Discussion:
Diagnose fuer Computersysteme zur Rootkiterkennung
(zu alt für eine Antwort)
Paul Hamburger
2013-01-30 02:41:24 UTC
Permalink
Hallo liebe Gruppe,

mich beschäftigt folgendes Problem: Ich habe einen PC mit Windows und war
längere Zeit damit online. Bisher habe ich noch keine Hinweise auf eine
Infektion. Ich kann es aber auch nicht ausschließen.

Falls aber ein Rootkit unentdeckt auf den PC gelangt ist, kann ich das
über den "normalen" Virenscanner ja nicht mehr herausfinden und mir
jedesmal eine von CD bootfähige Linux-Distribution mit aktuellen
Virenscanner zu erstellen erscheint mir als eine extrem umständliche
Lösung.
Was kann man tun dieses Problem zu umgehen? Wäre ein bootfähiger USB-Stick
möglich?
Juergen P. Meier
2013-01-30 04:37:11 UTC
Permalink
Post by Paul Hamburger
Was kann man tun dieses Problem zu umgehen? Wäre ein bootfähiger USB-Stick
möglich?
Ja. Es gibt aber auch eine Heuristische Methode um die Infektion durch
Rootkits zu entdecken: Selbst versuchen die ueblichen Methoden der
Verankerung zu nutzen, idR. scheitert das daran, dass diese bereits
genutzt wurden.
Zwar koennte ein sehr gutes Rootkit auch das emulieren, aber da sich
so eine Diagnose kaum automatisieren laesst (und schon garnicht fuer
den laufenden Betrieb in einem AV-Programm eignet), wird sich kaum wer
die Muehe machen.

Schlaegt z.B. das anlegen eines Hypervisors und verschieben des OS in
eine VM fehl, so wird das wohl schon durch was anderes passiert sein.

Aber das sind alles nur heuristiken - und darueberhinaus nur als
Positiv-Test geeignet. Ein negatives Ergebnis hat keine Aussagekraft.
Paul Hamburger
2013-01-30 15:53:07 UTC
Permalink
Post by Juergen P. Meier
Schlaegt z.B. das anlegen eines Hypervisors und verschieben des OS in
eine VM fehl, so wird das wohl schon durch was anderes passiert sein.
Das verstehe ich jetzt nicht ganz. Ich habe aber auch kaum Erfahrungen mit
Hypervisors.

Wenn ich das Betriebssystem nicht in eine virtuelle Maschine verschieben
kann, dann läuft das Betriebssystem wahrscheinlich in einer virtuellen
Maschine?

Da erscheinen bei mir viele Fragezeichen. Kann ich denn nicht eine VM auf
einer VM Maschine laufen lassen und das Rootkit sich dahinter verbergen?
Heiko Schlenker
2013-01-30 12:28:11 UTC
Permalink
Wäre ein bootfähiger USB-Stick möglich?
Ja, möglichst einer mit hardwareseitiger Schreibschutzfunktion.

Gruß, Heiko
Loading...