP ist auch nur die Live-CD, ohne das entsprechende OTLPE würde da gar nix gehen.

Ergo gibt es dann keine Rootkits, da sich nichts verstecken kann, es wird ja nicht geladen.

Neben oben genannten reinen ARK Tools reicht FRST in der RE, OTLPE (nich ganz legal, aber für hier erstmal egal) oder ne stinknormale batch in der RE, die die win registry lädt, um Malware zu finden und zu entfernen, auch solche die im Live Windows ein Rootkit darstellt.

Nun ja scheinbar ist das Thema nu zu komplex für mich, um es zu verstehen....

Ok ich versuchs mal so, wir nehmen einen Linux Live cd mit Wine, und lasen Malwarebytes Anti-Root Kit laufen. Oder ein anderes Antirootkit Program mit Wine laufen.

Währen da die chancen nicht größer einen Schädling zu finden ?

THN

wenn MBAR da überhaupt läuft, wird es das aktuelle System scannen. Plus je nach Scanner die Festplatte.

Kein Programm wird die Registry von Windows scannen, die muss vorher geladen werden.

Also muss ein Rootkit aktiv sein, um gefunden zu werden?
Wenn es aber aktiv ist, dann kann es auch selber alles manipulieren, um nicht gefunden zu werden? Und genau diese Manipulationen werden dann gesucht und doch gefunden, oder wie?

Wenn du das Rootkit mit einem ARK finden willst, ja, dann muss das Rootkit natürlich aktiv bzw das kompromittierte System muss gebootet sein. Denn ARK-Tools wie zB GMER oder MBAR suchen nach rootkitcharakterischen Spuren - die können nicht da sein, wenn statt dem kompromittierten Betriebssystem ein Live-System von CD gestartet ist. Aber ein rootkit-binary im Dateisystem, welches im kompromittierten OS so nicht sichtbar wäre, ist sichtbar im Live-OS, da hat dante12 ja schon geschrieben dass sowas theoretisch per Signatur von einem normalen Virenscanner (aus dem Live-OS) gefunden werden kann.

genau, aber eben nur die datei. deswegen sind 80% der rechner, die wegen BKA Trojaner mit einer Live CD bereinigt werden im Anschluss No-Booter. Weil der Reg-Eintrag immer noch aktiv ist.

Gibt es denn überhaupt Rettungssysteme von Live-CD, die die Registry des zu untersuchenden Windows scannen können?

OTLPE kann ja zB auch die Hives laden. Und Kaspersky Rescue hat einen Kaspersky Registry Editor, ich weiß jetzt aber nicht, ob der Scanner auf diesem Rettungssystem auch automatisch die Registry des offline Systems lädt und scannen kann...

OTLPE zählt nicht als Live System. Denn es hat manuellen Eingriff. Ne Live CD ist für mich, einlegen, booten, starten. Rest macht das Prog. Ob KAV die Registry läd weiß ich nicht. Ich halte sowieso nix von diesen Dingern.

Dauernd bleibt was übrig, wenns gut läuft, oder No-Booter, wenns schlecht läuft. Und mit FRST RE bringe ich jeden Rechner mit BKA und Co von Hand schneller wieder zum Booten als diese Live Dinger.

Echt? :wtf:

Ein Live-System ist für mich: von einem Medium booten (CD oder Stick) und ein Betriebssystem ohne Installation direkt verwenden

Was genau umfasst denn OTLPE - OTLP ist doch "nur" das in der PE-Umgebung ausführbare OTL, also nur ein Programm aber doch kein Betriebssystem.

Vgl. http://de.wikipedia.org/wiki/Live-System

"Der Begriff Live-System oder Direktstartsystem bezeichnet in der Informatik ein Betriebssystem, das ohne Installation und Beeinflussung des Inhaltes einer im System vorhandenen Festplatte gestartet werden kann. Das gesamte Betriebssystem wird dazu in der Regel auf einem bootfähigen Medium wie eine CD-ROM, eine DVD oder einen Flash-Speicher, beispielsweise einem USB-Stick, installiert. Ein Rechnerstart kann so ohne Festspeicher oder ohne vorinstalliertes Betriebssystem ermöglicht werden."


Das machst du mit der OTLPE-CD doch auch :D

Ist denn zB Knoppix kein Live-System mehr, weil du manuell den Browser starten musst weil du surfen möchtest? :blabla:


Wie gut oder schlecht das eine oder andere Tool von dieser oder jener Live-CD ist, ist ja ein anderes Thema :)

Reatogo allein kann gar nix. OTL lädt die Registry von Windows, das meine ich. Das macht kein Live System automatisch.

Dennoch aber bleibt es ein Programm, das aus einem Live-System gestartet wird ;)

Korrekt. Aber es macht etwas was mmn keine "fertige" Live CD macht, jetzt rein aus malware-removal-sicht.