Hallo,

das ein Rootkit Dateien und Tasks vor Windows verstecken kann, ist mir bekannt, aber wie sieht es mit den Netzwerkverbindungen aus? Ist ein Rootkit auch hier in der Lage, die Netzwerkverbindungen z.B. vor TCPView oder netstat zu verstecken?

Danke, Cimba

Zitat:

Zitat von Cosinus

Intelligentere Malware sieht man nicht über netstat

Von hier
hatetepe://www.trojaner-board.de/78982-komischer-eintrag-netstat.html



Intelligente Malware schließt Rootkits wohl mit ein.

Danke, aber ich hätt's doch noch gerne genauer vom Prinzip her: Rootkits verstecken sich vor dem System, weil sie die Dateiabfrageroutinen verändern, daher kann also grundsätzlich kein Programm, was diese Routinen benutzt, die Rootkit Dateien erkennen.

Funktioniert nun das Verstecken der Netzwerkverbindungen nach einem ähnlichem Prinzip (das also ALLE Programme diese Verbindungen nicht sehen), oder muss hier die Malware explizit gewisse Programme wie netstat austricksen, so das also z.B. TCPView oder auch Wireshark wieder funktionieren würden?

Zitat:

Zitat von Cimba

Danke, aber ich hätt's doch noch gerne genauer vom Prinzip her: Rootkits verstecken sich vor dem System, weil sie die Dateiabfrageroutinen verändern, daher kann also grundsätzlich kein Programm, was diese Routinen benutzt, die Rootkit Dateien erkennen.

Funktioniert nun das Verstecken der Netzwerkverbindungen nach einem ähnlichem Prinzip (das also ALLE Programme diese Verbindungen nicht sehen), oder muss hier die Malware explizit gewisse Programme wie netstat austricksen, so das also z.B. TCPView oder auch Wireshark wieder funktionieren würden?

Da bin ich eindeutig überfragt.
Ich kann dir lediglich sagen dass jeder Malwarescanner anders arbeitet und man gerade deshalb nicht davon reden kann das "alle Programme" ein bestimmtes Rootkit nicht erkennen. Ich denke mal ein Kompetenzler wird dich bald versorgen

mfg gnom

Sagen wirs mal so: wenn CMD und TCPview auch mit besagten Dateiabfrageroutinen arbeiten, kannst Du davon ausgehen dass ein Rootkit diese ebenfalls täuschen kann.

Ein kompromittiertes System kann "Unterprogramme" wie netstat "anlügen" - es werden dann gezielt die bösen Einträge nicht angezeigt. Theoretisch ist alles denkbar.

Zitat:

so das also z.B. TCPView oder auch Wireshark wieder funktionieren würden?

Da den Ergebnissen auf dem kompromittierten System im Grunde nicht zu trauen ist, müsste man andere Wege finden es zu analysieren. Inwiefern man Wireshark austricksen kann ist mir nicht bekannt.