Rootkit-Scanner: Gefahren erkennen, System abdichten

Rootkits sind neuartige Viren, Spione und Trojaner – und allesamt Meister des Verstecks. Dieser Spezial-Scanner entlarvt besonders hartnäckige, die sowohl im User- als auch im Kernel-Modus laufen und auch nach einem sofortigen „Kaltstart“ nicht den Geist aufgeben. Dazu schaut sich der Revealer Dateisystem und Registry genau an: Alle Files und Schlüssel eines Systems schreibt er in eine Datenbank und durchkämmt sie nach Diskrepanzen.

Folgende Optionen stehen zur Verfügung:

  • manueller Scan
  • Komplett-Suche mit automatischem Programmende
  • Darstellung im CSV-Format
  • Anzeige von NTFS-Metadaten
  • Ignorieren der Registry

Fazit

Da Rootkits API-Ergebnisse verfälschen, fallen sie auf. Der Revealer erkennt persistente Rootkits wie AFX, Vanquish oder den Hackerdefender. Um einerseits Daten von der Windows-API, andererseits den Quellcode von FAT- oder NTFS-Partitionen auszulesen und beide schließlich zu vergleichen, braucht es naturgemäß Zeit. Doch herkömmliche, schnelle Spyware-Scanner kämen gar nicht erst gegen die neue Bedrohung an – dazu sind Rootkits zu ausgefuchst.

In letzter Zeit schafften sie es gar, durch Zugriffs-Verfälschungen das Sysinternals-Tool zu narren. Paradoxerweise, indem sie dem Revealer – und nur ihm – ihr wahres Gesicht zeigten und so das Erkennungsprinzip aushebelten: Dateien und Hives stimmten plötzlich wieder überein. Inzwischen haben die Entwickler reagiert: Der Scanner benennt sich automatisch um. Folge: Das Schadprogramm duckt sich und fällt beim Listing wieder durch Fehlen auf.

Während unseres Kurztests kam es zu kleineren Systemverzögerungen. Es empfiehlt sich, die Überprüfung zu Leerlaufzeiten durchzuführen. Einen Ansatz, wie Scanergebnisse zu werten sind, liefert eine HTML-Hilfe. Sie ist in der hier verlinkten ZIP-Datei enthalten. Der Scanner selbst ist nach dem Auspacken sofort und ohne Setup einsatzbereit.

Einschränkungen: Nachteil der sogenannten „Kreuzverhör-Technik“: Ändern sich Dateien oder Registry-Einträge zwischen den Abfragen, so kann es zu Fehlalarmen kommen.

Zum Download

Themenseiten: Business-Software, Download-Special, Security-Praxis, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Rootkit-Scanner: Gefahren erkennen, System abdichten

Kommentar hinzufügen
  • Am 23. Februar 2006 um 19:52 von Dr.Kurt A.Köhler

    Sicherheit durch Integritätschecker
    Die angesprochene Problematik läßt sich m.E. mit einem simplen Integritätschecker (für PC z.B.: Sentinel) besser beherrschen. Voraussetzung ist dabei ’nur‘, dass bei Bedarf ein einwandfreies, schnell aufspielbares System-Backup zur Verfügung steht.

    • Am 23. Februar 2006 um 21:54 von Timmy Rahn

      AW: Sicherheit durch Integritätschecker
      Besser nur wenn man nach dem Motto verfährt: "Never touch a running system." Ich habe mit Win Patrol als registrierter Nutzer jahrelang nur die besten Erfahrungen gemacht. Für mich ist der PC ein organisches System, jeden Tag kommt etwas dazu. Daher kommt es für mich eher in Frage von Anwendungen auszugehen, die ich installiere oder nutze, statt vom Dateisystem, das bei mir wie gesagt ganz und gar nicht statisch ist!

  • Am 26. Februar 2006 um 10:57 von Bernhard Hepp

    Rootkit-Scanner
    Ich bin Laie auf diesem Gebiet, aber fühle mich jeden Tage als Betroffener. Ist es nicht denkbar grundsätzlich neu über den Aufbau eines temporären Betriebssystems z.B. in Form einer Steckkarte nachzudenken mit einem flüchtigen Datenspeicher? Während der Internetanwendungen sind das fest installierte Betriebssystem und die Festplatte nicht erreichbar. Für die elektronische Post ist jeder selbst verantwortlich.

  • Am 28. April 2006 um 16:21 von biena

    Rootkit Revealer
    Da ich eine Frau bin und mich nicht so gut als Profi mich mache ,ist alles gut und schön ,habe gescannt 4 sachen hat er gefunden und nun ,alles auf Englisch und wie kann ich jetzt löschen ? keiner weiss bescheid ,haben sie eine gute Lösung o.Antwort das sollte auch geschrieben werden .bis dahin biena

  • Am 7. Oktober 2006 um 12:43 von nobodysfool

    doch, natürlich gibt es die!
    auch wenn mein beitrag wahrscheinlich zu spät kommwn wird.. vielleicht interessiert es ja dennoch User, die ebenfalls an diesme Metier interessiert sind!

    ALSO, die einfachste Möglichkeit wäre folgende:
    – Surfen im Web via VM (Virtual Mashine) und aktivieren "Snapshots"!

    Ansonsten könnte man sich eine sekundäre Partition mit voll funktionstüchtigem Windows anlegen und diese mittels einer Systemspiegelung auf einer 2ten Partition, die der Sekundärpartition zugeordnet ist, absichern. Bei Troajnerbefall wäre die "Internetsurf-Partition" über die Zweitpartition einfach zurückzusichern.

    gruß ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *