Mit FAT32 hätte das Rootkit kaum eine Chance

Mit dem Dateisystem FAT32 hätte das Rootkit kaum eine Chance gehabt sich erfolgreich einzunisten, da sich die Aktivität eines Rootkits dort nicht verschleiern läßt. Aber nee, es muß ja NTFS sein, weil es angeblich viel sicherer ist.

Du hast nicht die geringste Ahnung was ein Rootkit ist oder tut, oder?
Sonst würdest du nicht solchen Unsinn schreiben...

Foxfire schrieb:
--------------------------------------------------------------------------------
> Du hast nicht die geringste Ahnung was ein Rootkit ist oder tut, oder?

Nein, aber wie es sich tarnt schon.

du weißt also wie sich etwas tarnt von dem du nicht weißt was es ist.

Du weißt also, was eine Wiederholung ist.

Aber er hat Recht,
Rootkits verwenden Methoden, um sich sowohl vor Anwendern, dem System und Antivirenlösungen zu verstecken.

Beispiel:
Wenn das System soweit modifizert ist, das der API-Aufruf zum Auflisten aller Dateien in einem Ordner die Datei "geheime_datei.txt" nicht mit als Ergebnis liefert, kann ein Virenscanner die Datei auch nicht entdecken, bzw. scannen.
Wenn jetzt die Antiviruslösung im RAW-Modus auf eine Platte zugreift, muss es sich nicht auf das Betriebssystem verlassen, kann den Virus also entdecken.
Mir ist kein unter Windows laufender NTFS Treiber, ausser der Windowseigene, bekannt, der sowas leistet (Anders sieht es da bei Linux aus).

hatschi schrieb:
--------------------------------------------------------------------------------
> Aber er hat Recht,
> Rootkits verwenden Methoden, um sich sowohl vor Anwendern, dem System und
> Antivirenlösungen zu verstecken.
>
> Beispiel:
> Wenn das System soweit modifizert ist, das der API-Aufruf zum Auflisten
> aller Dateien in einem Ordner die Datei "geheime_datei.txt" nicht mit als
> Ergebnis liefert, kann ein Virenscanner die Datei auch nicht entdecken,
> bzw. scannen.
> Wenn jetzt die Antiviruslösung im RAW-Modus auf eine Platte zugreift, muss
> es sich nicht auf das Betriebssystem verlassen, kann den Virus also
> entdecken.
> Mir ist kein unter Windows laufender NTFS Treiber, ausser der
> Windowseigene, bekannt, der sowas leistet (Anders sieht es da bei Linux
> aus).

Rootkit Unhooker kann das ebenfalls, obwohl er die NTFS Treiber des Systems nutzt.
Wer die Sysinternal Tools nutzt kann auch nachsehen was sich beim Start ins System hängt, das ist allerdings alles für Leute die sich auskennen.

Und bedingt hat er recht das ich über NTFS Funktionen wie Alternate Data Streams sich Prozesse wunderbar verstecken können. Da haben auch Virenscanner wenig Chance das zu entdecken, und die einfachste Methode die Malware zu finden ist einen Dump der angezeigten Dateien unter Windows zu erstellen und mit einem Dump der wirklichen Dateien unter einem Knoppix zu vergleichen. Schwierig wird es nur wenn ein Treiber komplett ersetzt wurde.

Allerdings nutzen Rootkits nicht nur die Möglichkeiten von NTFS aus, sondern oft auch die Debugging Funktion des Kernels um Speicher zu verändern und Treiber damit auszunutzen. Unter Linux läuft das unter ptrace attack, unter Windows weiß ich es nicht mehr, ich dachte aber das es eine ptrace implementation unter Windows gibt. Das überschreiben von Kernelspeicher dürfte damit auch möglich sein. Es gibt sogar Rootkits die die Originaldatei nicht verstecken sondern offen liegen lassen, aber den Zugriff zu verweigern, dann ist auch oben genannte mögichkeit nicht anwendbar. Bleibt ein Scan des Systems von einem Live System.

Es gibt etliche Kernelseitige und Filesystemseitige Funktionen die ich zum Verstecken meiner Programme nutzen kann. Was der angebliche Rootkit, der für den BoD verantwortlich sein soll, macht, müsste man nachlesen, aber das kann jeder für sich selbst.

Nachtrag:

Ich hab mir mal die Beschreibung angesehen und was steht dort:

--------------

When run, the infection is using a similar technique applied by MBR rootkit: all kernel mode and user mode components are stored to the last sectors of the hard drive, outside the file system. By doing so, they appear to be only raw bytes, bypassing every security check. Tdss rootkit bring this trick to a more advanced level, by encoding its components before they are written to the disk. Files are encoded and decoded on the fly.

Then, to be loaded at Windows startup, Tdss rootkit uses a technique we have seen applied by Rustock.C rootkit - and other rootkits like Neprodoor: infecting Windows system drivers. Tdss rootkit walks back the chain of drivers that handle hard drive I/O looking for last miniport driver object. When found, it infects driver's PE file by overwriting 824 bytes of the resource section. By doing so, it evades a simple check that some antirootkits usually use to detect hidden rootkits: file size cross check. Usually rootkits that infect files can hide their presence by showing the original file instead of the infected one. Antirootkits which are using raw disk reading techniques could read below the filter applied by these kind of rootkits and could cross check file sizes looking for discrepances.

--------------

Also kann man nur mit einem Offline System und Raw Scans den Rootkit feststellen. Hat in diesem Fall einfach nix mehr mit dem Dateisystem zu tun.

Erstmal vielen Dank für die Info;

Das hier muss aber net stimmen oder?;
"lso kann man nur mit einem Offline System und Raw Scans den Rootkit feststellen."

"Tdss rootkit bring this trick to a more advanced level, by encoding its components before they are written to the disk."

Wenn der noch ne "eigene" Verschlüsselung nimmt wirds irgendwann schwierig, oder hab ich was net verstanden?

Ja das is recht schwierig wenn er sich verschlüsselt. Allerdings müsste er ja irgendwo einen Key hinterlegen, das hab ich aus dem Text nicht lesen können.

Ein glück das ich kein Windows habe :)

Hat man den infizierten Treiber gefunden (und gelöscht) ist es ja wurst ob irgendwo noch verschlüsselte Rootkit-leichen rumliegen, denn die werden ja dann beim Systemstart nicht mehr geladen ...

Oder installieren das Rootkit nach... das ist auch der Grund warum man jemanden an den Rechner lassen sollte der weiß was er tut.

LordPinhead schrieb:
...
> Und bedingt hat er recht das ich über NTFS Funktionen wie Alternate Data
> Streams sich Prozesse wunderbar verstecken können. Da haben auch
> Virenscanner wenig Chance das zu entdecken,
...

Alternate Data Streams kann jeder Prozess lesen, der das will.

Es gab nur vor langer Zeit (und leider auch heute noch) Virenscanner, die die ADS einfach ignorier(t)en.
Prozesse können sich in ADS aber sowieso nicht verstecken, sondern nur Datei-Inhalte. Laufende Prozesse können nur im RAM existieren.