Hallo, wie findet man am besten heraus, ob ein PC mit einem Rootkit infiziert ist? Was macht man z.B., wenn ein verdächtiger Rechner nicht mehr hochfährt oder man die Befürchtung hat, dass die Schadsoftware aufgrund von cleveren Hooks nicht alles zu sehen bekommt? Natürlich säubere ich die Platte danach und installiere das System anschließend neu, es geht jetzt mehr um die Frage, wie man den Nachweis führt, ob bzw. womit ein System infiziert ist. Gibt es bootfähige Tools, die mehr als eine Signatur-Prüfung der auf Dateisystem-Ebene angezeigten Dateien durchführen? Es geht mir z.B. um MBR, PBR, versteckte oder als unbekannt angezeigte(UEFI-)Partitionen, abweichende Hash-Werte bei wichtigen System-Dateien und um ungewöhnliche Systemstart-Einträge(also vermutlich auf Registry-Ebene). Das alles per Hand zu machen ist dann doch etwas zu aufwändig, schätze ich. Es darf auch gerne etwas kosten, die CD sollte allerdings per Internet aktualisierbar sein(also nicht wie bei Avast jedes mal bescheuert ne neue brennen). Viele Grüße, Gerd
Gerd schrieb: > die CD sollte allerdings per Internet > aktualisierbar sein(also nicht wie bei Avast jedes mal bescheuert ne > neue brennen). Du erkennst den Widerspruch in deinem Satz?
>Du erkennst den Widerspruch in deinem Satz?
Ich erkenne nur, dass Du das Haar in der Suppe suchst.
Meine AV-Software (25€/Jahr für 2 PCs, im Mehrjahres-Abo weniger) macht stündlich Updates, soweit zur Erkennung von Viren, Rootkits etc nötig. Das Programm kann auch eine Linux-Version von sich selbst auf eine Boot-CD brennen, um damit unabhängig von der HDD eine AV-Prüfung durchzuführen. Das erhöht die Sicherheit, vermutl. gerade zwecks Prüfung auf Rootkits, dauert 40-50 Min. bei 120GB Daten auf der HDD.
Rootkits allgemein aufspüren mit GMER: http://www.gmer.net/ Modifizierten MBR erkennen: http://public.avast.com/~gmerek/aswMBR.htm Autostarts auflisten: http://technet.microsoft.com/de-de/sysinternals/bb963902.aspx Beachte, daß diese Tools dir zwar zeigen, was auf dem System los ist, die Wertung der Ergebnisse jedoch weitgehend dir überlassen bleibt. So muß ein nicht standardgemäßer MBR nicht zwangsläufig böse sein, sondern kann auch von OEM-Tools (z.B. Recovery) stammen. Das Gleiche gilt für Rootkit-Techniken, mit denen auch Nutzsoftware gelegentlich arbeitet, wie etwa AV-Software oder Diskemulatoren.
Gerd schrieb: > die CD sollte allerdings per Internet > aktualisierbar sein(also nicht wie bei Avast jedes mal bescheuert ne > neue brennen). Wieso hast du damit ein problem? Grundsätzlich ist es doch eher vorteilhaft, eine komplette CD vorliegen zu haben. Ansonsten hast du halt immer nachzulanden, und gegebenenfalls kein Internet zur Aktualisierung zur Hand. Wenn du Materialverschwendung befürchtest: Es gibt auch wiederbeschreibbare CD.
> sein(also nicht wie bei Avast jedes mal bescheuert ne >> neue brennen). 1.Es ist besser mehrere zu haben als eine kranke CD. 2.Nicht jedes Tool findet gleich jeden Fehler.
Die c't bringt jedes Jahr eine DVD raus, die bootbar ist und ein Linux startet das mittels RAM Disk übers Internet 3 Antiviren Scanner auf den neuesten Stand bringt und damit deinen Rechner komplett durchflöht. Kann je nach Intensität der Prüfung bis zu mehreren Stunden dauern.
Udo Schmitt schrieb: > Die c't bringt jedes Jahr eine DVD raus Ich will hier garkeine Diskussion drüber anfangen, welches Antiviren-Programm besser oder schlechter ist, aber c't kann natürlich ausschliesslich kostenlose Programme verbreiten. Georg
Georg schrieb: > aber c't kann natürlich > ausschliesslich kostenlose Programme verbreiten. Nein. Siehe http://de.wikipedia.org/wiki/Desinfec’t
kopfkratz Tja nun das kommt auf's rootkit selber an, wenn das als VM vor dem eigentlichem Betriebssystem startet hast Du mit lokaler Software keine Chance. Wenn's als Systemteil (Treiber, Dienst, Deamon) läuft kann man die Signatur/Hashwert erkennen und im Idealfalle direkt beenden um danach die Dateien auf der Platte zu löschen. Wirklich sicher ist nur ein Backup der wichtigsten Daten zu machen und den Rechner komplett neu aufzusetzen wobei die Platte alle Sektoren gelöscht bekommt bevor neu partitioniert und formatiert wird. Mit einem vermeintlich infizierten Rechner eine "Rettungs-CD" zu erstellen ist wie schon erwähnt kontraproduktiv. Also entweder zum nächsten Kiosk und dort eine Linuxzeitschrift mit Boot-CD holen oder mit einem sicheren Rechner das Image ziehen und schreiben. Es empfiehlt sich immer eine Notfall-CD oder USB-Stick griffbereit zu haben. Und auch die eigenen wichtigen Daten regelmäßig abzusichern ;-)
kopfkratzer schrieb: > Es empfiehlt sich immer eine Notfall-CD oder USB-Stick griffbereit zu > haben. Besser eine DVD, ein USB Stick ist erst mal per se beschreibbar und damit auch anfällig für Viren/Rootkits/etc. Selbst die mit Schribschutzschalter sind zum Teil trotzdem beschreibbar. Georg schrieb: > Ich will hier garkeine Diskussion drüber anfangen, welches > Antiviren-Programm besser oder schlechter ist, aber c't kann natürlich > ausschliesslich kostenlose Programme verbreiten. Ich hatte geschrieben 3 unterschiedliche Programme, und nein, die c't hat mit den Herstellern entsprechende Konditionen, das sind nicht nur kostenlose Versionen. Die DVD funktioniert auch nur ein Jahr, dann gibts ein Fehler wegen fehlender Lizenz, aber dann gibts auch ne neue DVD von der c't, schon seit vielen Jahren.
Wegstaben Verbuchsler schrieb: > Wenn du Materialverschwendung befürchtest: Es gibt auch > wiederbeschreibbare CD. Man kann das Image auch mit einem entsprechenden Programm auf einen USB-Stick schreiben - dann braucht man diese ganze CD-Scheiße nicht.
Udo Schmitt schrieb: > Diese DVD funktioniert auch nur ein Jahr, Nicht auf jeder Hardware mit wenig RAM od. speziellem Chipsatz läuft JEDES neue System. Ob diese DVD zufällig läuft, sollte man bei Gelegnheit testen.
Wenn auf einem PC ein Rootkit ist wird dort auch ab und an mal abgefragt. Meine idee um erst mal festzustellen ob, und wenn ja um was es sich da handeln kann: Zusätzlicher Laptop/PC -> Bekannter/Freund Brennt eine "Saubere" Kali linux für den rechner -> Laptop/PC wird im netzwerk verbunden -> "Man in The Middle" -> Daten Auswerten. Damit bekommt das Rootkit hoffentlich nichts mit und kann aufgrund der daten mit ein wenig glück identifiziert werden. Wenn der "Zielrechner" trotz "Inaktivität" also keine aktiven surfen oder spielen keine auffälligen verbindungen oder eventuell empfangene daten zeigt, war es wohl fehlalarm. Übrigens AV-Hersteller machen es mir infizierten systemen Ähnlich, um funktion und wirkungsweise von Schadsoftware zu erforschen. Das ist aber nur eine von vielen methoden. Disassembler und viele kluge köpfe fürs "Rückwärtsentwickeln" (Reverse Code Engineering) und mehr werden da eingesetzt. Ansonsten: Linux CD/DVD -> Plattmachen (Aber sauber!) -> Festplatte neu einrichten -> Installation :) Fertig! Mache ich sogar mit neuen Platten so. Vielleicht übertrieben, aber wieso nicht.
:
Bearbeitet durch User
Uhu Uhuhu schrieb: > Man kann das Image auch mit einem entsprechenden Programm auf einen > USB-Stick schreiben - dann braucht man diese ganze CD-Scheiße nicht. Nur dass man einem beschreibbaren Datentraeger eben in dieser Anwendung nicht soweit trauen kann, wie einem nicht beschreibbaren. wendelsberg
wendelsberg schrieb: > Nur dass man einem beschreibbaren Datentraeger eben in dieser Anwendung > nicht soweit trauen kann, wie einem nicht beschreibbaren. Wenn man vom Stick bootet, dann hat dessen Image entweder schon was mitgebracht, oder es passiert nichts, weil die Sauerei auf dem untersuchten System nicht die Kontrolle bekommt.
> weil die Sauerei auf dem untersuchten System nicht die Kontrolle bekommt.
Bootreihenfolge? Vor Jahren hatte ich auch ein durch SW versautes Bios.
Die Scan-CDs benutzen gerne Linux als Umgebung, aus der heraus Windows-Systeme gescannt werden. Dass der übliche Windows-Dreck dem Linux etwas anhaben kann, ist nicht sehr wahrscheinlich. Artenvielfalt hat eben nicht nur in der freien Natur ihre Vorteile...
Uhu Uhuhu schrieb: > Dass der übliche Windows-Dreck dem Linux etwas anhaben kann, ist nicht > sehr wahrscheinlich. Nee, um Linux zur Dreckschleuder zu machen, brauchts in der Tat kein Windows: http://www.heise.de/security/meldung/Akamai-warnt-vor-Linux-Server-Botnet-2344811.html
Icke ®. schrieb: > Nee, um Linux zur Dreckschleuder zu machen, brauchts in der Tat kein > Windows: Hättest du gelesen, worum es geht, hättest du nicht so einen Stuss abgelassen.
Uhu Uhuhu schrieb: > Hättest du gelesen, worum es geht, hättest du nicht so einen Stuss > abgelassen. Haben Eulenvögel gerade Balz oder ist der nachlassende Humor altersbedingt?
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.