Rootkit: Unterschied zwischen den Versionen

Aus Mikiwiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 6: Zeile 6:
! width=15% | Rootkit !! Beschreibung
! width=15% | Rootkit !! Beschreibung
|-
|-
| <b>Kernel-Rootkit</b> || (auch: LKM-Rootkit) Es ersetzt Teile des [[Kernel]]s durch eigenen Code, um sich selbst zu tarnen und dem Einbrecher zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen.
| <b>Kernel-Rootkit</b><br>(auch: LKM-Rootkit) || Es ersetzt Teile des [[Kernel]]s durch eigenen Code, um sich selbst zu tarnen und dem Einbrecher zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen.
|-
|-
| <b>Userland-Rootkit</b> || Es ist vor allem unter [[Microsoft Windows]] verbreitet, da es keinen Zugriff auf der Kernel-Ebene benötigt. Es stellt eine [[Systembibliothek]] (DLL) bereit, die mittels verschiedener Methoden (SetWindowsHookEx, ForceLibrary) direkt in alle [[Prozess]]e injiziert wird. Ist diese Bibliothek einmal geladen, verändert sie entsprechende [[Programmbibliothek]]sfunktionen und leitet die Ausführung dieser auf sich selbst um. Damit können Informationen gezielt gefiltert oder verändert werden.
| <b>Userland-Rootkit</b> || Es ist vor allem unter [[Microsoft Windows]] verbreitet, da es keinen Zugriff auf der Kernel-Ebene benötigt. Es stellt eine [[Systembibliothek]] (DLL) bereit, die mittels verschiedener Methoden (SetWindowsHookEx, ForceLibrary) direkt in alle [[Prozess]]e injiziert wird. Ist diese Bibliothek einmal geladen, verändert sie entsprechende [[Programmbibliothek]]sfunktionen und leitet die Ausführung dieser auf sich selbst um. Damit können Informationen gezielt gefiltert oder verändert werden.

Version vom 1. Februar 2009, 13:50 Uhr

Ein Rootkit ist meist eine Sammlung von Programmen, die nach dem Einbruch in einen Rechner installiert wird, um zukünftige Anmeldevorgänge des Einbrechers zu verbergen. Während eines der Programme die Hintertür (engl. backdoor) stellt, ersetzen die anderen Systemprogramme wie ps, top oder netstat, um das Vorhandensein der Hintertür zu verschleiern.

Heute gibt es fast nur noch Rootkits der folgenden drei Typen.

Rootkit Beschreibung
Kernel-Rootkit
(auch: LKM-Rootkit)
Es ersetzt Teile des Kernels durch eigenen Code, um sich selbst zu tarnen und dem Einbrecher zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen.
Userland-Rootkit Es ist vor allem unter Microsoft Windows verbreitet, da es keinen Zugriff auf der Kernel-Ebene benötigt. Es stellt eine Systembibliothek (DLL) bereit, die mittels verschiedener Methoden (SetWindowsHookEx, ForceLibrary) direkt in alle Prozesse injiziert wird. Ist diese Bibliothek einmal geladen, verändert sie entsprechende Programmbibliotheksfunktionen und leitet die Ausführung dieser auf sich selbst um. Damit können Informationen gezielt gefiltert oder verändert werden.
Speicher-Rootkit Es existiert nur im Arbeitsspeicher. Nach einem Neustart des Betriebssystems ist es nicht mehr vorhanden.

Der Rootkit Hunter versucht Rootkits aufzuspüren.

Weblinks

Vorlage:dewi