Was ist ein Rootkit?
Der Begriff Rootkit wird verwendet, um die Mechanismen und Verfahren zu beschreiben, durch die Malware, einschließlich Viren, Spyware und Trojaner, versuchen, ihre Anwesenheit vor Spywareblockern, Antivirus- und Systemverwaltungsdienstprogrammen zu verbergen. Es gibt mehrere Rootkitklassifizierungen, die davon abhängen, ob die Malware einen Neustart übersteht und ob es im Benutzermodus oder Kernelmodus ausgeführt wird.
Funktionsweise von RootkitRevealer
Da dauerhafte Rootkits API-Ergebnisse ändern, sodass eine Systemansicht unter Einsatz von APIs sich von der eigentlichen Ansicht im Speicher unterscheidet, vergleicht RootkitRevealer die Ergebnisse eines Systemscans auf höchster Ebene mit denen auf der niedrigsten Ebene. Die höchste Ebene ist die Windows-API, die niedrigste Ebene ist der Rohinhalt eines Dateisystemvolumes oder einer Registrierungsstruktur. (Eine Strukturdatei ist das Datenträgerspeicherformat der Registrierung.) Folglich werden Rootkits (unabhängig davon, ob Benutzermodus oder Kernelmodus), die die Windows-API oder die systemeigene API manipulieren, um ihre Anwesenheit z. B. aus einer Verzeichnisliste zu entfernen, von RootkitRevealer als Unstimmigkeit zwischen den Informationen, die von der Windows-API zurückgegeben werden, und den Informationen im Rohscan von Dateisystemstrukturen eines FAT- oder NTFS-Volumes angesehen.
Download: http://download.sysinternals.com/Files/RootkitRevealer.zip
Posts
Keine Kommentare:
Kommentar veröffentlichen