Sysinternal – kostenlose Tools für den Administrator, Teil 8 Gefährliche Rootkits gebührenfrei aufspüren

Spätestens seit CDs eines großen japanischen Unterhaltungselektronikkonzerns beim Einlegen in den Computer automatisch ein Rootkit unter Windows installierten, ist diese potentielle Gefahrenquelle einer breiten Masse bekannt. Doch wie werden Rootkits aufgespürt? Das kostenlose Sysinternal-Tool RootkitRevealer hilft dabei.

Anbieter zum Thema

ALE Deutschland GmbH

Microsoft Deutschland GmbH

Mit Rootkits soll die Existenz von Programmen verborgen werden. Entsprechend sind sie bei Schadsoftware wie Viren und Trojaner ein potentielles Einsatzgebiet, um eine Erkennung durch Sicherheitssoftware zu vermeiden.

Eine zuverlässige Erkennung von Rootkits ist nicht einfach, denn sie verfälschen die Rückgabe der Windows API-Funktionen für den Zugriff auf das Dateisystem und die Systemregistrierung. Fordert etwa ein Programm die Dateiliste eines Ordners an, in der das zu schützende Objekt enthalten ist, entfernt das Rootkit den entsprechenden Eintrag in der Dateiliste. Ähnliches erfolgt auch beim Zugriff auf die Systemregistrierung. So manches Rootkit sorgt über Manipulationen auch dafür, dass es in der Prozessliste nicht zu finden ist.

RootkitRevealer sucht Unstimmigkeiten

Beim Aufspüren von Rootkitls verlässt sich der RootkitRevealer nicht auf die Ergebnisse der Windows API-Funktionen. Vielmehr vergleicht er die dort erhaltenen Angaben mit seinen eigenen Ergebnissen. So liest er direkt, ohne API, das Dateisystem (FAT und NTFS) im RAW-Modus ein und kann damit Unstimmigkeiten bei der API-Rückgabe aufspüren. Auch den tatsächlichen Inhalt der Systemregistrierung gleicht das Tool über das Einlesen der entsprechenden Dateien mit dem zurückgegebenen Inhalt ab.

Findet der RootkitRevealer Abweichungen, werden diese im Programmfenster ausgegeben, da dies ein Hinweis auf ein vorhandenes Rootkit sein kann. Allerdings muss es sich nicht gleich bei jeder Fundstelle auch tatsächlich um ein Rootkit handeln. Im NTFS-Dateisystem werden etwa Metadaten abgespeichert, die von den Windows-API-Funktionen grundsätzlich nicht zurückgegeben werden, was dann zu harmlosen Unstimmigkeiten führt. Die Auflistung dieser Diskrepanzen kann im Tool deaktiviert werden. Daneben bedient sich auch manche Sicherheitssoftware der Rootkit-Technologie um ihre Existenz vor Schädlingen zu verschleiern. Entsprechend ist es Aufgabe des Anwenders, den zurückgegebenen Fundstellen des RootkitRevealers selbst nachzugehen und zu beurteilen.

Eine Entfernung eines gefundenen Rootkits ist nicht vorgesehen, das Tool dient ausschließlich der Analyse.

Einfache Handhabung

Die Anwendung des RootkitRevealers ist sehr einfach gehalten. Er kann bei allen Windows-Betriebssystemen ab NT4 eingesetzt und sollte mit Administrator-Rechten gestartet werden. Eine Installation ist nicht notwendig, die EXE-Datei ist direkt lauffähig.

Nach dem Start des Programms legt der Anwender fest, ob nur das Dateisystem oder auch die Systemregistrierung geprüft werden soll. Auch kann er das Auflisten der NTFS-Metadaten deaktivieren. Nach dem Start des Scans sollte er nicht ungeduldig werden, da der Suchvorgang je nach Umfang des Systems einige Minuten in Anspruch nimmt. Das Ergebnis kann der Anwender zur späteren Verwendung abspeichern.

Für den automatischen Start des Programms über Batch- oder Scriptdateien stehen einige Kommandozeilenparameter zur Verfügung, die in der mitgelieferten Hilfedatei erklärt werden.

Bei Fragen hilft ein Forum

Sollten bei der Anwendung oder den Ergebnissen des RootkitRevealers Fragen auftreten, so können diese in einem speziellen RootkitRevealer Forum diskutiert werden.

(ID:2010695)