---

stl_s kender du en side/link hvor man
kan få detaljeret info og værktøjer der handler om rootkis's,jeg kan godt klare alt andet der handler om sikkerhed hj o.s.v o.s.v,men vil gerne sætte mig ind i fænomenet rootkit og det's væsen,fordi det vil blive en større og større trussel i fremtiden.

jeg ville jo nok selv kunne finde nogle sider der
handler om emnet,men jeg tænkte at du måske kender en
rigtig god en af slaksen.

Kender godt Sysinternals/side's RootkitRevealer men den
giver kun hint's om mulige rootkits,den fjerner
ikke rootkit's,så vidt jeg kan læse mig til.

En side der kun handler om rootkit's ville være perfekt.

Manse9933

---

Hej Manse

Der er denne http://www.rootkit.com/ som nok er den bedste ressource om rootkits.

Jeg mener nu også at Sysinternals forum er udmærket. I trådene finder du både dem som laver rootkitsene, og dem der bekæmper dem, og de dyster på livet løs der. Jeg bruger den jævnligt, til at holde mig opdateret omkring hvilke værktøjer der pt finder de forskellige rootkits.

Castlecops har lavet en udmærket side her http://wiki.castlecops.com/Rooting_Out_the_Dangers:_Rootkit_Removal_for_Beginners

På dansk er der Ejvinds forum http://www.ejvindh.net/

Ejvind kender du sikkert som medlem af Team Spywarefri. Han er nok den danske malware supporter, som er mest inde i problematikkerne omkring rootkits. Han har iøvrigt lige fået international anerkendelse af et værktøj til fjernelse af Rustock.B rootkittet, som pt bliver lagt ind af MSN ormen.

---

Jeg browsede lid rudt en dag i regedit og fandt denne
nøgle
HKEY_LOCAL_MACHINE\SECURITY
og undrede mig over hvorfor der ikke var nogle under nøgler så gav jeg mig selv Admin rettighedder til SECURITY og fnadt ud af der var en hulens masse under nøgler der var usynlige og undersøgte en masse af disse
under nøgler og kom frem til denne nøgle>
HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets og
fandt ud af at mange af disse nøgler havde
ugyldig DWORD-værdi og binær værdi null og tænkte
så at det må da være det perfekte sted for rootkit's
at skjule deres registreringer,disse forskællige nøgleer
kan ikke slettes,kender du dette fænomen.

Det fik mig til at tænke,det er sku uhyggeligt når
der er registreringer i regedit man ikke har kontrol over
og ikke bliver vist som standart,jeg syntes jeg har læst
et eller sted om en regedit editor som kan læse disse
nøgler(lange navne i nøgle navnet som win regedit ikke kan se/læse)kender du dette program?nu vil jeg
tilbunds i mysteriet og finde ud af hvad programmer og
microblød gemmer for mine snagende øjne

Tak for links,venter lidt med at lukke.

Manse9933

---

Den "secrets" nøgle er en spøgefuld en. Den gemmer bla på passwords, og det siges også den gemmer på ting omkring aktivering, eller mangel på samme, af Windows.

Dette lille værktøj kan afsløre hemmelighederne http://www.nirsoft.net/utils/lsa_secrets_view.html

Jeg har ikke hørt om at den bliver misbrugt af rootkits, da disse bruger drivere og API hooks som metode, og det er ikke der det foregår. Men den BLIVER misbrugt af malware, så jeg vil da kun anbefale dig IKKE at have admin rettigheder på den .

Jeg mener at denne kan læse lange nøgler, men er ikke sikker http://www.resplendence.com/reglite

Der er også en gratis version af den.

---

Tak for svaret stl_s.
Nej jeg fjerner rettighederne hver gang jeg har været inde og snuse,er klar over det må være en sikkerheds
zone/område som skal skjules for uvedkommende,jeg
undre mig bare over ugyldig DWORD-værdier og binær værdi null,det giver mig ingen logisk mening men jeg er på
jobbet og hælmer ikke før jeg har fundet logikken i fænomenet.

Tak for hjælpen.

Hygge
Manse9933

---

Tjaeh, det lyder nu mærkeligt med de værdier . Kunne være jeg lige skulle få kigget på mine egne.

---

okay,lad hører vis du kommer frem til noget ineteresant.

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.