Der Begriff „Rootkits“ stammt ursprünglich aus der Linux-Welt. Dort bezeichnet er ausgebuffte Werkzeuge, die sich Administrator-Rechte verschaffen und so weitreichende Systemänderungen durchführen können. In der Windows-Welt tarnen sich Rootkits häufig als Treiber, laden sich dann als Kernel-Module direkt ins Herz des Betriebssystems. Andere infizieren das System auf User-Ebene, indem sie sich als DLL-Dateien tarnen, API-Funktionen abfangen und so Viren, Spione und Trojaner vor herkömmlichen Scannern verbergen.
Der Rootkit Revealer entlarvt die Meister des Verstecks, ob sie nun im User- oder im Kernel-Modus laufen. Dazu schaut er sich Dateisystem und Registry genau an: Alle Dateien und Registry-Schlüssel eines Systems schreibt er in eine Datenbank und durchkämmt sie nach Diskrepanzen. Nachteil der so genannten Kreuzverhör-Technik: Ändern sich Dateien oder Registry-Einträge zwischen den Abfragen, so kann es zu Fehlalarmen kommen.
Ein einfacheres Prinzip verfolgt der Rootkit Hook Analyzer. Er markiert Systemdienste als suspekt, die nicht auf den Windows-Kern verweisen. Herstellernamen und Produktinformationen werden angezeigt. So kann man sich in User-Foren gezielt Rat suchen, sollte das System befallen sein.
Ashampoo Antispyware ist eine ausgewachsene Sicherheits-Suite, die auch heuristische Suchroutinen nutzt, Archive durchsucht und dem Anwender hilfreiche Informationen gleich an die Hand gibt. Bedenkliche Elemente lassen sich isolieren. Noch im Beta-Stadium befindet sich F-Secures Blacklight. Ähnlich dem Hook Analyzer vergleicht es High-Level- mit Low-Level-APIs, blendet allerdings harmlose Einträge aus und stiftet so nicht unnötig Verwirrung.
Win Patrol prüft das System in Minuten-Abständen auf Änderungen. Die Plus-Version bietet Echtzeit-Überwachung und sorgt dafür, dass sich neuartiger Schadcode gar nicht erst einnistet, den man sich auf Streifzügen durch das Web oder über eingehende Mails einfängt. Wer im Bereich Prozesse und Dienste schon etwas bewandert ist, dem wird der Security Task Manager eine große Hilfe sein. Eine Risiko-Punktebewertung verrät, ob ein Prozess kritische Funktionen aktiviert oder andere verdächtige Eigenschaften enthält.
Der Advanced Spyware Remover kann rund 20.000 bekannte Trojaner und Hijacker, Spyware oder Adware vorn vornherein blockieren. Seinem Prozess-Scanner entgeht Adware selbst dann nicht, wenn sie sich nach dem Rootkits-Prinzip unsichtbar macht. Doch auch für akuten Befall hält er Lösungen bereit. a² Personal schließlich erkennt 25.000 Bedrohungen über eine Datenbank, enthält aber auch einen Hintergrundwächter, der jedes Programm, noch bevor es aktiv wird, auf der Festplatte auf verdächtiges Verhalten überprüft und – falls nötig – am Start hindert. Dem Programm ging bereits das Sony Rootkit ins Netz, das den CD-Kopierschutz DRM neugierigen Blicken entzog.
Neueste Kommentare
5 Kommentare zu Rootkit-Scanner: Gefahren erkennen, System abdichten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
doch, natürlich gibt es die!
auch wenn mein beitrag wahrscheinlich zu spät kommwn wird.. vielleicht interessiert es ja dennoch User, die ebenfalls an diesme Metier interessiert sind!
ALSO, die einfachste Möglichkeit wäre folgende:
– Surfen im Web via VM (Virtual Mashine) und aktivieren "Snapshots"!
Ansonsten könnte man sich eine sekundäre Partition mit voll funktionstüchtigem Windows anlegen und diese mittels einer Systemspiegelung auf einer 2ten Partition, die der Sekundärpartition zugeordnet ist, absichern. Bei Troajnerbefall wäre die "Internetsurf-Partition" über die Zweitpartition einfach zurückzusichern.
gruß ;-)
Rootkit Revealer
Da ich eine Frau bin und mich nicht so gut als Profi mich mache ,ist alles gut und schön ,habe gescannt 4 sachen hat er gefunden und nun ,alles auf Englisch und wie kann ich jetzt löschen ? keiner weiss bescheid ,haben sie eine gute Lösung o.Antwort das sollte auch geschrieben werden .bis dahin biena
Rootkit-Scanner
Ich bin Laie auf diesem Gebiet, aber fühle mich jeden Tage als Betroffener. Ist es nicht denkbar grundsätzlich neu über den Aufbau eines temporären Betriebssystems z.B. in Form einer Steckkarte nachzudenken mit einem flüchtigen Datenspeicher? Während der Internetanwendungen sind das fest installierte Betriebssystem und die Festplatte nicht erreichbar. Für die elektronische Post ist jeder selbst verantwortlich.
Sicherheit durch Integritätschecker
Die angesprochene Problematik läßt sich m.E. mit einem simplen Integritätschecker (für PC z.B.: Sentinel) besser beherrschen. Voraussetzung ist dabei ’nur‘, dass bei Bedarf ein einwandfreies, schnell aufspielbares System-Backup zur Verfügung steht.
AW: Sicherheit durch Integritätschecker
Besser nur wenn man nach dem Motto verfährt: "Never touch a running system." Ich habe mit Win Patrol als registrierter Nutzer jahrelang nur die besten Erfahrungen gemacht. Für mich ist der PC ein organisches System, jeden Tag kommt etwas dazu. Daher kommt es für mich eher in Frage von Anwendungen auszugehen, die ich installiere oder nutze, statt vom Dateisystem, das bei mir wie gesagt ganz und gar nicht statisch ist!