Home » Viren, Trojaner & Malware Forum » Rootkits - 3-teilige Artikelserie von SecurityFocus » Themenansicht

Rootkits - 3-teilige Artikelserie von SecurityFocus
#0
23.01.2006, 16:36
pcfreak
Member

Beiträge: 78
#1 Dieser Artikel erschien ursprünglich auf SecurityFocus in Englisch. Wir veröffentlichen die deutsche Übersetzung mit freundlicher Genehmigung der Redaktion und der Autoren.

James Butler, Sherri Sparks

Windows Rootkits 2005, Teil 1

Schadsoftware wurde 2005 deutlich raffinierter. Das zeigt vor allem der Einsatz von Windows-Rootkit-Techniken in Viren, Würmern, Spy- und Adware. Deshalb wird es immer wichtiger, diese Gefahr zu verstehen und zu wissen, wie man ihr begegnen kann.

Der erste Artikel dieses Dreiteilers erklärt, was Rootkits sind und was sie so gefährlich macht. Wir betrachten verschiedene Arten, den Code zur Ausführung zu bringen und wie dieser dann mit dem Kernel interagiert: indem man Tabelleneinträge verbiegt (Table Hooking), Filter-Treiber installiert oder direkt Kernel-Objekte manipuliert. Der zweite Teil wird sich mit der neuesten Windows-Rootkit-Technik beschäftigen, die Zugriffe auf virtuellen Speicher kontrolliert und damit sehr verdeckt arbeitet. Der dritte und letzte Artikel diskutiert dann verschiedene Methoden, Rootkits aufzuspüren und sich davor zu schützen.

Definition
Ein Rootkit ist ein Programm oder ein Paket von Programmen, das ein Einbrecher benutzt, um seine Anwesenheit auf einem Computer zu verbergen, und das ihm auch zukünftig Zugriff auf das System gewährt. Dazu ändert das Rootkit interne Abläufe des Betriebssystems oder es manipuliert Datenstrukturen, auf die sich das Betriebssystem beim Verwalten und Überprüfen verlässt.

Ein Rootkit ist kein Exploit sondern das, was ein Angreifer einsetzt, nachdem er eine Schwachstelle mit einem Exploit ausgenutzt hat. Es ist daher in vieler Hinsicht interessanter als ein Exploit, selbst als ein sogenannter Zero-Day-Exploit, der erscheint, bevor ein Patch verfügbar ist. Die meisten Anwender haben widerstrebend die Tatsache akzeptiert, dass kontinuierlich weitere Sicherheitslücken in Computersystemen entdeckt werden. Während ein Zero-Day-Exploit nur eine Kugel ist, kann ein Rootkit viel über den Angreifer verraten – zum Beispiel warum er damit geschossen hat. Indem wir analysieren, was ein Rootkit macht, können wir erforschen, was der Angreifer stehlen will, mit wem er kommuniziert und wie raffiniert er dabei vorgeht. Doch bevor wir uns mit dem "warum" beschäftigen, ist das "wie" an der Reihe.

http://www.heise.de/security/artikel/68243
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1