Rootkit Scanner test

Test des Rootkit-Scanners

Speichern Sie die Daten vorher oder verwenden Sie das Werkzeug zum ersten Mal auf einer Prüfmaschine. Antivirensoftware kann Rootkits und rootkitähnliches Verhalten erkennen. Daher ist es sinnvoll, mit einem Rootkit-Scan zu beginnen.

Der härteste Teil der Welt.

Im zweiten Test sollten die Antivirenprogramme in der Lage sein, Stammkits zu suchen und zu entfernb. Besonders gefährdet sind Routinekits, da sie sich in Windowsprozesse einbinden, manchmal auch in den eigentlichen Kernbereich. So können sich beispielsweise durch die Verschleierung ihrer Abläufe oder die Verbindung mit dem Hacker-PC besser getarnt werden. Insbesondere ein Rootkit war ein Problem für das Testfeld:

Das Rücklicht im Rootkit-Test ist Ashampoos AntiVirus. Mithilfe des Tools wurden die nicht aktiven Installationsprogramme erkannt, aber sobald die Stammssätze einmal eingerichtet waren, wurden keine gefunden. Die acht Bewerber, die jedes Rootkit - aktives und unaktives - identifiziert und eliminiert haben, waren besser. Eine interessante Erscheinung, die sich im Test zeigte: Einige Scanner ignorierten ein nicht aktives Rootkit, erkannten es aber, sobald es aktiviert wurde - obwohl die Rootkit-Tarnung nur bei Aktivitäten funktioniert.

Beispielsweise übersehen sie das Installationsprogramm von Infostealer, ein Spyware-Programm, das Kennwörter stiehlt. Das liegt daran, dass einige Scanner nur für die aktive Komponente, nicht aber für die inaktive Komponente eine Unterzeichnung haben. Es gab auch keine Unterschrift und der Scanner entdeckte die Wurzelkits mit einer heuristischen oder verhaltensbasierten Detektion.

Finde Rootskits

Weil die Resultate unter einem funktionierenden Betriebssystem oft zu wünschen übrig lässt, sollten Sie den verdächtigen Rechner vollständig abschalten und dann Ihre Datenträger von einem anderen Betriebssystem überprüfen mit der Garantie, dass sie nicht gefährdet sind. Anschließend wird der eigentliche Test durchgeführt, indem alle potenziell betroffenen Daten mit einem virenfreien Gerät verglichen werden (Cross-Checking).

Letztere bestehen in der Regel aus einer Momentaufnahme des nun gefährdeten Betriebsystems unmittelbar nach dessen Erstinstallation. Um den Vergleich nicht durch das Rootkit zu beeinträchtigen, sollte das Muster nach Möglichkeit auf einem nicht schreibbaren Datenträger archiviert werden. In diesem Fall erzeugt der Rootkit-Scanner für jede einzelne Datendatei einen pers. m. o. g. Personen. Wenn das Rootkit später eine Grafikdatei manipuliert, ändert sich auch deren Checksumme von selbst, so dass diese nicht mehr mit der gespeicherten Checksumme übereinstimmt. Die Checksumme ändert sich nicht mehr.

Ein weiterer Weg, ein Rootkit zu finden, ist eine Mischung aus Scanner und Einbruchmeldeanlagen ("IDS"). Wie ihre Konkurrenten legen sie sich im Prinzip im Netz fest und halten sich dort im Hintergund für Misstrauen. Wenn ein Rootkit einen Installierungsversuch gestartet hat, entdeckt der neue Wachmann diese Absicht und gibt einen mehr oder weniger lauten Warnton von sich. und führt dann einen vollständigen Testdurchlauf mit "./chkrootkit" durch (Abbildung 1).

Nachlässig verwendet der Rootkit-Scanner diverse binäre Programme des betroffenen Rechners. Deshalb sollte man diese Tools immer von einem anderen, reinen Speichermedium einziehen: Bild 1: Chinchrootkit ist einmal durchlaufen und hat keinen ihm bekannten Rootkit mitgebracht. Es gibt jedoch keine Gewähr dafür, dass das Gerät nicht befallen ist.