Tipp

Die sieben besten Anti-Rootkit-Tools für Windows

Um die Begriffe Malware und Rootkit herrscht einige Verwirrung. Im Zusammenhang mit Malware wird als Rootkit der Teil bezeichnet, der dafür sorgt, dass ein Cyber-Krimineller  Zugang zum infizierten System behält. Auch wenn die eigentliche Malware-Engine aus dem infizierten System entfernt wird, kann es über das Rootkit dann erneut infiziert werden.

Ein typisches Beispiel für einen Kernel-Mode Rootkit ist ein Kernel-Treiber, sagen wir rootkit.sys. Diese Datei verwendet die Registry, um sich während des Systemstarts selbst zu laden und überwacht dann Events wie Registry-Änderungen, neue Prozesse, Registrierung neuer Dateisystem, sowie Wechselmedien wie USB-Sticks. Historisch entstand der Begriff, als Übeltäter begannen, sich mittels modifizierter Binaries Superuser-Zugriff („root“) auf Unix-Systemen zu verschaffen.

Ein Malware-Payload kann oft entfernt werden indem man die Funktion der verantwortlichen Windows-EXE/DLL unterbindet. Dies wird üblicherweise erreicht durch das Starten von Windows im abgesicherten Modus, um Registry-Schlüssel und die für den Malware-Start verantwortlichen Dateien zu entfernen. Allerdings sind Rootkits ausgefeilte Module, die sich tief im Betriebssystem (OS) verbergen, zusammen mit legitimer Software (etwa für das Funktionieren des OS notwendige Treiber). Beispiele dafür sind die TDL Rootkits und die von der Cutwail-Familie verwendeten.

Kostenlose Registrierung notwendig

  • Um diesen Artikel vollständig zu lesen, melden Sie sich bitte kostenlos an. Falls Sie schon ein Mitlgied sind, loggen Sie sich einfach oben links auf der Webseite an.

Mit dem Einreichen Ihrer Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Sie sich außerhalb der Vereinigten Staaten befinden, stimmen Sie hiermit zu, dass Ihre persönlichen Daten in die Vereinigten Staaten übertragen und dort verarbeitet werden. Datenschutz

Auftritt der Anti-Rootkit-Software

Ein Anti-Rootkit ist ein Tool zur Identifizierung verschiedener Bedrohungen, darunter schädliche und verdächtige Prozesse, Hooks oder Module, Registry-Schlüssel, veränderte Dateien sowie bekannte oder unbekannte Rootkits. Dabei helfen üblicherweise Techniken wie die Identifizierung von Prozess-Hooks, Untersuchung von Gerätetreibern, digitale Signaturen und Netzwerk-Aktivität auf dem beobachteten System. Der Nutzen von Anti- Rootkit-Software hängt oft ab von Faktoren wie:

Effektivität: Wie regelmäßig wird das Anti-Rootkit aktualisiert?

Benutzung: Wie umfangreich ist die Dokumentation?

Umsetzung: Wie wirksam sind die eingesetzten Techniken angesichts sich rasch verändernder, ausgefeilter Rootkits?

Fähigkeiten: Beim Benutzer vorhandenes Geschick und Erfahrung in Bezug auf sein Betriebssystem ist der vielleicht wichtigste Faktor.

Zu den von Anti-Rootkits eingesetzten Methoden gehört der Vergleich von Dateien, der Registry mit der eines sauberen Systems, der Kernel-Systemaufrufe mit den entsprechenden Disk-Images, Erkennen abweichender Daten-Streams, sowie Abgleich des Kernel-Speichers mit den Signaturen bekannter Rootkits.

Umfang

Anti-Rootkit-Software für Windows lässt sich in zwei Kategorien unterteilen:

1. Analytisch und diagnostisch

Die Verwendung dieser ausgefeilten Werkzeuge erfordert erhebliche Kenntnisse über die Interna des Windows-Betriebssystems. Diese Tools helfen Experten mit einem Überblick über das infizierte System. Anfänger werden mit ihrem Output vermutlich wenig anfangen können (diese Werkzeuge sind für sie auch nicht zu empfehlen). Diese Anti-Rootkits sind transparent genug, eine sezierte Ansicht des Systems zu zeigen, und fast alle kommen mit dem Warnhinweis "Benutzung auf eigene Gefahr". Es wird empfohlen, Daten vorher zu sichern oder das Tool zunächst auf einer Testmaschine einzusetzen. Da alle Werkzeuge sich mit kritischen OS-Interna befassen, könnte jeder unbeabsichtigte Fehler zu einem instabilen System und Datenverlust führen. Zu den bekannteren zählen GMER, Rootkit Unhooker und RootRepeal.

2. Scannen und reparieren

Dies ist eher eine „Quick Fix“-Kategorie. Gedacht zum Scannen und Entfernen von Rootkits, funktionieren diese Anti-Rootkits wie herkömmliche Antiviren-Software. Jedoch ist ihre Effektivität abhängig von der Häufigkeit ihrer Updates, so wird ein im Jahr 2007 veröffentlichtes Anti-Rootkit nicht in der Lage sein, die berüchtigten TDL-Rootkits (erstmals 2008 nachgewiesen) zu erkennen.

Die Programmierung eines generischen Anti-Rootkit zur Abwehr aller bekannten Typen ist eine sehr schwierige Aufgabe. Dafür ist oft ein vollständiges Antivirus-Paket besser geeignet, denn von Anti-Rootkits wird erwartet, dass sie kompakt sind. Ein paar populäre Beispiele für solche Lösungen sind Dr. Web CureIt, RootkitRevealer und F-Secure BlackLight.

Die beste Anti-Rootkit-Software

1. GMER

Kategorie: Analytisch

GMER gehört zu den besten im Internet verfügbaren Anti-Rootkit-Angeboten. Es scannt nach versteckten Prozessen, Threads, Modulen, Diensten, versteckten Dateien, alternativen Datenströmen und Registry-Schlüsseln. GMER überwacht auch Treiber, die sich in System Service Dispatch Tables (SSDT), Interrupt-Deskriptortabellen (IDT), IRP-Aufrufe und Inline-Hooks einhängen. Es ist in vielen Fällen ein unverzichtbares Werkzeug zur Entfernung von Rootkits.

2. RootRepeal

Kategorie: Analytisch

Root Repeal ist ein weiteres Tool zum Detektieren und Entfernen von Rootkits. Es scannt nach versteckten Treibern, Dateien, Prozessen, SSDT und Stealth-Objekten. Es hat eine benutzerfreundliche Oberfläche und einen guten Funktionsumfang.

3. VBA32 ARkit

Kategorie: Analytisch

Eine leistungsstarke Anti-Rootkit-Lösung. Ein gutes Feature ist das Prüfen digitaler Signaturen von gescannten Dateien.

4. Rootkit Unhooker

Kategorie: Analytisch

Ein recht beliebtes Anti-Rootkit.

5. Dr. WebCureIt

Kategorie: Scan & Fix

Ein effektives und einfach zu verwendendes Scan- und Removal-Tool. Die kostenlose Version ist nur für Heim-PCs verfügbar und führt einen Express-Scan aus.

6. Sysreveal

Kategorie: Analytisch

Sysreveal ist ein weiteres aufstrebendes Anti-Rootkit-Tool. Es kann Prozesse, Treiber SSDT, IDT und verschiedene Arten von Hooks sichtbar machen.

7. IceSword

Kategorie: Analytisch

IceSword scannt und überwacht Prozesse, Ports, Kernel-Module, Autostart-Programme, Windows-Dienste, Protokolle und die Erstellung von Threads. Es ist ein ausgezeichnetes Werkzeug zur Diagnostik und Abwehr von Rootkits. Da es von einem chinesischen Programmierer geschrieben wurde, gibt es nur eine begrenzte Unterstützung für Englisch und andere Sprachen.

Abgesehen von diesen populären Paketen verdienen auch folgende Scan-and-Fix-Lösungen eine Erwähnung:

RootkitRevealer von Windows Sysinternals

F-Secure BlackLight

McAfee RootkitRemover

Panda Anti Rootkit

Trend Micro Rootkit Buster

Sophos Anti-Rootkit (Virus Removal Tool)

Über den Autor: Aditya Lad hat einen B.Tech-Abschluss in Elektrotechnik von der IIT Roorkee. Computer-Sicherheit gehört zu seinen Hauptinteressen. Derzeit arbeitet Lad als Software-Entwickler bei einem in Bangalore ansässigen Unternehmen und gehört zum Bangalore-Chapter von null, einer Community für Open Security (www.null.co.in). Er ist erreichbar unter lad.adit@gmail.com.

Artikel wurde zuletzt im März 2011 aktualisiert

Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.

    Haftungsausschluss: Unser Tipp-Austausch ist ein Forum, in welchem Sie technische Beratung und Fachkenntnisse mit Ihrem Peers teilen können, sowie auch von anderen IT-Profis lernen können. TechTarget bietet die Infrastruktur, um dieses Teilen von Informationen zu erleichtern. Wie auch immer, wir können nicht die Genauigkeit oder die Gültigkeit des vorgelegten Materials garantieren. Sie stimmen zu, dass Ihre Benutzung von dem „Fragen Sie den Experten“ Service, sowie auch Ihr Vertrauen von jeglichen Fragen, Antworten, Informationen oder anderen empfangenen Materialien von dieser Webseite auf Ihre eigenes Risiko läuft.