Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Rootkit-Scanner - gleiche Ergebnisse bei x86 und x64 ?

Mitglied: nor

Findet ein Scan unter x86 ein durch einen Rootkit infiziertes x64-Sytem?

Da fast alle Rootkit-Scanner ausschließlich auf 32-Bit-Rechnern laufen und ich noch keinen funktionierenden für x64 gefunden habe, wollte ich einen Scan im 32-Bit ausführen.

Würden dieser Scan auch bemerken, dass das x64-System kompromittiert wurden ist?
Sind zB die ADS' einer Datei für x86 und x64 gleich? Oder greifen sie auf Unterschiedliche zu? (Laufwerkszuweisungen auf den Systemen sind verschieden.)

Danke & MfG
nor

Content-Key: 67423

Url: https://administrator.de/contentid/67423

Ausgedruckt am: 20.10.2021 um 21:10 Uhr

Mitglied: gnarff
gnarff 29.08.2007 um 20:07:25 Uhr
Goto Top
Hallo nor!

1. Zunächst einmal, ein Rootkit der auf ein 64bit OS aufsetzt, wird sich nicht durch einen Scanner fesstellen lassen, der eine 32bit Umgebung voraussetzt.

2. Rootkitscanner machen nicht sehr viel Sinn, da ein solches Produkt ja den Rechner in vollem Betrieb untersucht, d.h. der Rootkit ist aktiv und tut das, was er u.A. zu tun hat - er verbirgt sich.

3. Um Rootkits festzustellen, wenn man es dann schon unbedingt mit einem Scanner machen will anstatt von Hand, sollte man von einem Live-On system booten und von dort den Scanner ausfuehren.

4. Rootkitscanner derzeit sind imho ein lustiges Spielzeug fuer die, die glauben Ihr OS wuerde dadurch sicherer werden. Unausgereifter Mist, der das Geld nicht wert ist.

5. Rootkitscanner gibt es auch fuer 64bit Betriebssysteme (stabile Versionen):
a. UnHackMe 4.0
b. hookanalyzer
c. F-Secure Blacklight

saludos
gnarff
Mitglied: nor
nor 29.08.2007 um 20:45:37 Uhr
Goto Top
1. Zunächst einmal, ein Rootkit der auf ein 64bit OS aufsetzt, wird sich nicht durch einen Scanner fesstellen lassen, der eine 32bit Umgebung voraussetzt.
Sowas in der Art hab ich mir gedacht.
2. Rootkitscanner machen nicht sehr viel Sinn, da ein solches Produkt ja den Rechner in vollem Betrieb untersucht, d.h. der Rootkit ist aktiv und tut das, was er u.A. zu tun hat - er verbirgt sich.
Hm, soweit ja klar. Da aber das x64 das Arbeitssystem ist und das x86 nur zu Reparaturzwecken verwendet wird, müsste es doch ähnlich funktionieren. However, die Daten könnten trotzdem befallen sein.
3. Um Rootkits festzustellen, wenn man es dann schon unbedingt mit einem Scanner machen will anstatt von Hand, sollte man von einem Live-On system booten und von dort den Scanner ausfuehren.
Per Hand ? Kannst du das erläutern? Tutorial?
Reicht Knoppix oder muss es Backtrack2 sein ?! ;)
4. Rootkitscanner derzeit sind imho ein lustiges Spielzeug fuer die, die glauben Ihr OS wuerde dadurch sicherer werden. Unausgereifter Mist, der das Geld nicht wert ist.
Hm, hab nur Freeware-Tools verwendet, aber die meisten funktionierten ja sowieso nicht.
Auch wenn diese Tools sinnfrei scheinen, werde ich sie trotzdem mal laufen lassen, bis ich schlauer bin.
saludos gnarff
Danke ! MfG
nor
Mitglied: gnarff
gnarff 29.08.2007 um 23:31:27 Uhr
Goto Top
Hallo nor!
Per Hand ? Kannst du das erläutern?
Tutorial?
Reicht Knoppix oder muss es Backtrack2 sein
?! ;)
Erlaeutern, oder gar ein Tutorial dazu schreiben, dass ist mir ehrlich gesagt zuviel Arbeit. Ich kann Dir allerdings ein paar Hinweise zu Dokumenten geben, die Dir das Basiswissen hierzu vermitteln und - solltest Du wirklich Interesse daran haben- Dir den Einstieg in die Materie vereinfachen.
Da ware zunaechst:
Detecting and Understading rootkits von Arturo Alberto Busleiman

Linux Kernel Rootkits v.1.0 von Rainer Wichmann, Kapitel 4.

Analysis of Rootkits: Attack Approaches and Detection Mechanisms von Alkesh Shah, Georgia Institute of Technology

Detecting Kernel-Level Rootkits Through Binary Analysis
von C. Kruegel, TU Wien und William Robertson, Giovanni Vigna UCSB.

Ich wuerde Helix benutzen.

saludos
gnarff
Mitglied: nor
nor 30.08.2007 um 16:58:30 Uhr
Goto Top
Danke für die Links! Hab sie schonmal quer gelesen, ausführlich kommt später. Sind alle für Unix/Linux, aber die Methoden müssten ja gleich sein. Leider beschränken sich meine Linux-Kenntnisse noch auf das Nötigste, aber ich arbeite daran :) face-smile

MD5-Checks:
Wenn eine Systemdatei (zB winsock.dll) kompromittiert ist, müsste ich es anhand einer Überprüfung der MD5 herrausbekommen. Da windowsupdate die Angewohnheit hat, alle möglichen Dateien zu ändern, könnte also die MD5 meiner Datei anders sein als die eines frisch augesetzten Systems.
Gibt es eine Liste von MS mit aktuellen MD5-Summen aller kritischen Systemdateien?

LKMs:
Wenn also ein SysCall auf X erfolgt, und er auf Y landet, wäre mein System infiziert? Oder wird er von X auf Y und dann auf X geleitet ?

mfg nor
Mitglied: gnarff
gnarff 31.08.2007 um 05:11:52 Uhr
Goto Top
Hallo nor!

Gibt es eine Liste von MS mit aktuellen
MD5-Summen aller kritischen Systemdateien?

Du wirst doch wohl nicht glauben, das MS eine solche Liste veroeffentlicht, noch dazu gratis, das koennte man ja schon fast Service nennen..
Folgende Moeglichkeiten hast Du:
MD5 Reverselookups
1. http://md5.crysm.net/
2. http://md5.benramsey.com/
3. http://www.xmd5.cn/index_en.htm
Ich benutze oft und gerne dei MD5 Database von shalla.de
4. http://md5.shalla.de/cgi-bin/index.cgi

Dem Rest Deiner Frage koennen wir uns morgen widmen, gute Nacht!

saludos
gnarff
Heiß diskutierte Beiträge
question
Neuinstallation NetzwerkBurQueVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hallo ich hab die Aufgabe bekommen ein Netzwerk in einem neuen Gebäude einzurichten bzw. mir dazu Gedanken zu machen. Raumsituation. Im Keller steht ein Serverschrank ...

question
WLAN Lösung für Gästehaus Vereinjohannes-meyerVor 1 TagFrageLAN, WAN, Wireless10 Kommentare

Hallo, ich betreue die IT eines Vereins, der zwei Gebäude mit Gästebetrieb betreibt. Es sind regelmäßig an die 30 bis 50 Geräte verbunden. Ich hab ...

question
Multi-WAN-Netzwerk fürs StudentenwohnheimHutzeljaegerVor 1 TagFrageLAN, WAN, Wireless17 Kommentare

Hallo allerseits. Für die Internetversorgung unseres Studentenwohnheims muss ich nun sehen, dass ich eine kostengünstige Lösung eines Multi-WAN Netzwerks hinbekomme, wohl am besten per Multi-WAN-Bonding. ...

question
IT Dienstleister und VPN ZugangEduard.DVor 6 StundenFrageZusammenarbeit25 Kommentare

Hallo zusammen, ich habe eine Frage zu einem Thema welches viele Unternehmen betrifft und ich bin neugierig wie andere dies gelöst haben. Ich bin mir ...

question
RDP funktioniert auf 2 Monitoren, nicht aber auf 3spufi77Vor 1 TagFrageWindows 109 Kommentare

Hallo ich habe meinen Laptop über eine DockingStation USB-C an zwei Monitore angeschlossen. Wenn ich nun eine RDP Verbindung aufbaue, bekomme ich die trotz Haken ...

question
Arbeitsordnern Beine machen? gelöst dertowaVor 1 TagFrageWindows Netzwerk1 Kommentar

Hallo zusammen, mein HomeLab lässt mich leider noch nicht los. Nachdem ich gestern Abend soweit erfolgreich war und nach einer Test-VM mein Notebook umgestellt habe ...

question
Drei Fragen zum Internet Explorer gelöst UserUWVor 1 TagFrageWebbrowser4 Kommentare

1) Der IE lässt sich unter Windows 10 deaktivieren, aber nicht physisch deinstallieren. Heißt das, dass IE-Funktionalitäten "unter der Haube" auch von Windows 10 genutzt ...

question
PowerEdge T640 Server (ESXi) mit "normalen" SSDs erweitern?ralfiiiVor 1 TagFrageServer-Hardware6 Kommentare

Ìch habe einen PowerEdge T640 Server. Die von Dell angebotenen Festplatten sind ja absurd teuer (ich nehme mal an spezielle Serverhardware, robust etc), da hab ...