Gratis Tool: Sysinternals RootkitRevealer

grimson schreef op woensdag 23 februari 2005 @ 16:24:
Dit tooltje is dus niet geheel 100% betrouwbaar mede door bovenstaande feiten.

Een rootkitscanner (of wat voor tool dan ook) zal nooit 100% betrouwbaar zijn als je 'em draait op een mogelijk infected systeem, gewoon vanwege het feit dat een rootkit volledige controle over het OS heeft. De enige manier om zo'n tool betrouwbaar te runnen is door van een cd te booten of de infected(?) hd in een ander systeem te hangen en zo te scannen.

Zo te lezen is dit dus een hele nieuwe tak van sport. Het zal mij benieuwen of inderdaad de AntiVirus fabrikanten ook deze scanmethodes naar 'rootkits' zullen inbouwen in hun engines.

Rootkits zijn niet nieuw. Voor Windows nog relatief onbekend, maar in de *nix wereld zijn er genoeg voorbeelden (al dan niet malicious)

[ Voor 29% gewijzigd door Gerco op 23-02-2005 17:14 ]

Gerco schreef op woensdag 23 februari 2005 @ 17:13:

[...]

Rootkits zijn niet nieuw. Voor Windows nog relatief onbekend, maar in de *nix wereld zijn er genoeg voorbeelden (al dan niet malicious)

Voor Windows is het helaas ook allang niet meer relatief onbekend, er zijn al enkele tientallen verschillende rootkits... met name HackerDefender is een hele bekende, en AFXrootkit en FURootkit zijn ook behoorlijk in opmars.

Die dingen zijn echt smerig... naast dat detectie idd vrij lastig is, verbergt-ie zich ook erg goed... niet alleen worden poorten, bestanden en processen hidden gemaakt, maar de free disk space kan bijvoorbeeld ook worden gefaked, en dataverkeer kan ook worden gemaskeerd.

En een tool als deze kan zo'n kit wel ontdekken, maar ik ben van mening dat een systeem dat met een rootkit compromised is geweest per definitie niet meer te vertrouwen is, en dus opnieuw geinstalleerd/ge-imaged dient te worden. Je weet nooit wat de hacker nog meer heeft uitgevreten...

Het is een interessant programma, maar als je Kaspersky AntiVirus gebruikt met iChecker en/of iStreams ingeschakeld is het nog niet erg bruikbaar.
Kaspersky slaat nl. op NTFS systemen van elk bestand o.a. de CRC op in een additional data stream (ADS). En deze streams worden dus door Rootkitrevealer aangemerkt als "Hidden from Windows API" waardoor ik nu een lijst heb met 411619 discrepancies found (vind daar maar eens de echte rootkit tussen).

Verwijderd schreef op woensdag 23 februari 2005 @ 19:50:
Het is een interessant programma, maar als je Kaspersky AntiVirus gebruikt met iChecker en/of iStreams ingeschakeld is het nog niet erg bruikbaar.
Kaspersky slaat nl. op NTFS systemen van elk bestand o.a. de CRC op in een additional data stream (ADS). En deze streams worden dus door Rootkitrevealer aangemerkt als "Hidden from Windows API" waardoor ik nu een lijst heb met 411619 discrepancies found (vind daar maar eens de echte rootkit tussen).

misschien moet je Mark Russinovich eens aanspreken over een 'skip crc ads calculated by kav'-optie. bij mij liep het ding vast, ik heb hem gemaild en letterlijk luttele minuten later (!) stuurde hij een patch die wel werkte. potverdrie, de update staat zelfs al op de site!

[ Voor 3% gewijzigd door Verwijderd op 23-02-2005 23:53 ]

Hoewel de rootkits die ik ben tegengekomen op servers erg goed in elkaar zitten zijn de mensen die ze gebruiken vaak erg dom (of gehaast). Het configureren vergt (als je het goed wil doen) tijd en vaak nemen de hackers niet de moeite. Een goede manier om een systeem (snel) te onderzoeken is om een mapping te maken naar de system drive en daar de properties van te bekijken. Deze moet je vergelijken met de properties van de system drive op het systeem zelf. Verschillen wijzen vaak op een rootkit. Vaak stellen ze namelijk alleen de "free space" in die aan het besturingssysteem doorgegeven wordt naast een aantal processen en poorten die verborgen worden. Overigens maken rootkits het systeem instabiel. Bij "blue screens" op een anders stabiel systeem moeten alle alarmbellen gaan rinkelen

mvg, Saffi

Mooi dat zo'n (freeware)programma is gemaakt. Maar als n00b weet ik eerlijk gezegd niet wat ik met de resultaten aanmoet. Deze zeggen me nml helemaal niets

Voor de liefhebber maar een screenie gedumpt op imageshack;:
http://img142.exs.cx/img142/2912/rootkitresults1cc.jpg

[ Voor 9% gewijzigd door onsgeluk op 24-02-2005 11:40 ]

onsgeluk schreef op donderdag 24 februari 2005 @ 11:38:
Mooi dat zo'n (freeware)programma is gemaakt. Maar als n00b weet ik eerlijk gezegd niet wat ik met de resultaten aanmoet. Deze zeggen me nml helemaal niets

Zo te zien ben je rootkit-vrij.

Ik heb Mark Russinovich een mailtje gestuurd in verband met de 'problemen' van RootkitRevealer in combinatie met KAV en dit is het antwoord wat ik terug kreeg:

The problem is that KAV is itself a rootkit, which is inexcusable for an antivirus product.

Blijkbaar heb ik dus niets aan dit tooltje, want ik ben goed te spreken over KAV als virusscanner.

Ik heb het zelf eens geprobeerd, zo te zien is er niks aan de hand.
Wat ik wel raar vind zijn een hoop gateway.dll files diep in de temporary internet files.

Ik heb ook weer voor de liefhebber een screenie gedumpt. miss dat iemand er wat an kan zien.

The problem is that KAV is itself a rootkit, which is inexcusable for an antivirus product.

Zo, meneer wind er geen touwtjes om zo te zien! Jammer dat daar geen uitleg bij staat.

Bor_de_Wollef schreef op donderdag 24 februari 2005 @ 23:10:
Jammer dat daar geen uitleg bij staat.

Hij heeft ergens wel een punt..
't is een beetje het gedrag van een persistent rootkit wat KAV vertoont volgens de omschrijving op z'n site (ik verbaasde en irriteerde me al enigszins aan/over die iStreams functie van KAV, een van de redenen dat ik nog v4.5 workstation draai ipv v.5 ).

Straks ook een scan gedraaid toen ik toch naar de supermarkt ging. Het was direct na een reboot en dus met een idle systeem.

Ik had een hele berg vrnl gifjes in de Norton Protected Recycle Bin staan. Verder leek het plaatje veel op dat van Ong Geluk. Dus ik neem aan dat ik Rootkit vrij ben.

Misschien dat de Norton Protected leeg moet zijn voordat je scant. Dat ga ik morgen eens proberen.

Wat is eigenlijk die C:\$LogFile ?

Zou het nou niet een goed idee zijn een virusscanner als rootkit te bouwen? Dan zou het echt een goede bescherming opleveren al zeg ik het zelf

Verwijderd schreef op donderdag 24 februari 2005 @ 23:47:
Wat is eigenlijk die C:\$LogFile ?

Wat zijn uberhaupt die $blabbla..etc files? Dit zijn 'diepere lagen' van Windows waarvan ik geen weet heb.

misschien mag ik het wel niet vragen, maar wat is een rootkit precies?

Maverick schreef op vrijdag 25 februari 2005 @ 00:11:
misschien mag ik het wel niet vragen, maar wat is een rootkit precies?

zie hier:
http://en.wikipedia.org/wiki/Rootkit

Daarin staat alles haarfijn uitgelegd

haarfijn, tnx

Verwijderd schreef op donderdag 24 februari 2005 @ 23:47:
Wat is eigenlijk die C:\$LogFile ?

Ik neem aan dat dat de Windows SWAP file is, hoewel ik het niet zeker weet. Oftewel Windows Virtual Memory.

[ Voor 28% gewijzigd door Urk op 25-02-2005 00:22 ]

Urk schreef op vrijdag 25 februari 2005 @ 00:21:
[...]

Ik neem aan dat dat de Windows SWAP file is, hoewel ik het niet zeker weet. Oftewel Windows Virtual Memory.

Nope, de swapfile heet pagefile.sys

Verwijderd schreef op donderdag 24 februari 2005 @ 23:47:
Wat is eigenlijk die C:\$LogFile ?

Zie: http://www.ntfs.com/ntfs-system-files.htm

@ Deemz

Thnx voor het nalopen van het screenie!

Het zou mooi zijn voor n00bs(like me) als er een optie in zat waarmee win-onderdelen hidden kunnen blijven en alleen de echte onregelmatigheden getoond worden. Maar wellicht dat dit in een ev vervolgversie komt.

Edit; gelijk de beste man maar een mail gestuurd of dit een mogelijkheid is....We'll see!

[ Voor 15% gewijzigd door onsgeluk op 25-02-2005 15:12 ]

Uhm..
sysinternals tools zijn over het algemeen ook niet voor de n00bs bedoeld, toch?

[bêta] f-secure blacklight rootkit detectie en verwijderaar

misschien kan iemand met kav eens nagaaan hoe deze op de alternate data streams reageert.

deamon tools word ook gevonden als zijnde 'hidden from windows api' opzich geen ramp natuurlijk, maar je moet wel even weten dat d347 van deamon tools is, voordat je hem verwijderd