Så detekterar man en rootkit!
Microsoft har kommit på en riktigt, riktigt smart sätt detektera rootkits på windows. Tekniken fungerar på alla OS f ö.
Det bygger på en väldigt enkel observation: För att en rootkit ska kunna passera obemärkt i operativsystemet så måste den ljuga. Den måste ljuga om någonting: Filers storlek, deras innehåll, processer som är igång etectera. Det är genom detta ljugande som rootkit:en kan dölja sig.
Så vad man helt enkelt gör är att man ber rootkiten berätta, och sedan jämför man med sanninngen. Så här går det till rent praktiskt:
Man startar ett program på den potentiellt root:ade datorn och ber det programmet scanna igenom datorn efter checksummor och registrynycklar, och sparar resultatet på disk i en fil. Sedan bootar man om datorn med en boot-CD, och skriver en likadan fil till. Om filerna är olika så var det någon som ljög vid första scanningen!
Programmet finns beskrivet här, och Bruce Schneiers blogg om det finns här.
Och SysInternals har gjort en egen version av konceptet.
Det bygger på en väldigt enkel observation: För att en rootkit ska kunna passera obemärkt i operativsystemet så måste den ljuga. Den måste ljuga om någonting: Filers storlek, deras innehåll, processer som är igång etectera. Det är genom detta ljugande som rootkit:en kan dölja sig.
Så vad man helt enkelt gör är att man ber rootkiten berätta, och sedan jämför man med sanninngen. Så här går det till rent praktiskt:
Man startar ett program på den potentiellt root:ade datorn och ber det programmet scanna igenom datorn efter checksummor och registrynycklar, och sparar resultatet på disk i en fil. Sedan bootar man om datorn med en boot-CD, och skriver en likadan fil till. Om filerna är olika så var det någon som ljög vid första scanningen!
Programmet finns beskrivet här, och Bruce Schneiers blogg om det finns här.
Och SysInternals har gjort en egen version av konceptet.