1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Windows-XP-Bluescreen nach…

Mit FAT32 hätte das Rootkit kaum eine Chance

  1. Thema

Neues Thema


  1. Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: OJet 15.02.10 - 11:17

    Mit dem Dateisystem FAT32 hätte das Rootkit kaum eine Chance gehabt sich erfolgreich einzunisten, da sich die Aktivität eines Rootkits dort nicht verschleiern läßt. Aber nee, es muß ja NTFS sein, weil es angeblich viel sicherer ist.

  2. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: Foxfire 15.02.10 - 11:36

    Du hast nicht die geringste Ahnung was ein Rootkit ist oder tut, oder?
    Sonst würdest du nicht solchen Unsinn schreiben...

  3. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: OJet 15.02.10 - 11:46

    Foxfire schrieb:
    --------------------------------------------------------------------------------
    > Du hast nicht die geringste Ahnung was ein Rootkit ist oder tut, oder?

    Nein, aber wie es sich tarnt schon.

  4. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: MESH 15.02.10 - 12:08

    du weißt also wie sich etwas tarnt von dem du nicht weißt was es ist.

  5. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: OJet 15.02.10 - 12:13

    Du weißt also, was eine Wiederholung ist.

  6. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: hatschi 15.02.10 - 12:27

    Aber er hat Recht,
    Rootkits verwenden Methoden, um sich sowohl vor Anwendern, dem System und Antivirenlösungen zu verstecken.

    Beispiel:
    Wenn das System soweit modifizert ist, das der API-Aufruf zum Auflisten aller Dateien in einem Ordner die Datei "geheime_datei.txt" nicht mit als Ergebnis liefert, kann ein Virenscanner die Datei auch nicht entdecken, bzw. scannen.
    Wenn jetzt die Antiviruslösung im RAW-Modus auf eine Platte zugreift, muss es sich nicht auf das Betriebssystem verlassen, kann den Virus also entdecken.
    Mir ist kein unter Windows laufender NTFS Treiber, ausser der Windowseigene, bekannt, der sowas leistet (Anders sieht es da bei Linux aus).

  7. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: LordPinhead 15.02.10 - 12:43

    hatschi schrieb:
    --------------------------------------------------------------------------------
    > Aber er hat Recht,
    > Rootkits verwenden Methoden, um sich sowohl vor Anwendern, dem System und
    > Antivirenlösungen zu verstecken.
    >
    > Beispiel:
    > Wenn das System soweit modifizert ist, das der API-Aufruf zum Auflisten
    > aller Dateien in einem Ordner die Datei "geheime_datei.txt" nicht mit als
    > Ergebnis liefert, kann ein Virenscanner die Datei auch nicht entdecken,
    > bzw. scannen.
    > Wenn jetzt die Antiviruslösung im RAW-Modus auf eine Platte zugreift, muss
    > es sich nicht auf das Betriebssystem verlassen, kann den Virus also
    > entdecken.
    > Mir ist kein unter Windows laufender NTFS Treiber, ausser der
    > Windowseigene, bekannt, der sowas leistet (Anders sieht es da bei Linux
    > aus).

    Rootkit Unhooker kann das ebenfalls, obwohl er die NTFS Treiber des Systems nutzt.
    Wer die Sysinternal Tools nutzt kann auch nachsehen was sich beim Start ins System hängt, das ist allerdings alles für Leute die sich auskennen.

    Und bedingt hat er recht das ich über NTFS Funktionen wie Alternate Data Streams sich Prozesse wunderbar verstecken können. Da haben auch Virenscanner wenig Chance das zu entdecken, und die einfachste Methode die Malware zu finden ist einen Dump der angezeigten Dateien unter Windows zu erstellen und mit einem Dump der wirklichen Dateien unter einem Knoppix zu vergleichen. Schwierig wird es nur wenn ein Treiber komplett ersetzt wurde.

    Allerdings nutzen Rootkits nicht nur die Möglichkeiten von NTFS aus, sondern oft auch die Debugging Funktion des Kernels um Speicher zu verändern und Treiber damit auszunutzen. Unter Linux läuft das unter ptrace attack, unter Windows weiß ich es nicht mehr, ich dachte aber das es eine ptrace implementation unter Windows gibt. Das überschreiben von Kernelspeicher dürfte damit auch möglich sein. Es gibt sogar Rootkits die die Originaldatei nicht verstecken sondern offen liegen lassen, aber den Zugriff zu verweigern, dann ist auch oben genannte mögichkeit nicht anwendbar. Bleibt ein Scan des Systems von einem Live System.

    Es gibt etliche Kernelseitige und Filesystemseitige Funktionen die ich zum Verstecken meiner Programme nutzen kann. Was der angebliche Rootkit, der für den BoD verantwortlich sein soll, macht, müsste man nachlesen, aber das kann jeder für sich selbst.

  8. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: LordPinhead 15.02.10 - 12:53

    Nachtrag:

    Ich hab mir mal die Beschreibung angesehen und was steht dort:

    --------------

    When run, the infection is using a similar technique applied by MBR rootkit: all kernel mode and user mode components are stored to the last sectors of the hard drive, outside the file system. By doing so, they appear to be only raw bytes, bypassing every security check. Tdss rootkit bring this trick to a more advanced level, by encoding its components before they are written to the disk. Files are encoded and decoded on the fly.

    Then, to be loaded at Windows startup, Tdss rootkit uses a technique we have seen applied by Rustock.C rootkit - and other rootkits like Neprodoor: infecting Windows system drivers. Tdss rootkit walks back the chain of drivers that handle hard drive I/O looking for last miniport driver object. When found, it infects driver's PE file by overwriting 824 bytes of the resource section. By doing so, it evades a simple check that some antirootkits usually use to detect hidden rootkits: file size cross check. Usually rootkits that infect files can hide their presence by showing the original file instead of the infected one. Antirootkits which are using raw disk reading techniques could read below the filter applied by these kind of rootkits and could cross check file sizes looking for discrepances.

    --------------

    Also kann man nur mit einem Offline System und Raw Scans den Rootkit feststellen. Hat in diesem Fall einfach nix mehr mit dem Dateisystem zu tun.

  9. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: RaiseLee 15.02.10 - 13:06

    Erstmal vielen Dank für die Info;

    Das hier muss aber net stimmen oder?;
    "lso kann man nur mit einem Offline System und Raw Scans den Rootkit feststellen."

    "Tdss rootkit bring this trick to a more advanced level, by encoding its components before they are written to the disk."

    Wenn der noch ne "eigene" Verschlüsselung nimmt wirds irgendwann schwierig, oder hab ich was net verstanden?

  10. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: LordPinhead 15.02.10 - 15:04

    Ja das is recht schwierig wenn er sich verschlüsselt. Allerdings müsste er ja irgendwo einen Key hinterlegen, das hab ich aus dem Text nicht lesen können.

    Ein glück das ich kein Windows habe :)

  11. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: akolyte 16.02.10 - 02:29

    Hat man den infizierten Treiber gefunden (und gelöscht) ist es ja wurst ob irgendwo noch verschlüsselte Rootkit-leichen rumliegen, denn die werden ja dann beim Systemstart nicht mehr geladen ...

  12. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: SpokV 16.02.10 - 06:09

    Oder installieren das Rootkit nach... das ist auch der Grund warum man jemanden an den Rechner lassen sollte der weiß was er tut.

  13. Re: Mit FAT32 hätte das Rootkit kaum eine Chance

    Autor: titrat 16.02.10 - 11:54

    LordPinhead schrieb:
    ...
    > Und bedingt hat er recht das ich über NTFS Funktionen wie Alternate Data
    > Streams sich Prozesse wunderbar verstecken können. Da haben auch
    > Virenscanner wenig Chance das zu entdecken,
    ...

    Alternate Data Streams kann jeder Prozess lesen, der das will.

    Es gab nur vor langer Zeit (und leider auch heute noch) Virenscanner, die die ADS einfach ignorier(t)en.
    Prozesse können sich in ADS aber sowieso nicht verstecken, sondern nur Datei-Inhalte. Laufende Prozesse können nur im RAM existieren.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Software Architekt*in Java Application Software (w/m/d)
    Hensoldt, Ulm
  2. Leiter*in kaufmännische IT (m/w/d)
    Kreis Segeberg, Bad Segeberg
  3. Informatikerin / Informatiker für Verwaltungsanwendungen (m/w/d)
    Bundesanstalt für Geowissenschaften und Rohstoffe, Hannover
  4. Mitarbeiter*in im IT-Support (m/w/d)
    Fraunhofer-Institut für Zelltherapie und Immunologie IZI, Leipzig

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. ab 29,99€
  2. basierend auf Verkaufszahlen
  3. 12,24€ (UVP 34,99€) - günstig wie nie!


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dune & Children of Dune: Zwei Miniserien für die ersten drei Wüstenplanet-Romane
Dune & Children of Dune
Zwei Miniserien für die ersten drei Wüstenplanet-Romane

Vor 20 Jahren gab es bereits eine Fortsetzung von Dune. Wer nicht auf Villeneuves nächste Filme warten will, kann jetzt zum Wüstenplaneten aufbrechen.
Von Peter Osteried

  1. Battlestar Galactica Der Reboot hat einen neuen Showrunner
  2. Serienschöpfer MacFarlane "The Orville ist nicht tot"
  3. Titel für erstes Spin-off bekannt Dreharbeiten für Doctor-Who-Ableger starten im März

Softwareentwicklung: Scrum-Abenteuer auf der grünen Wiese
Softwareentwicklung
Scrum-Abenteuer auf der grünen Wiese

Wie wir anderthalb Jahre lang im Greenfield-Projekt Scrum versuchten, über Bord warfen und völlig deformierten - um dann zu erkennen, dass wir es lebten.
Ein Erfahrungsbericht von Rene Koch

  1. Scrum of Scrums Ein leichtgewichtiges agiles Framework

Vor 25 Jahren im Fernsehen: Als Stargate SG-1 nach Deutschland kam
Vor 25 Jahren im Fernsehen
Als Stargate SG-1 nach Deutschland kam

Vor 25 Jahren startete Stargate SG-1 hierzulande und entwickelte sich vom Fleck weg zum Erfolg - auch ohne die Crew des ebenfalls erfolgreichen Kinofilms.
Von Peter Osteried

  1. Das zweite Remake Nach 1958 und 1988 kehrt der Blob zurück
  2. Science-Fiction-Film Baby to Go ist die Light-Version von Black Mirror
  3. Science Fiction George Lucas wollte Doctor-Who-Macher für Star-Wars-Serie