Rootkit: Unterschied zwischen den Versionen
Michi (Diskussion | Beiträge) |
Michi (Diskussion | Beiträge) |
||
| Zeile 1: | Zeile 1: | ||
| − | Ein <b>Rootkit</b> ist meist eine Sammlung von Programmen, die nach dem Einbruch in ein [[Betriebssystem]] installiert wird, um zukünftige Anmeldevorgänge des Einbrechers zu verbergen. Während eines der Programme die Hintertür (engl. backdoor) stellt, ersetzen die anderen Systemprogramme (z. B. [[ps]], [[top]], [[netstat]]), um das Vorhandensein der Hintertür zu verschleiern. | + | Ein <b>Rootkit</b> (engl. etwa "Systemverwalterbausatz") ist meist eine Sammlung von Programmen, die nach dem Einbruch in ein [[Betriebssystem]] installiert wird, um zukünftige Anmeldevorgänge des Einbrechers zu verbergen und verdächtige [[Prozess]]e und [[Datei]]en vor dem SYstemverwalter zu verstecken. Während eines der Programme die Hintertür (engl. backdoor) stellt, ersetzen die anderen Systemprogramme (z. B. [[ps]], [[top]], [[netstat]]), um das Vorhandensein der Hintertür zu verschleiern. |
| + | |||
| + | Der [[Benutzer]] "root" ist unter unixartigen Betriebssystemen der höchstprivilegierte Benutzer und somit das lohnendste Ziel von Angriffen. Inzwischen gibt es längst auch Rootkits für Nicht-Unix-Systeme. Antivirensoftware versucht, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es, Malware vor den Antivirenprogrammen und dem Benutzer zu verbergen (zu tarnen). | ||
Heute gibt es fast nur noch Rootkits der folgenden drei Typen. | Heute gibt es fast nur noch Rootkits der folgenden drei Typen. | ||
Version vom 3. März 2009, 19:23 Uhr
Ein Rootkit (engl. etwa "Systemverwalterbausatz") ist meist eine Sammlung von Programmen, die nach dem Einbruch in ein Betriebssystem installiert wird, um zukünftige Anmeldevorgänge des Einbrechers zu verbergen und verdächtige Prozesse und Dateien vor dem SYstemverwalter zu verstecken. Während eines der Programme die Hintertür (engl. backdoor) stellt, ersetzen die anderen Systemprogramme (z. B. ps, top, netstat), um das Vorhandensein der Hintertür zu verschleiern.
Der Benutzer "root" ist unter unixartigen Betriebssystemen der höchstprivilegierte Benutzer und somit das lohnendste Ziel von Angriffen. Inzwischen gibt es längst auch Rootkits für Nicht-Unix-Systeme. Antivirensoftware versucht, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es, Malware vor den Antivirenprogrammen und dem Benutzer zu verbergen (zu tarnen).
Heute gibt es fast nur noch Rootkits der folgenden drei Typen.
| Rootkit | Beschreibung |
|---|---|
| Kernel-Rootkit (auch: LKM-Rootkit) |
Es ersetzt Teile des Kernels durch eigenen Code, um sich selbst zu tarnen und dem Einbrecher zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen. |
| Userland-Rootkit | Es ist vor allem unter Microsoft Windows verbreitet, da es keinen Zugriff auf der Kernel-Ebene benötigt. Es stellt eine Systembibliothek (DLL) bereit, die mittels verschiedener Methoden (SetWindowsHookEx, ForceLibrary) direkt in alle Prozesse injiziert wird. Ist diese Bibliothek einmal geladen, verändert sie entsprechende Programmierschnittstellenfunktionen und leitet die Ausführung dieser auf sich selbst um. Damit können Informationen gezielt gefiltert oder verändert werden. |
| Speicher-Rootkit | Es existiert nur im Arbeitsspeicher. Nach einem Neustart des Betriebssystems ist es nicht mehr vorhanden. |
Der Rootkit Hunter versucht, Rootkits aufzuspüren.