In diesem VideoTutorial wird das Problem der Root-Kit Viren thematisiert indem angesprochen wird wie sich diese erfolgreich den Standard-Gegenmaßnahmen entziehen können.
Das Praxisvideo finden Sie hier: https://youtu.be/3XghNON5lAA
Rootkit Virus (Theorie)
Dieses interessante Video habe ich auf YouTube gefunden:
Könnten Antiviren-Programm dann nicht eine richtige Kopie der API für
Enum-Files selber mitbringen?
Wäre es somit möglich manuell nach Rootkits zu suchen indem man:
1. unter Windows alle Ordner/Dateien mit einem Befehl wie “tree” in eine
Datei schreibt
2. die Festplatte in ein ubuntu von einer Live-CD einbindet und einen
vergleichbaren Befehl ausführt
3. die Dateien vergleichen lässt
Dann dürften doch als Resultat unter einem der Systeme versteckte Dateien
erscheinen ?!
Ist das so machbar ??
sehr gutes viedeo like und favo von mir :)
Beim Kaspersky Anti-Virenprogramm gibt es eine seperate Suche zum Rootkit
aufzuspüren
Sie benutzen Linux als Hauptsystem, oder?
Nicht, solange sich die API nach einem bestimmten Muster ändern, und die
Calls der Parts dieses System kennen – kann man sich vorstellen wie ein
Schlüssel und ein Schloss, die sich immer nach dem gleichen Muster ändern ;)
Halt warte du the Celduin jetzt hab ichs kappiert :DD
das ist ja wie ein Retrovirus der seine eigene virale dna in die
wirtszellen-dna einschläust oO
Danke
SemperVideo kann das alles am besten erklären, echt super. :)
ist das nicht die verzeichnis struktur von DOS?
Die einzigen Fachbegriffe sind User-/Kernel-Mode (Google wird
überbewertet..). Den Rest habe ich erklärt, um die Zusammenhänge
klarzumachen. AV steht logischerweise für AntiVirus und der Explorer sollte
einem Windows User bekannt sein. Treiber sind ausführbare Dateien, die dir
von Hardware bekannt sein sollten (z.B. für Grafikkarten oder Tastaturen).
Die können aber eben nicht nur zur Hardware-Steuerung, sondern auch für
höherprivilegierte API-Aufrufe verwendet werden. APIs wurden ja erklärt.
Achso. Sag mal, wo ist denn die Signatur eigentlich? Im Treiber? Und die
wird also mit gecachten Schlüsseln auf dem Rechner überprüft? Aha.
Ja, man braucht einen signierten Treiber, den man dann ein wenig …
verbessert.
Kann man nicht einfachen checken ob die API Sprungadresse checken ob die
verändert wurde? Dann würde man doch auch mitbekommen ob ein Virus am Werk
ist, oder nicht?
5:40-6:00 rage!!! :D
Kaspersky Rescue Disc 10 ist gratis (; einfach mal danach googlen.
Ich weiß nicht, ob es so klug von Microsoft war, im Usermode wirklich diese
Mechanismen bereitzustellen. Treiber und sonstige Programme sollen mEn auch
nicht einfach in meinen Prozess schreiben können, was sie aber gerne mal
machen. Als Prozess hat man kaum einen Unterschied zwischen AV, V und
Treiber zu unterscheiden.
der zugriff auf system ressourcen, das abändern von systemfunktionen und
die verwendung von angeschlossenen geräten durch dritte sehe ich nicht als
ein erwünschtes verhalten.
Dankeschön :) Wollte das schon immer mal wissen
An der gesamten Theorie gibts aber ein Problem: 1. Ein AV ist nicht der
Explorer. Ein AV hat idR Treiber, die nicht im normalen User-Mode laufen,
sondern im privilegierten Kernel-Mode und von dort scannen. Damit das
Rootkit diese austricksen kann, muss es selbst im Kernel-Mode laufen. Da
kommen wir zum 2. Punkt: Seit Win7 gibt es dem PatchGuard, der die
Modifikation von APIs im Kernel-Mode verhindert. Es sind nur noch
eingeschränkt funktionelle User-Mode Rootkits möglich.
Ein Video darüber haben wir bereits online gestellt. Viele Grüße.
lol
Mobile geht nicht…
@MrPavianpopo kon-boot. bei 64 bit nur kostenlos bei rapi xD
Memory Rootkits schreiben sich im Arbeitsspeicher ein, der Arbeitsspeicher
wird aber beim herunterfahren des Computers geleehrt und somit die Datei
wieder sichtbar, da der Computer aber aus ist bringt das nicht viel. Wenn
Sie aber die Malware.exe im Autostart haben, wird sich das Rootkit beim
starten immer wieder neu in den Arbeitsspeicher schreiben. Aber ich glaube
nicht dass das ein Rootkit heutzutage noch macht, habe aber beim
Analysieren von Malware noch nie ein Rootkit solcher art gesehen.
Richtig Geil ;) Gefällt mir sehr gut, das Video ;)
ihr habt mal ein video gemacht mit dem man bestimmen kann welche peripherie
geräte den computer aus dem ruhezustand wecken darf. ich finde es nicht
mehr.
Ja, Hooks sehen üblicherweise sehr charakteristisch aus.
Werden Sie dann eigentlich die alten Videos zum Thema Root-Kit vom Kanal
löschen?