RootkitRevealer 1.70 - Aufspüren von Rootkits

RootkitRevealer ist ein kostenloses Programm, mit Hilfe dessen man Root Kits aufspüren kann. Dieses kann unter Windows NT 4 oder höheren Betriebssystemen eingesetzt werden und ist imstande, alle auf der Projekt-Homepage veröffentlichten Root Kits, ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--

Cooles proggie hat mir erstmal meinen verseuchten rechner geputzt!

[re:1] am ++--

@knuprecht: Das Tool zeigt dir nur die RootKids an, löschen kann es keins. Sorry

[o2] am ++--

Trotz guter Ansätze werden Rootkits wohl die nächste Seuche werden, die noch wesentlich schwieriger zu bekämpfen sein wird als z.B. solch profane Schädlinge wie Viren, Würmer und Trojaner. Wenn ich allein an die Möglichkeit denke, die Rootkits mit dem Ring0 des Betiebssystems zu verzahnen(Kernel Rootkits), dann wird mir angst und bange. In Zukunft wird es immer wichtiger, seinen Traffic besser und tiefgründiger zu überwachen, insbesondere was die Benutzung von Mailprogrammen und/oder Messengern angeht. Die letzte größere Schwachstelle von Windows hat auch gezeigt, dass das Patchen des Systems ein sehr wesentlicher Bestandteil eines sicheren Systems ist. In diesem Zusammenhang möchte ich auf folgende Website verweisen:""http://www.firewallinfo.de/index.php"""" Ich bin weder Besitzer noch Adimin, sondern eher ein interessierter User auf dem Gebiet der IT Sicherheit. Jedenfalls kann man von der Website sehr viel mitnehmen, was dieses Thema betrifft.

[re:1] am ++--

In dem Zusammenhang möchte ich von dieser Webseite gleich wieder abraten. :-)

[re:2] am ++--

@keiflin1: Die Seite ist Bullshit muss ich Rika recht geben.

[re:3] am ++--

ganz so schlecht ist die webseite nicht , das auftreten ist dort maximal ab und zu etwas zu aggressiv und rechthaberisch . rika dürfte die webseite da eigentlich lieben .

[re:4] am ++--

@keiflin1: Wenn ein Programm (lies: Rootkit) es sich auf Ring0 gemütlich macht, dann ist es naiv zu glauben, dass du mit einem, auf dem infizierten System installierten, Netzwerksniffer, überhaupt noch die wirklich verschickten Daten siehst. Sicher kannst du dir nur sein, wenn du die Daten an einem Punkt *hinter* dem möglicherweise infizierten System überprüfst. Auf dem System selbst können *alle* Informationen vorher manipuliert/gefiltert worden sein. Ein unglaublich einfaches Beispiel dafür, auch wenn es vom Niveau her betrachtet ein paar Level drunter ist, sind Viren, die Virenscanner manipulieren, um nicht entdeckt zu werden.

[re:5] am ++--

@Rika & @[U]nixchecker
eure nächsten Kommentare bitte nicht in dieser atemberaubenden,fulminanten und kaum überschaubaren Ausführlichkeit. Jeder Satz eine Pointe. Diese Treffsicherheit in der Ausführung. Ihr beide seit großartige Didaktiker- das muß der Neid euch lassen. Quasi Voltairs. Dieser Esprit, Hmm.... schöööööön!!! Ahhhhh....... ,ich bin hin und weg, ob dieser milden aber kaum zu übersehenden Kritik. Ausdrucksstark und doch zurückhaltend.

Bearbeitet am 04.02.06 um 07:58 Uhr.

[re:6] am ++--

@LostSoul,
ich weiß- deshalb sage ich ja, dass diese Kits die nächste Seuche darstellen, weil sie kaum aufzuspüren sind. Ich persönlich kann mir nur eine Schutzlösung vorstellen, die in eben der gleichen Nähe zum Ring0 steht, und die nur vorher definierte Daten in Form einer exzessiven Komponentenkontrolle nach außen dringen lässt. Vielleicht wäre auch ein neues Protokoll denkbar. Vieles ist vorstellbar und nur das Wenigste machbar.

[o3] am ++--

Bisher ist das Teil bei mir immer hängengeblieben und zwar bei jedem Durchlauf in irgendeinem anderen Ordner ich hoffe, das ist jetzt mal behoben.

[o4] am ++--

@tokeegecko: Ja habe ich jetzt auch gemerkt. Aber wozu steht da immer cleanig up?

[re:1] am ++--

@knuprecht: gute Frage, hab auch gedacht, das die Dinger weg sind.
Aber nix passierte.Gib glaube ich auch noch kein Tool, um die Dinger wieder loszuwerden.

[re:2] am ++--

@tokeegecko:Doch gibt es,F-Secure BlackLight Rootkits

[re:3] am ++--

Modulo Marketing-Gefasel ist das wieder bei Null.

[o5] am ++--

Rootkit Revealer ist ein sehr gut durchdachtes und geschriebenes Programm. Bin begeistert davon :) und schon lang dabei.

[re:1] am ++--

Version 1.2 war die letzte, die überhaupt noch lief.

[o6] am ++--

Die Virenscanner der nächsten Generation werden diese Lücke wohl schließen, nachdem die Problematik durch Sony so viel Aufmerksamkeit erregt hat. Um die Zeit bis dahin zu überbrücken, ist das Tool bestimmt eine gute Möglichkeit. Die aktuelle Betaversion von Kaspersky scheint auch schon entsprechende Funktionalität zu bieten.

[re:1] am ++--

@systemfreund: Dir ist schon klar, dass es hier nicht nur um ein Rootkit (Sony), sondern um eine ganze Horde an Rootkits geht, ja? Außerdem, wenn das Problem so einfach zu lösen wäre, stellt sich ja nur die kleine Frage, warum Virenscanner nicht auch alle Viren erkennen...?

[o7] am ++--

gibt es eigentlich eine (kostenlose) halbwegs sichere und zuverlässige möglichkeit rootkits zu entfernen (ausser format c)??

[re:1] am ++--

@macbeth_xp: boote den PC von einer CD, auf der ein Virenscanner drauf ist. So stellst du sicher, dass das geladene Betriebssystem unverseucht ist.

[re:2] am ++--

@macbeth_xp: ich empfehle das "asus-repair-kit" (http://tinyurl.com/9shnq), leistet ganze arbeit...

[re:3] am ++--

@noname: hehe ok, ich probiers gleich mal aus, nicht wundern wenn ich mich dann ne zeitlang nicht melde :) hab sogar n asus board fällt mir grade auf oO

Bearbeitet am 03.02.06 um 14:10 Uhr.

[re:4] am ++--

@macbeth_xp: Nein. Auch wenn dir Antiviren-Software-Firmen gerne etwas anderes sagen, ist es nicht gewiss, ob ein Virus/Wurm/Rootkit nicht eventuell (und unbekannterweise) noch irgendwelche Systemdateien (z.B.) ausgetauscht hat und selbst das Entfernen offensichtlicher Wurm-/Rootkit-Dateien eben nicht ausreicht, um ein System wieder sauber zu bekommen, weil eventuell schon kurze Zeit später das Schädlingsprogramm selbst wieder "nachlädt". Kurzum: Wenn du *wirklich* sicher gehen willst, *musst* du das System neu aufsetzen, denn die Software, mit der du den Schädling entfernen willst oder ihn entfernt hast, ist a) von Menschenhand geschrieben und damit unter Umständen selbst fehlerhaft, b) nur auf eine bestimmte Viren-/Rootkit-Version zu einem bestimmten geeicht und kann c) nicht garantieren, dass neue Versionen des Wurms (oder sogar ältere Versionen) nicht eventuell Funktionen enthalten, die zuvor unentdeckt blieben.

[re:5] am ++--

Wer schlau ist, der hat Prüfsummen aller wichtigen Dateien und kann Änderungen der Kompromittierung aufdecken und beseitigen. Das geht bis auf einige Komplikationen a la Windows Registry sehr gut, den Rest kann man mit Backups füllen.

[re:6] am ++--

@Rika: also, da hast Du eine Marktlücke entdeckt. Programmiere/ adaptiere bitte ein Programm, das genau dies tut.

[re:7] am ++--

so programme gibts doch schon... ist halt nur arbeit das anzufangen

[re:8] am ++--

Naja, eigentlich ist sowas mit einem kleinen Script schon getan. Nur halt nicht ONU-tauglich, aber das wird's sowieso nie sein...

[re:9] am ++--

@Rika, macbeth: Alles schön und gut, aber wie kommt der Endanwender an dieses Know How? BTW: Was heißt "ONU"? Ich finde es gut und richtig, dass es so was schon gibt, aber eben leider nicht endanwendertauglich. Ich kann zum Beispiel nicht proggen oder scripten (das liegt zu lange zurück und ich will auch nicht mehr). Wäre also schön, wenn (nicht nur) mir ein solches Tool das Leben erleichtern würde... . Im übrigen ändern sich die Prüfsummen bei Updates, dies muss also das Proggie auch berücksichtigen können, etc. Also an ein "einfaches Script" glaube ich da nicht. Wäre also durchaus mal spannend darüber nachzudenken :-)