/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Afsløring af Rootkits
Fra : Jan Bruun Andersen


Dato : 01-02-09 12:19

Kent Friis Skriver:

'Ikke et root-kit. Et root-kit der er lavet rigtigt KAN ikke findes
uden enten et boot-medie eller en ekstern enhed der detecterer
netværkstrafik.'

Mit spørgsmål:

Hvordan fremstiller man et effektivt bootmedie mhp afsløring af Rootkits?

Har såvel XP som Vista PC'er og eksterne DVD og Floppy drev.

Bruger Rootkit Revealer fra Sysinternals og gmer. Måske findes der bedre.

Har ikke mistanke om Rootkit på mine maskiner, men jeg synes spørgsmålet
har almen interesse, så hvis nogen af de dygtige herrer kunne give en
kort beskrivelse eller et godt link hertil ville det være fint.

Jan


 
 
Kent Friis (01-02-2009)
Kommentar
Fra : Kent Friis


Dato : 01-02-09 14:46

Den Sun, 1 Feb 2009 12:18:32 +0100 skrev Jan Bruun Andersen:
> Kent Friis Skriver:
>
> 'Ikke et root-kit. Et root-kit der er lavet rigtigt KAN ikke findes
> uden enten et boot-medie eller en ekstern enhed der detecterer
> netværkstrafik.'
>
> Mit spørgsmål:
>
> Hvordan fremstiller man et effektivt bootmedie mhp afsløring af Rootkits?
>
> Har såvel XP som Vista PC'er og eksterne DVD og Floppy drev.
>
> Bruger Rootkit Revealer fra Sysinternals og gmer. Måske findes der bedre.
>
> Har ikke mistanke om Rootkit på mine maskiner, men jeg synes spørgsmålet
> har almen interesse, så hvis nogen af de dygtige herrer kunne give en
> kort beskrivelse eller et godt link hertil ville det være fint.

Det er det sædvanlige problem med "known bad" scanning, man er
afhængig af at det root-kit der er på maskinen er kendt af det
program man bruger.

Nogen systemer giver mulighed for en "known good" scanning, hvor der
i stedet bliver checket om alle system-relaterede filer er som
da de blev installeret. Fx. skulle de fleste package-managers på
Linux kunne gøre dette. Men om noget lingnende findes til XP/Vista
er nok tvivlsomt.

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

Root Kit (01-02-2009)
Kommentar
Fra : Root Kit


Dato : 01-02-09 16:55

On 01 Feb 2009 13:45:59 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Det er det sædvanlige problem med "known bad" scanning, man er
>afhængig af at det root-kit der er på maskinen er kendt af det
>program man bruger.

Known-good og known-bad scanning er heldigvis ikke den eneste måde at
søge rootkits på.

Peter Larsen (05-02-2009)
Kommentar
Fra : Peter Larsen


Dato : 05-02-09 22:54

Kent Friis <nospam@nospam.invalid> wrote:

> Nogen systemer giver mulighed for en "known good" scanning, hvor der
> i stedet bliver checket om alle system-relaterede filer er som
> da de blev installeret. Fx. skulle de fleste package-managers på
> Linux kunne gøre dette. Men om noget lingnende findes til XP/Vista
> er nok tvivlsomt.

sfc

> Mvh
> Kent

Med venlig hilsen

Peter Larsen




Kent Friis (06-02-2009)
Kommentar
Fra : Kent Friis


Dato : 06-02-09 18:59

Den Thu, 5 Feb 2009 22:53:43 +0100 skrev Peter Larsen:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Nogen systemer giver mulighed for en "known good" scanning, hvor der
>> i stedet bliver checket om alle system-relaterede filer er som
>> da de blev installeret. Fx. skulle de fleste package-managers på
>> Linux kunne gøre dette. Men om noget lingnende findes til XP/Vista
>> er nok tvivlsomt.
>
> sfc

Jeg fandt en beskrivelse på http://support.microsoft.com/kb/310747

Det er uklart hvorvidt den kan gøre fra en boot-CD. Det er en
nødvendighed, hvis man skal kunne stole på resultatet.

Som jeg læser det, checker den kun de filer der kom med systemet. Den
rapporterer ikke ukendte filer, ukendte services, eller ukendte
registry keys, der måtte sørge for at et root-kit bliver loadet
ved boot.

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

Peter Larsen (07-02-2009)
Kommentar
Fra : Peter Larsen


Dato : 07-02-09 05:03

Kent Friis <nospam@nospam.invalid> wrote:

> Den Thu, 5 Feb 2009 22:53:43 +0100 skrev Peter Larsen:
>> Kent Friis <nospam@nospam.invalid> wrote:

>>> Nogen systemer giver mulighed for en "known good" scanning, hvor der
>>> i stedet bliver checket om alle system-relaterede filer er som
>>> da de blev installeret. Fx. skulle de fleste package-managers på
>>> Linux kunne gøre dette. Men om noget lingnende findes til XP/Vista
>>> er nok tvivlsomt.

>> sfc

> Jeg fandt en beskrivelse på http://support.microsoft.com/kb/310747

> Det er uklart hvorvidt den kan gøre fra en boot-CD. Det er en
> nødvendighed, hvis man skal kunne stole på resultatet.

Det "normale" er jo nok at gøre det fra en f8 start.

> Som jeg læser det, checker den kun de filer der kom med systemet. Den
> rapporterer ikke ukendte filer, ukendte services, eller ukendte
> registry keys, der måtte sørge for at et root-kit bliver loadet
> ved boot.

Er det ikke at:

>>> Nogen systemer giver mulighed for en "known good" scanning, hvor der
>>> i stedet bliver checket om alle system-relaterede filer er som
>>> da de blev installeret. Fx. skulle de fleste package-managers på

?

> Kent

med venlig hilsen

Peter Larsen




Kent Friis (07-02-2009)
Kommentar
Fra : Kent Friis


Dato : 07-02-09 12:17

Den Sat, 7 Feb 2009 05:02:43 +0100 skrev Peter Larsen:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Thu, 5 Feb 2009 22:53:43 +0100 skrev Peter Larsen:
>>> Kent Friis <nospam@nospam.invalid> wrote:
>
>>>> Nogen systemer giver mulighed for en "known good" scanning, hvor der
>>>> i stedet bliver checket om alle system-relaterede filer er som
>>>> da de blev installeret. Fx. skulle de fleste package-managers på
>>>> Linux kunne gøre dette. Men om noget lingnende findes til XP/Vista
>>>> er nok tvivlsomt.
>
>>> sfc
>
>> Jeg fandt en beskrivelse på http://support.microsoft.com/kb/310747
>
>> Det er uklart hvorvidt den kan gøre fra en boot-CD. Det er en
>> nødvendighed, hvis man skal kunne stole på resultatet.
>
> Det "normale" er jo nok at gøre det fra en f8 start.

Det er stadig det inficerede system.

>> Som jeg læser det, checker den kun de filer der kom med systemet. Den
>> rapporterer ikke ukendte filer, ukendte services, eller ukendte
>> registry keys, der måtte sørge for at et root-kit bliver loadet
>> ved boot.
>
> Er det ikke at:
>
>>>> Nogen systemer giver mulighed for en "known good" scanning, hvor der
>>>> i stedet bliver checket om alle system-relaterede filer er som
>>>> da de blev installeret. Fx. skulle de fleste package-managers på

Når jeg skriver "system-relaterede", mener jeg ikke kun dem der kom
fra Windows-CD'en, men også drivere, services, og alt andet der
bliver loadet automatisk.

Det er så ikke engang nok med system-relaterede filer, en virus
kan jo også gemme sig i et alm. program. Så det er faktisk alt
hvad der ikke hører under dokumenter, der skal checkes. (Dokumenter
*kan* ikke checkes med en "known good" scanning, da man ikke
har en reference at checke dem imod. Selvom Word dokumenter også
er en sprednings-vektor).

Så for at det er brugbart, kræver det i et eller andet omfang et
pakkehåndteringssystem som det man finder de fleste Linux'er.

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

Peter Larsen (08-02-2009)
Kommentar
Fra : Peter Larsen


Dato : 08-02-09 00:17

Kent Friis <nospam@nospam.invalid> wrote:

> Det er så ikke engang nok med system-relaterede filer, en virus
> kan jo også gemme sig i et alm. program.

.....

> Så for at det er brugbart, kræver det i et eller andet omfang et
> pakkehåndteringssystem som det man finder de fleste Linux'er.

Nåeh, tak!

> Kent

Med venlig hilsen

Peter Larsen




Axel Hammerschmidt (08-02-2009)
Kommentar
Fra : Axel Hammerschmidt


Dato : 08-02-09 03:42

Jan Bruun Andersen:

<snip>

> Mit spørgsmål:
>
> Hvordan fremstiller man et effektivt bootmedie mhp afsløring af Rootkits?
>
> Har såvel XP som Vista PC'er og eksterne DVD og Floppy drev.
>
> Bruger Rootkit Revealer fra Sysinternals og gmer. Måske findes der bedre.
>
> Har ikke mistanke om Rootkit på mine maskiner, men jeg synes spørgsmålet
> har almen interesse, så hvis nogen af de dygtige herrer kunne give en
> kort beskrivelse eller et godt link hertil ville det være fint.

User-Mode RootKits, Kernel-Mode RootKits. De skal alle kommunikerer med en
Puppet Master. Check din routers log, og geninstallerer dit OS om
nødvendigt.


--
Those are my principles. If you don't like them I have others.

Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409068
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste