Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

> Rootkit Hook Analyzer, Bitte um Hilfe
SAM
Beitrag 17.10.2006, 11:40
Beitrag #1



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 419
Mitglied seit: 31.01.2004
Mitglieds-Nr.: 390

Betriebssystem:
Linux Mint------WIN7
Virenscanner:
Avast
Firewall:
Router
Hi,
ich komme bei der Board-/Googlesuche nicht so richtig weiter um beurteilen zu können , ob da nun ein Rootkit schädlich am laufen ist .
Wenn ja - was zu tun ist.
Könnt Ihr mir dazu was sagen bzw. helfen ?


--------------------
Gruß SAM
Go to the top of the page
 
+Quote Post
 
 Start new topic
Antworten
Andreas Haak
Beitrag 17.10.2006, 19:32
Beitrag #2



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 71
Mitglied seit: 21.06.2006
Wohnort: Wien
Mitglieds-Nr.: 5.072

Betriebssystem:
Windows Vista
Virenscanner:
Kaspersky Anti-Virus
Firewall:
NAT
ZITAT(bond7 @ 17.10.2006, 18:53) [snapback]170877[/snapback]

Lässt sich der (System)Treiber selbst Beenden bzw. Stoppen ?


In dem Fall wäre das nicht ratsam. Technisch aber durchaus machbar. Es gibt immer ein Problem wenn mehr als ein Treiber eine bestimmte Funktion hookt und einer der Treiber sich entschließt sich zu entladen. Im günstigsten Falle führt es dazu, daß die Hooks der anderen Treiber unwirksam werden. Im schlimsten Falle führt es zu ungültigen Funktionszeigern und zu nem Bluescreen. Ich würd davon also eher die Finger lassen smile.gif.

ZITAT(Jens1962 @ 17.10.2006, 18:53) [snapback]170878[/snapback]

Läßt sich eigentlich ausschließen, daß es sich nicht um eine andere guard.sys handelt? Es gibt leider absolut keine nachvollziehbaren Angaben, welcher Prozeß da läuft. Es gibt auch noch ein paar andere guards (Steganos, z.B. ?)


Fälschen lässt es sich immer. Aber man kann z.B. mit diversen Tools den genauen Pfad des Treibers ausmachen. GMER bietet z.B. so eine Funktion:

IPB Bild
IPB Bild

Aber auch das sollte man mit Vorsicht genießen. Fakt ist aber, daß Ewidos guard.sys die beiden genannten Funktionen hookt und das er Ewido bzw. AVG AS installiert hat wink.gif. Daher ist die Wahrscheinlichkeit sehr hoch das es der Ewido Treiber ist.

Mit Windows Vista wirds zumindest in der 64 Bit Welt etwas anders. Dort werden dann ja ausschließlich nur noch signierte Treiber zugelassen - zumindest in der Theorie wink.gif.

Der Beitrag wurde von Andreas Haak bearbeitet: 17.10.2006, 19:36


--------------------
Regards,
Andreas Haak
Go to the top of the page
 
+Quote Post

Beiträge in diesem Thema
- SAM   Rootkit Hook Analyzer   17.10.2006, 11:40
- - bond7   Hast du Ewido Security Suite installiert ?   17.10.2006, 11:58
- - SAM   ...nur die Ewido Micr.exe lass ich manchmal laufe...   17.10.2006, 12:11
- - bond7   Zumindestens gibt es diese Sys-Datei bei Ewido und...   17.10.2006, 12:27
- - SAM   ...ja- soweit war ich auch. Aber wer sagt mir nun...   17.10.2006, 12:50
- - Andreas Haak   Die Datei gehört durchaus zu Ewido bzw. AVG Anti-S...   17.10.2006, 17:48
|- - Jens1962   ZITAT(Andreas Haak @ 17.10.2006, 18:47) 1...   17.10.2006, 17:54
- - bond7   Lässt sich der (System)Treiber selbst Beenden bzw....   17.10.2006, 17:54
- - Andreas Haak   ZITAT(bond7 @ 17.10.2006, 18:53) 170877 L...   17.10.2006, 19:32
|- - Jens1962   ZITAT(Andreas Haak @ 17.10.2006, 20:31) 1...   17.10.2006, 19:50
- - bond7   ZITATMit Windows Vista wirds zumindest in der 64 B...   17.10.2006, 19:45
- - SAM   Guard.sys u. guard.exe gehen eindeutig auf AVG-Ant...   18.10.2006, 17:13

« Vorhergehendes Thema · Trojaner, Viren und Würmer · Folgendes Thema »
 

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung Aktuelles Datum: 06.09.2025, 09:37
Powered By IP.Board © 2025  IPS, Inc.
Licensed to: Rokop Security
Impressum