Rootkit Virus (Theorie)

In diesem VideoTutorial wird das Problem der Root-Kit Viren thematisiert indem angesprochen wird wie sich diese erfolgreich den Standard-Gegenmaßnahmen entziehen können.

Das Praxisvideo finden Sie hier: https://youtu.be/3XghNON5lAA




31 Kommentare zu “Rootkit Virus (Theorie)”

  1. Wäre es somit möglich manuell nach Rootkits zu suchen indem man:

    1. unter Windows alle Ordner/Dateien mit einem Befehl wie “tree” in eine
    Datei schreibt

    2. die Festplatte in ein ubuntu von einer Live-CD einbindet und einen
    vergleichbaren Befehl ausführt

    3. die Dateien vergleichen lässt

    Dann dürften doch als Resultat unter einem der Systeme versteckte Dateien
    erscheinen ?!

    Ist das so machbar ??

  2. Nicht, solange sich die API nach einem bestimmten Muster ändern, und die
    Calls der Parts dieses System kennen – kann man sich vorstellen wie ein
    Schlüssel und ein Schloss, die sich immer nach dem gleichen Muster ändern ;)

  3. Die einzigen Fachbegriffe sind User-/Kernel-Mode (Google wird
    überbewertet..). Den Rest habe ich erklärt, um die Zusammenhänge
    klarzumachen. AV steht logischerweise für AntiVirus und der Explorer sollte
    einem Windows User bekannt sein. Treiber sind ausführbare Dateien, die dir
    von Hardware bekannt sein sollten (z.B. für Grafikkarten oder Tastaturen).
    Die können aber eben nicht nur zur Hardware-Steuerung, sondern auch für
    höherprivilegierte API-Aufrufe verwendet werden. APIs wurden ja erklärt.

  4. Kann man nicht einfachen checken ob die API Sprungadresse checken ob die
    verändert wurde? Dann würde man doch auch mitbekommen ob ein Virus am Werk
    ist, oder nicht?

  5. Ich weiß nicht, ob es so klug von Microsoft war, im Usermode wirklich diese
    Mechanismen bereitzustellen. Treiber und sonstige Programme sollen mEn auch
    nicht einfach in meinen Prozess schreiben können, was sie aber gerne mal
    machen. Als Prozess hat man kaum einen Unterschied zwischen AV, V und
    Treiber zu unterscheiden.

  6. der zugriff auf system ressourcen, das abändern von systemfunktionen und
    die verwendung von angeschlossenen geräten durch dritte sehe ich nicht als
    ein erwünschtes verhalten.

  7. An der gesamten Theorie gibts aber ein Problem: 1. Ein AV ist nicht der
    Explorer. Ein AV hat idR Treiber, die nicht im normalen User-Mode laufen,
    sondern im privilegierten Kernel-Mode und von dort scannen. Damit das
    Rootkit diese austricksen kann, muss es selbst im Kernel-Mode laufen. Da
    kommen wir zum 2. Punkt: Seit Win7 gibt es dem PatchGuard, der die
    Modifikation von APIs im Kernel-Mode verhindert. Es sind nur noch
    eingeschränkt funktionelle User-Mode Rootkits möglich.

  8. Memory Rootkits schreiben sich im Arbeitsspeicher ein, der Arbeitsspeicher
    wird aber beim herunterfahren des Computers geleehrt und somit die Datei
    wieder sichtbar, da der Computer aber aus ist bringt das nicht viel. Wenn
    Sie aber die Malware.exe im Autostart haben, wird sich das Rootkit beim
    starten immer wieder neu in den Arbeitsspeicher schreiben. Aber ich glaube
    nicht dass das ein Rootkit heutzutage noch macht, habe aber beim
    Analysieren von Malware noch nie ein Rootkit solcher art gesehen.

Schreibe einen Kommentar