Skip to content. | Skip to navigation

Personal tools
Log in
Sections
You are here: Home Archive 2005 October 01 Så detekterar man en rootkit!

Så detekterar man en rootkit!

published Oct 01, 2005 11:29   by admin ( last modified Oct 01, 2005 11:29 )
Microsoft har kommit på en riktigt, riktigt smart sätt detektera rootkits på windows. Tekniken fungerar på alla OS f ö.

Det bygger på en väldigt enkel observation: För att en rootkit ska kunna passera obemärkt i operativsystemet så måste den ljuga. Den måste ljuga om någonting: Filers storlek, deras innehåll, processer som är igång etectera. Det är genom detta ljugande som rootkit:en kan dölja sig.

Så vad man helt enkelt gör är att man ber rootkiten berätta, och sedan jämför man med sanninngen. Så här går det till rent praktiskt:

Man startar ett program på den potentiellt root:ade datorn och ber det programmet scanna igenom datorn efter checksummor och registrynycklar, och sparar resultatet på disk i en fil. Sedan bootar man om datorn med en boot-CD, och skriver en likadan fil till. Om filerna är olika så var det någon som ljög vid första scanningen!

Programmet finns beskrivet här, och Bruce Schneiers blogg om det finns här.

Och SysInternals har gjort en egen version av konceptet.