Sophos Anti-Rootkit gibt an, unter 64-Bit-Windows 7 nach Rootkits suchen und diese entfernen zu können.
Gibt es eine Möglichkeit, unter 64-Bit-Windows 7 Rootkits zu finden
20631
Seth Spearman
Ich war bei der Arbeit und bekam einen Helpdesk-Anruf wegen einer ziemlich schweren Malware-Infektion, und ich musste an meinen eigenen Computer denken.
Ich verwende Windows 7 64-Bit-RC1 auf meinem täglichen Laptop. Ich verwende ESET NOD32 Antivirus, das sich gut auf dem neuesten Stand hält. Ich habe die Benutzerkontensteuerung nie ausgeschaltet.
Ich bin auch ein Computerprofi, also habe ich eine ziemlich gute Idee, wenn ich NICHT in einem Windows-Dialog, der unhöflich aussieht, auf OK klickt.
Alles in allem, um zu sagen, dass ich sauber bin, aber ich wollte sicher gehen, dass ich im abgesicherten Modus gebootet und heruntergeladen habe und einen schnellen Scan mit dem gut empfohlenen Anti-Malware-Tool MalwareBytes durchgeführt habe. Es wurde nur ein seltsamer Registryeintrag gefunden, den ich gelöscht habe. Es wurden keine Datei- oder Ordnerprobleme gefunden. Ich habe einen Neustart durchgeführt, um die Bereinigung wie gewünscht abzuschließen. Ich war überrascht, weil es lediglich einen Registrierungseintrag bereinigte.
Oh ja ... Eine andere Sache ist die professionelle Edition von BillP Studio von WinPatrol.
Nach dem normalen Neustart warnte WinPatrol vor dem neuen Programm MalwareBytes, das ich erwartet und zugelassen hatte. Aber zu meiner Überraschung musste ich auch die Installation / Einrichtung von userinit bestätigen (ich kann mich nicht erinnern, ob es dll oder exe war), aber die Programminfo war, dass dies die Datei ist, die den Startbildschirm für Windows darstellt. Ich habe es erlaubt, aber es hat mich überrascht.
Eine letzte Sache. Ich habe auch versucht, Root-Kit-Reverer und IceSword auszuführen, damit ich einen Rootkit-Scan auf meinem Computer durchführen kann. Keiner von beiden würde laufen, und ich bin mir ziemlich sicher, dass ich ein 64-Bit-Betriebssystem habe.
Hier sind meine Fragen:
Ist es normal, dass userinit nach einem Scan mit MalwareBytes "neu installiert" oder "re-init" ist? Wenn nicht, warum wurde eine Aufforderung zur Genehmigung von Berechtigungen für diese Datei angezeigt?
Gibt es eine bekannte / empfohlene Methode für einen Rootkit-Scan eines 64-Bit-Windows-Systems?
Ist es möglich, dass mein Rechner WENIGER ist und wahrscheinlich ein Rootkit-Problem hat, WEIL ich als 64-Bit-Betriebssystem arbeite. Müsste ein Rootkit nicht als 64-Bit-Prozess ausgeführt werden? Ist es nicht wahrscheinlich, dass Rootkits jetzt nicht in das Ziel 64-Bit geschrieben werden, da dies eine kleinere Zielgruppe ist? Ist meine Risikofläche tatsächlich geringer?
Danke im Voraus.
Seth
Idk zum Rest, aber zu # 3: Nein. Windows 64-Bit unterstützt die Ausführung von 32-Bit-Prozessen, falls Sie dies noch nicht bemerkt haben.
Will Eddins vor 14 Jahren
0
Ich bin daran interessiert, mehr über die so genannte neue Sicherheit zu erfahren, die Windows 7 zu haben behauptet. Hat jemand irgendwelche harten Informationen dazu? Ich habe bisher nur davon gehört, dass es besser ist und dass Windows Defender nun auch Viren abdeckt.
Sakamoto Kazuma vor 14 Jahren
0
Guard, es ist wahr, dass Sie 32-Bit-Programme ausführen können. Sie können jedoch keine 32-Bit-Treiber ausführen. 64-Bit erfordert 64-Bit-Treiber. Und der Punkt der Frage ist, ich würde DENKEN - aber ich kann nicht sicher sein, weshalb ich frage -, dass ein Rootkit Unterstützung / Berechtigungen auf Treiberebene und nicht nur Unterstützung / Berechtigungen auf Anwendungsebene benötigt.
Seth Spearman vor 14 Jahren
0
Das ist ein guter Punkt, Seth. Ein Kernel-Rootkit benötigt in der Tat einen Treiber. Da bestimmte Teile des Kernels ausgetauscht werden müssen, müssen 64-Bit-Versionen oder ein Absturz unter Win 64-Bit entwickelt werden. Es muss jedoch auch gesagt werden, dass es andere Arten von Rootkits (http://en.wikipedia.org/wiki/Rootkit#Types) gibt, für die kein Gerätetreiber erforderlich ist. Außerdem müssen nicht alle Gerätetreiber speziell für 64-Bit-Betriebssysteme entwickelt werden.
A Dwarf vor 14 Jahren
0
3 Antworten auf die Frage
2
raven
0
A Dwarf
Gibt es eine bekannte / empfohlene Methode für einen Rootkit-Scan eines 64-Bit-Windows-Systems?
Es gibt nur zwei Programme, denen ich vertraue: ComboFix, gefolgt von RegDelNull .
Ich bin mir jedoch nicht sicher, was ComboFix 64bit unterstützt. Wenn Sie jedoch einen Wiederherstellungspunkt erstellen, bevor Sie ihn verwenden, sollten Sie die Wiederherstellungskonsole verwenden können, um ihn wiederherzustellen, falls etwas schief geht.
Aber ich habe das Bedürfnis, hier zwei Punkte zu machen:
1. 64-Bit-Wahnsinn
Ich muss noch verstehen, warum 64-Bit-Versionen Ihrer Betriebssysteme bestehen. Aus praktischen Gründen ergeben sich daraus nahezu 0 Vorteile. Ein 64-Bit-Betriebssystem ist nur nützlich, wenn 64-Bit-Anwendungen, die die neuen Prozessorfunktionen und den Adressraum nutzen, zum Mainstream werden. Das ist nicht der Fall. Sehr wenige Anwendungen sind echte 64-Bit-Anwendungen und solche, die nur aus Kompatibilitätsgründen verwendet werden. In den meisten Fällen verwenden diese Anwendungen keine dieser Funktionen. Und dann geraten Sie in Schwierigkeiten, wenn Sie versuchen, spezielle Software zu erhalten, die unter 64-Bit möglicherweise nicht gut läuft.
2. Methoden
Es gibt keine eindeutige Möglichkeit, Rootkits zu überprüfen. Selbst Combofix verwendet sicherlich eine eigene Methodik, die es anderen oder neueren Rootkits ermöglicht, unbeschadet durchzugehen. Ihre bevorzugten Tools sind jedoch immer die Wiederherstellungskonsole oder der Start im abgesicherten Modus, in dem viele dieser Rootkits nicht funktionieren.
Damit bieten einige Firewall-Produkte einen Schutz auf Systemebene ( z. B. Comodo ), mit dem Sie Aufforderungen auf Systemebene sehen können, die über viele Änderungen auf Ihrem Computer informieren.
Außerdem sollte UAC auf der höchsten Ebene aktiviert sein und von einem Nicht-Administrator-Konto aus ausgeführt werden. Dafür wurde UAC entwickelt, und es gibt wirklich keine Entschuldigung mehr, unsere Windows-Computer nicht unter einem nicht privilegierten Konto auszuführen. Kein Rootkit wird das umgehen, was bedeutet, dass Sie sich keine Sorgen um die Suche machen müssen.
Ist es möglich, dass mein Rechner WENIGER ist und wahrscheinlich ein Rootkit-Problem hat, WEIL ich als 64-Bit-Betriebssystem arbeite. Müsste ein Rootkit nicht als 64-Bit-Prozess ausgeführt werden? Ist es nicht wahrscheinlich, dass Rootkits jetzt nicht in das Ziel 64-Bit geschrieben werden, da dies eine kleinere Zielgruppe ist? Ist meine Risikofläche tatsächlich geringer?
Unglücklicherweise nicht. Wie bereits erwähnt, ermöglichen 64-Bit-Systeme die Ausführung von 32-Bit-Anwendungen auf jeder Ebene. Aber Achtung! Sie fügen ein gewisses Maß an Schutz hinzu, da Rootkits unter vielen Umständen aus einem 64-Bit-Betriebssystem ausfallen können. Dieselbe wie viele andere 32-Bit-Anwendungen neigen unerklärlicherweise dazu, unter 64-Bit-Betriebssystemen zu versagen. Rootkits sind gegen Fehler nicht immun. Aber das war es schon.
Allerdings gibt es auch die Möglichkeit, dass bestimmte Rootkits gezielt auf 64-Bit-Systeme abzielen. Sie sind also wirklich nirgendwo sicherer.
64 Bit werden erforderlich, wenn Sie mehr als 3 GB an einem Computer verwenden möchten - mit dem viele Computer ausgeliefert werden, die heute ausgeliefert werden.
Sanjay Sheth vor 14 Jahren
1
Und dennoch nutzt keine 32-Bit-Software den zusätzlichen Adressraum aus und praktisch keine 64-Bit-Software. Das ist mein Punkt, Sanjay. Außer sehr spezialisierter Software in den Bereichen Engineering, Scientific und möglicherweise Movie haben Sie derzeit keine Verwendung.
A Dwarf vor 14 Jahren
0
Virtualisierung
Bender vor 14 Jahren
0
Es ist unabhängig vom Prozessoradressraum. 32-Bit-Prozessoren bieten auch Hardwarevirtualisierung
A Dwarf vor 14 Jahren
0
Ja, aber die Erinnerung wird schnell knapp.
Bender vor 14 Jahren
0
Ein Zwerg, der Punkt ist nicht, dass die Programme ihn nicht unterstützen. Der Punkt ist, dass Sie nur 4 GB RAM auf einem 32-Bit-System adressieren können (die tatsächliche Unterstützung beträgt 3 GB), während 64-Bit-Adressen adressieren können (nicht sicher - liegt das über einem Terabyte?). Auf jeden Fall hatte mein PC 4 GB RAM und ich habe viele virtuelle Maschinen. Deshalb wollte ich es. Trotzdem ist 64-Bit auch nach all den Jahren ein Schmerz. Ich hatte viele Probleme mit der Treiber- und Anwendungsunterstützung. Ich habe es geschafft, sie zu umgehen, aber es war ein Schmerz. Seth
Seth Spearman vor 14 Jahren
0
Ich verstehe Seth :) Aber die Frage bleibt ... Warum brauchst du mehr als 4 GB? Das ist die Frage. Aber ich bitte dich, sei objektiv.
A Dwarf vor 14 Jahren
0
Ich führe mehrere virtuelle Virtualbox-Maschinen gleichzeitig aus. Und mein Host ist auch Windows 7. Dies wäre ohne 4 GB RAM nicht möglich (oder zumindest unangenehmer).
Seth Spearman vor 14 Jahren
0
0
Ich verwende Combofix regelmäßig auf 64-Bit-Vista. Nach meiner Erfahrung nutzt 64bit den Systembetrieb unabhängig davon, ob die Anwendung dies tut oder nicht. Obwohl ich nicht der Meinung bin, dass vista 64 100% rootkit-frei ist, ist es viel schwieriger, rootkits auf einem 64-Bit-Betriebssystem zu erhalten. Es ist schwierig für Hersteller von Hardware, Treiber für 64-Bit-Versionen zu erstellen. Ich denke nicht, dass wir zu viele 64-Bit-Root-Kits für eine Weile sehen werden. Und wenn Sie auf 64bit hassen, gewöhnen Sie sich daran, ob Sie es mögen oder nicht, 4 GB RAM werden veraltet. Wenn dies der Fall ist, wird 64bit benötigt.
Verwandte Probleme
-
2
Erinnert sich Windows 7 Home Premium an Netzwerkfreigaben-Passwörter?
-
4
Wie sperre ich rechtsbündige Symbolleisten in Windows 7, ohne dass sie schrecklich aussehen
-
4
Windows 7 "Aero Snap" -Funktion für Ubuntu GNOME
-
3
Meine zweite Festplatte ist in Windows 7 nicht sichtbar
-
2
Fingerabdruckerkennung in Vista x64
-
5
64-Bit-Betriebssystem und VPN-Software
-
7
Wie ersetze ich Notepad in Windows 7?
-
2
Wie werden Windows 7-Taskleistensymbole in zwei Reihen angeordnet?
-
8
Sollte ich 32 oder 64 Bit für Linux wählen?
-
1
Probleme beim Standby unter Windows 7