Zählen ADS auch als Rootkit?

Man stelle sich vor, man kann in der Eingabeaufforderung auf einem NTFS-Laufwerk sowas da machen:

copy boeserCode.exe %windir%\notepad.exe:boese.exe

Und dann mit einem Run-Eintrag in der Registry diese im ADS von notepad.exe sitzende boese.exe aufrufen. Nur man sieht sie nicht im Explorer oder sonstigen Explorern, die keine ADS anzeigen...

Zählt das auch als Rootkit?

Grüße,
-mARKUS, der Symantec-Produkte generell meidet

Hi!

Nein tun sie nicht, weil gute Virenscanner auch die Alternate Data Streams durchsuchen.

Gruss

mbirth schrieb:
-------------------------------------------------------
> Man stelle sich vor, man kann in der
> Eingabeaufforderung auf einem NTFS-Laufwerk sowas
> da machen:
>
> copy boeserCode.exe
> %windir%\notepad.exe:boese.exe
>
> Und dann mit einem Run-Eintrag in der Registry
> diese im ADS von notepad.exe sitzende boese.exe
> aufrufen. Nur man sieht sie nicht im Explorer oder
> sonstigen Explorern, die keine ADS anzeigen...
>
> Zählt das auch als Rootkit?
>
> Grüße,
> -mARKUS, der Symantec-Produkte generell
> meidet
>

Tipp schrieb:
-------------------------------------------------------
> Nein tun sie nicht, weil gute Virenscanner auch
> die Alternate Data Streams durchsuchen.

Mittlerweile sollte das aber auch für nicht-über-das-Windows-API-erreichbare Dateien gelten...

Grüße,
-mARKUS

Nein, da "Rootkit" ein fester Begriff ist für Werkzeuge, die es einem Angreifer ermöglichen, seine Logins und Veränderungen an einem System für das Betriebsystem unsichtbar zu machen. Siehe auch:
http://de.wikipedia.org/wiki/Rootkit
ADS ist einfach nur ein Feature des Dateisystems.





Bis die Tage,

KK

----------------------------------------------------------
Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
(Epikur, griech. Phil., 341-270 v.Chr.)
----------------------------------------------------------
We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

Markus Birth schrieb:
> > Nein tun sie nicht, weil gute Virenscanner
> auch
> die Alternate Data Streams durchsuchen.
>
> Mittlerweile sollte das aber auch für
> nicht-über-das-Windows-API-erreichbare Dateien
> gelten...

Nun ja ... das Thema ist erst in den letzen Wochen aktuell geworden. Es hat ewig gedauert bis die AV Hersteller die ADS mit scannen konnten. Von daher würde ich da mal nicht so viel Hoffnung reinlegen.
Zudem kommt es auf die Art und Weise an, denn an der API vorbei kann so viele Varianten haben, dass die AV eigentlich über DirectIO und Filesystemtreiber checken müssten ....
Die Welt ist halt doch immer irgendwie böse ....