Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Rootkit-Scanner - gleiche Ergebnisse bei x86 und x64 ?

Frage Sicherheit Viren und Trojaner

Mitglied: nor

nor (Level 1) - Jetzt verbinden

29.08.2007, aktualisiert 31.08.2007, 7259 Aufrufe, 5 Kommentare

Findet ein Scan unter x86 ein durch einen Rootkit infiziertes x64-Sytem?

Da fast alle Rootkit-Scanner ausschließlich auf 32-Bit-Rechnern laufen und ich noch keinen funktionierenden für x64 gefunden habe, wollte ich einen Scan im 32-Bit ausführen.

Würden dieser Scan auch bemerken, dass das x64-System kompromittiert wurden ist?
Sind zB die ADS' einer Datei für x86 und x64 gleich? Oder greifen sie auf Unterschiedliche zu? (Laufwerkszuweisungen auf den Systemen sind verschieden.)

Danke & MfG
nor
Mitglied: gnarff
29.08.2007 um 20:07 Uhr
Hallo nor!

1. Zunächst einmal, ein Rootkit der auf ein 64bit OS aufsetzt, wird sich nicht durch einen Scanner fesstellen lassen, der eine 32bit Umgebung voraussetzt.

2. Rootkitscanner machen nicht sehr viel Sinn, da ein solches Produkt ja den Rechner in vollem Betrieb untersucht, d.h. der Rootkit ist aktiv und tut das, was er u.A. zu tun hat - er verbirgt sich.

3. Um Rootkits festzustellen, wenn man es dann schon unbedingt mit einem Scanner machen will anstatt von Hand, sollte man von einem Live-On system booten und von dort den Scanner ausfuehren.

4. Rootkitscanner derzeit sind imho ein lustiges Spielzeug fuer die, die glauben Ihr OS wuerde dadurch sicherer werden. Unausgereifter Mist, der das Geld nicht wert ist.

5. Rootkitscanner gibt es auch fuer 64bit Betriebssysteme (stabile Versionen):
a. UnHackMe 4.0
b. hookanalyzer
c. F-Secure Blacklight

saludos
gnarff
Bitte warten ..
Mitglied: nor
29.08.2007 um 20:45 Uhr
1. Zunächst einmal, ein Rootkit der auf ein 64bit OS aufsetzt, wird sich nicht durch einen Scanner fesstellen lassen, der eine 32bit Umgebung voraussetzt.
Sowas in der Art hab ich mir gedacht.
2. Rootkitscanner machen nicht sehr viel Sinn, da ein solches Produkt ja den Rechner in vollem Betrieb untersucht, d.h. der Rootkit ist aktiv und tut das, was er u.A. zu tun hat - er verbirgt sich.
Hm, soweit ja klar. Da aber das x64 das Arbeitssystem ist und das x86 nur zu Reparaturzwecken verwendet wird, müsste es doch ähnlich funktionieren. However, die Daten könnten trotzdem befallen sein.
3. Um Rootkits festzustellen, wenn man es dann schon unbedingt mit einem Scanner machen will anstatt von Hand, sollte man von einem Live-On system booten und von dort den Scanner ausfuehren.
Per Hand ? Kannst du das erläutern? Tutorial?
Reicht Knoppix oder muss es Backtrack2 sein ?! ;)
4. Rootkitscanner derzeit sind imho ein lustiges Spielzeug fuer die, die glauben Ihr OS wuerde dadurch sicherer werden. Unausgereifter Mist, der das Geld nicht wert ist.
Hm, hab nur Freeware-Tools verwendet, aber die meisten funktionierten ja sowieso nicht.
Auch wenn diese Tools sinnfrei scheinen, werde ich sie trotzdem mal laufen lassen, bis ich schlauer bin.
saludos gnarff
Danke ! MfG
nor
Bitte warten ..
Mitglied: gnarff
29.08.2007 um 23:31 Uhr
Hallo nor!
Per Hand ? Kannst du das erläutern?
Tutorial?
Reicht Knoppix oder muss es Backtrack2 sein
?! ;)
Erlaeutern, oder gar ein Tutorial dazu schreiben, dass ist mir ehrlich gesagt zuviel Arbeit. Ich kann Dir allerdings ein paar Hinweise zu Dokumenten geben, die Dir das Basiswissen hierzu vermitteln und - solltest Du wirklich Interesse daran haben- Dir den Einstieg in die Materie vereinfachen.
Da ware zunaechst:
Detecting and Understading rootkits von Arturo Alberto Busleiman

Linux Kernel Rootkits v.1.0 von Rainer Wichmann, Kapitel 4.

Analysis of Rootkits: Attack Approaches and Detection Mechanisms von Alkesh Shah, Georgia Institute of Technology

Detecting Kernel-Level Rootkits Through Binary Analysis
von C. Kruegel, TU Wien und William Robertson, Giovanni Vigna UCSB.

Ich wuerde Helix benutzen.

saludos
gnarff
Bitte warten ..
Mitglied: nor
30.08.2007 um 16:58 Uhr
Danke für die Links! Hab sie schonmal quer gelesen, ausführlich kommt später. Sind alle für Unix/Linux, aber die Methoden müssten ja gleich sein. Leider beschränken sich meine Linux-Kenntnisse noch auf das Nötigste, aber ich arbeite daran

MD5-Checks:
Wenn eine Systemdatei (zB winsock.dll) kompromittiert ist, müsste ich es anhand einer Überprüfung der MD5 herrausbekommen. Da windowsupdate die Angewohnheit hat, alle möglichen Dateien zu ändern, könnte also die MD5 meiner Datei anders sein als die eines frisch augesetzten Systems.
Gibt es eine Liste von MS mit aktuellen MD5-Summen aller kritischen Systemdateien?

LKMs:
Wenn also ein SysCall auf X erfolgt, und er auf Y landet, wäre mein System infiziert? Oder wird er von X auf Y und dann auf X geleitet ?

mfg nor
Bitte warten ..
Mitglied: gnarff
31.08.2007 um 05:11 Uhr
Hallo nor!

Gibt es eine Liste von MS mit aktuellen
MD5-Summen aller kritischen Systemdateien?

Du wirst doch wohl nicht glauben, das MS eine solche Liste veroeffentlicht, noch dazu gratis, das koennte man ja schon fast Service nennen..
Folgende Moeglichkeiten hast Du:
MD5 Reverselookups
1. http://md5.crysm.net/
2. http://md5.benramsey.com/
3. http://www.xmd5.cn/index_en.htm
Ich benutze oft und gerne dei MD5 Database von shalla.de
4. http://md5.shalla.de/cgi-bin/index.cgi

Dem Rest Deiner Frage koennen wir uns morgen widmen, gute Nacht!

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Java notwendigkeit von x86 + x64
Frage von ChrisDynamiteNetzwerke4 Kommentare

Guten Tag, wir stellen Standardmäßig übers Netzwerk die X86 und X64 Installationen von Java bereit, obwohl wir nur noch ...

Assembler
Assembler-Routine portieren: x86 auf x64
gelöst Frage von AnkhMorporkAssembler4 Kommentare

Hallo in die Runde, ich habe eine Verständnisfrage. Habe folgende Assembler-Routine erstellt: Programmier-Umgebung: Lazarus-Pascal 1.2.4. mit fpc 2.6.4 Ist ...

Windows 10
Update von Win 7 x86 auf Windows 10 x64
gelöst Frage von fiffi1Windows 105 Kommentare

Hallo Leute Ist es möglich kostenlos von einem 32-Bit Windows 7 System auf ein 64-Bit Windows 10 System zu ...

Microsoft
Visual C++ Redistributable 2005 2008 x64 x86
gelöst Frage von sabinesMicrosoft2 Kommentare

Hallo, ich habe Visual C Redistributable in allen möglichen Varianten und Versionen auf den PCs und habe das Gefühl, ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...