RootkitRevealer 1.60

Op Sysinternals is een nieuwe versie gepost van RootkitRevealer. Het programma is aangekomen bij versienummer 1.60 en is vanaf de website als zip-pakket te downloaden. Zoals de naam al doet vermoeden, is RootkitRevealer in staat om zogenoemde rootkits te onthullen. Zodra het programma is opgestart, wordt het systeem gescand op aanwezigheid van malafide software die zich proberen te verbergen. RootkitRevealer kwam eerder in de belangstelling omdat het programma Sony's gewaagde DRM-software ontdekte. In versie 1.60 zijn naast de gebruikelijke bugfixes ook een nieuwe feature toegevoegd en is de 'revealer'-code getweakt:

This version runs from Windows XP remote desktop sessions, includes a number of bug fixes and reduces the number of false positive descrepancies.[break]

Lees meer

Reacties (22)

Peetke

9 december 2005 13:22

Mmmm, ik zou zo'n programma als dit graag als Open Source zien. Nu er de een na de andere vevolg drama's blijken vertrouw ik eigenlijk niets meer (ook al is dit tooltje niet van Sony). Open Source zou dan misschien door meer openheid dit vertrouwen terug kunnen geven.

foppe-jan @Peetke • 9 december 2005 14:03

muah.. dit progsel komt van dezelfde gast die sony's malafide praktijken aan de kaak heeft gesteld.. paranoia is leuk, maar overdrijven is ook zinloos

Verwijderd @foppe-jan • 9 december 2005 15:18

Dat rootkit geneuzel is pas een maandje oud. Een programma dat dan al zoveel verschillende versies nodig heeft (nu al op versie 1.60?) in zo'n korte tijd klinkt niet echt betrouwbaar.

nxt @Verwijderd • 9 december 2005 19:14

Dat rootkit geneuzel is pas een maandje oud. Een programma dat dan al zoveel verschillende versies nodig heeft (nu al op versie 1.60?) in zo'n korte tijd klinkt niet echt betrouwbaar.

Rootkits bestaan al wel wat langer dan een maand,
en versie 1.0 van dit programma kwam in februari uit, dus het aantal updates valt nog wel mee.

Evil Genius @Peetke • 9 december 2005 13:26

Ik denk dat je dan op een punt zit dat je geen enkele software pakket meer kunt vertrouwen die niet Open Source is. In elk pakket zit wel een onderdeel dat aan het controleren is (wat deze dan controleert boeit even niet). Waarom zou dat niet een achterdeur kunnen zijn?

pietje63 @Peetke • 9 december 2005 16:33

Je kunt het ook andersom bekijken... Als een hacker weet hoe dit programma werkt dan kan hij zijn rootkit daarop aanpassen zodat hij niet gezien wordt door dit proggie.

Countess @pietje63 • 9 december 2005 17:02

een beetje hacker komt daar toch wel achter.

adoy

@Peetke • 9 december 2005 13:28

Ik begrijp best je ongerustheid!

Maar gebruik je nu ook geen Windows meer? Of andere closed source software? En kun je in je eentje een hele source gaan doorlopen of er geen fouten of malware inzitten?

ReLexEd @adoy • 9 december 2005 14:01

Hmmz....

Nieuwe vorm van software: Checked Source.....

Die krijg je als broncode aangeleverd, en moet je eerst regel voor regel verifieren, en vervolgens zelf compileren...

Dat zou het predikaat Trusted Computing zeker verdienen!

Ortep

@ReLexEd • 9 december 2005 14:09

En hoe weet je dan dat je compiler niets toevoegd? heb je die ook als open source? En zo ja...hoe heb je de compiler dan gecompileerd?

Dit probleem is al zo oud als de wereld en niet oplosbaar. Romeinse keizers riepen al uit: Wie bewaakt mijn bewakers

boiert @ReLexEd • 9 december 2005 15:09

kom op, die compiler heb je zelf in elkaar gezet in assembly toch?
lekker "copy con" doen

Verwijderd @ReLexEd • 9 december 2005 19:47

En wie heeft assembly dan gecontroleerd of die niet stiekem code toevoegt aan bestanden bij het opslaan?

Verwijderd @Peetke • 9 december 2005 14:42

open source is goed voor bepaalde omgevingen, maar niet overal imho.
De functionaliteit/usability van de sysinternals programmas is stukken beter dan van veel open sores apps(bvb. kde-apps).
Voor low level programmatie (bvb. netwerk stack / OS ) en high performance omgevingen (bvb. rekenclusters). Is open source software stukken beter (schaalbaarder, flexibeler, beter geprogrammeerd) dan commerciele software.

vinnux @Peetke • 9 december 2005 15:03

En jij bent bij machte en kennis om de code dan te evalueren en te kijken of het geen malafide praktijken uitvoert? Of vertrouw je dan op anderen die dat doen?
Of het nou open of closed source is, als iemand kwaad in de zin heeft.... .

Nou moet ik wel zeggen dat ik denk dat het makkelijker is om verborgen zaken te doen is closed software dan in open software.

Ik zie het al voor me .. ik ga even apache installeren. Ik denk dat ik hem wel kan installeeren over 1 jaar. Als ik alles gelezen heb

Verwijderd 9 december 2005 14:39

en wat nou als er een rootkit is die de api's verandert die deze rootkitrevealer gebruikt??

Verwijderd @Verwijderd • 9 december 2005 15:06

op site:
"lists Registry and file system API discrepancies "
...
"Thus, rootkits, whether user mode or kernel mode, that manipulate the Windows API or native API to remove their presence from a directory listing, for example, will be seen by RootkitRevealer as a discrepancy between the information returned by the Windows API and that seen in the raw scan of a FAT or NTFS volume's file system structures".

Natuurlijk kan je nu rootkits beginnen ontwikkelen die de rootkitrevealer omzeilen. Typisch kat en muis spelletje.

serhat 9 december 2005 13:43

dat dacht ik al..
van de screenshot te zoek ging ik ervan uit dat rootkitrevealer wel op kernel niveau(of zelfs verder) de bestanden checkt en dan op user-level kijkt of deze 'bestaat'.. zoniet is ie verstopt en is er een mogelijk rootkit die dat doet..
om hier zeker van te zijn las ik effe hier dat het ook zo is..

Since persistent rootkits work by changing API results so that a system view using APIs differs from the actual view in storage, RootkitRevealer compares the results of a system scan at the highest level with that at the lowest level.

Andros 9 december 2005 13:18

Leuk voor de mensen met Sony cd's

wvd_vegt 9 december 2005 14:57

Rootkits maken gebruikt van alernate datastreams waarmee je meerdere bestanden in andere kunt saven.

Zo kan bv een 4 byte notepad bestand ook 'gevuld' worden met een exe file. Dit zit al vanaf NT 3.51 erin (en zo lang ken ik het bestaan ook al) en heeft te maken met compatibiliteit het het MacOs filesysteem.

Het heeft gewoon lang geduurd voordat iemand een lampje is gaan branden.

Wat de rookit revealer doet is eigenlijk niet veel meer dan de grootte van de file zoals zichtbaar in explorer vergelijken met de ruimte die de file op disk inneemt.

Verwijderd @wvd_vegt • 9 december 2005 15:12

Rootkits maken gebruikt van alernate datastreams waarmee je meerdere bestanden in andere kunt saven.

Zo kan bv een 4 byte notepad bestand ook 'gevuld' worden met een exe file. Dit zit al vanaf NT 3.51 erin (en zo lang ken ik het bestaan ook al) en heeft te maken met compatibiliteit het het MacOs filesysteem.

Het heeft gewoon lang geduurd voordat iemand een lampje is gaan branden.

Nadenken en schrijven tegelijk is een zware opgave duidelijk.
alternate datastreams, 4 byte .exe, ...

jp @Verwijderd • 11 december 2005 13:11

Uhm ja...

Er is een bestand "foo.txt" met 2 datastreams:
1) BLAAT
2) <<Compleet exe bestand >>

Als je aan windows vraagt hoe groot is dit bestand, wordt alleen de eerste stream geteld, dus 5+2 (meen ik) bytes.

En het complete exe bestand in stream2 wordt door windows niet gezien. (Al krijg je wel een melding als je m probeert te kopieren naar een FAT disk zoals een usb stikkie)

Xiqum 9 december 2005 16:59

* Added support voor Sony Rootkits

Op dit item kan niet meer gereageerd worden.

Versienummer	1.60
Besturingssystemen	Windows 9x, Windows NT, Windows 2000, Windows XP
Website	Sysinternals
Download	http://www.sysinternals.com/Files/RootkitRevealer.zip
Bestandsgrootte	183,00kB
Licentietype	Freeware

11-'06	RootkitRevealer 1.71	11
02-'06	RootkitRevealer 1.70	19
12-'05	RootkitRevealer 1.60	22

Software-update: RootkitRevealer 1.60

Update-historie

Lees meer

Reacties (22)

Sorteer op:

Weergave: