Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties
Bron: Sysinternals

Op Sysinternals is een nieuwe versie gepost van RootkitRevealer. Het programma is aangekomen bij versienummer 1.60 en is vanaf de website als zip-pakket te downloaden. Zoals de naam al doet vermoeden, is RootkitRevealer in staat om zogenoemde rootkits te onthullen. Zodra het programma is opgestart, wordt het systeem gescand op aanwezigheid van malafide software die zich proberen te verbergen. RootkitRevealer kwam eerder in de belangstelling omdat het programma Sony's gewaagde DRM-software ontdekte. In versie 1.60 zijn naast de gebruikelijke bugfixes ook een nieuwe feature toegevoegd en is de 'revealer'-code getweakt:

This version runs from Windows XP remote desktop sessions, includes a number of bug fixes and reduces the number of false positive descrepancies.[break]
RootkitRevealer
Versienummer:1.60
Besturingssystemen:Windows 9x, Windows NT, Windows 2000, Windows XP
Website:Sysinternals
Download:http://www.sysinternals.com/Files/RootkitRevealer.zip
Bestandsgrootte:183,00KB
Licentietype:Freeware
Moderatie-faq Wijzig weergave

Reacties (22)

Mmmm, ik zou zo'n programma als dit graag als Open Source zien. Nu er de een na de andere vevolg drama's blijken vertrouw ik eigenlijk niets meer (ook al is dit tooltje niet van Sony). Open Source zou dan misschien door meer openheid dit vertrouwen terug kunnen geven.
muah.. dit progsel komt van dezelfde gast die sony's malafide praktijken aan de kaak heeft gesteld.. paranoia is leuk, maar overdrijven is ook zinloos
Dat rootkit geneuzel is pas een maandje oud. Een programma dat dan al zoveel verschillende versies nodig heeft (nu al op versie 1.60?) in zo'n korte tijd klinkt niet echt betrouwbaar.
Dat rootkit geneuzel is pas een maandje oud. Een programma dat dan al zoveel verschillende versies nodig heeft (nu al op versie 1.60?) in zo'n korte tijd klinkt niet echt betrouwbaar.
Rootkits bestaan al wel wat langer dan een maand,
en versie 1.0 van dit programma kwam in februari uit, dus het aantal updates valt nog wel mee.
Ik begrijp best je ongerustheid! }> Maar gebruik je nu ook geen Windows meer? Of andere closed source software? En kun je in je eentje een hele source gaan doorlopen of er geen fouten of malware inzitten?
Hmmz....

Nieuwe vorm van software: Checked Source.....

Die krijg je als broncode aangeleverd, en moet je eerst regel voor regel verifieren, en vervolgens zelf compileren... :o

Dat zou het predikaat Trusted Computing zeker verdienen! }>
En hoe weet je dan dat je compiler niets toevoegd? heb je die ook als open source? En zo ja...hoe heb je de compiler dan gecompileerd?

Dit probleem is al zo oud als de wereld en niet oplosbaar. Romeinse keizers riepen al uit: Wie bewaakt mijn bewakers
kom op, die compiler heb je zelf in elkaar gezet in assembly toch?
lekker "copy con" doen :)
En wie heeft assembly dan gecontroleerd of die niet stiekem code toevoegt aan bestanden bij het opslaan? :P
Je kunt het ook andersom bekijken... Als een hacker weet hoe dit programma werkt dan kan hij zijn rootkit daarop aanpassen zodat hij niet gezien wordt door dit proggie.
een beetje hacker komt daar toch wel achter.
Ik denk dat je dan op een punt zit dat je geen enkele software pakket meer kunt vertrouwen die niet Open Source is. In elk pakket zit wel een onderdeel dat aan het controleren is (wat deze dan controleert boeit even niet). Waarom zou dat niet een achterdeur kunnen zijn?
En jij bent bij machte en kennis om de code dan te evalueren en te kijken of het geen malafide praktijken uitvoert? Of vertrouw je dan op anderen die dat doen?
Of het nou open of closed source is, als iemand kwaad in de zin heeft.... .

Nou moet ik wel zeggen dat ik denk dat het makkelijker is om verborgen zaken te doen is closed software dan in open software.

Ik zie het al voor me .. ik ga even apache installeren. Ik denk dat ik hem wel kan installeeren over 1 jaar. Als ik alles gelezen heb ;)
open source is goed voor bepaalde omgevingen, maar niet overal imho.
De functionaliteit/usability van de sysinternals programmas is stukken beter dan van veel open sores apps(bvb. kde-apps).
Voor low level programmatie (bvb. netwerk stack / OS ) en high performance omgevingen (bvb. rekenclusters). Is open source software stukken beter (schaalbaarder, flexibeler, beter geprogrammeerd) dan commerciele software.
en wat nou als er een rootkit is die de api's verandert die deze rootkitrevealer gebruikt??
op site:
"lists Registry and file system API discrepancies "
...
"Thus, rootkits, whether user mode or kernel mode, that manipulate the Windows API or native API to remove their presence from a directory listing, for example, will be seen by RootkitRevealer as a discrepancy between the information returned by the Windows API and that seen in the raw scan of a FAT or NTFS volume's file system structures".

Natuurlijk kan je nu rootkits beginnen ontwikkelen die de rootkitrevealer omzeilen. Typisch kat en muis spelletje.
dat dacht ik al..
van de screenshot te zoek ging ik ervan uit dat rootkitrevealer wel op kernel niveau(of zelfs verder) de bestanden checkt en dan op user-level kijkt of deze 'bestaat'.. zoniet is ie verstopt en is er een mogelijk rootkit die dat doet..
om hier zeker van te zijn las ik effe hier dat het ook zo is..
Since persistent rootkits work by changing API results so that a system view using APIs differs from the actual view in storage, RootkitRevealer compares the results of a system scan at the highest level with that at the lowest level.
Rootkits maken gebruikt van alernate datastreams waarmee je meerdere bestanden in andere kunt saven.

Zo kan bv een 4 byte notepad bestand ook 'gevuld' worden met een exe file. Dit zit al vanaf NT 3.51 erin (en zo lang ken ik het bestaan ook al) en heeft te maken met compatibiliteit het het MacOs filesysteem.

Het heeft gewoon lang geduurd voordat iemand een lampje is gaan branden.

Wat de rookit revealer doet is eigenlijk niet veel meer dan de grootte van de file zoals zichtbaar in explorer vergelijken met de ruimte die de file op disk inneemt.
Rootkits maken gebruikt van alernate datastreams waarmee je meerdere bestanden in andere kunt saven.

Zo kan bv een 4 byte notepad bestand ook 'gevuld' worden met een exe file. Dit zit al vanaf NT 3.51 erin (en zo lang ken ik het bestaan ook al) en heeft te maken met compatibiliteit het het MacOs filesysteem.

Het heeft gewoon lang geduurd voordat iemand een lampje is gaan branden.

Nadenken en schrijven tegelijk is een zware opgave duidelijk.
alternate datastreams, 4 byte .exe, ...
Uhm ja...

Er is een bestand "foo.txt" met 2 datastreams:
1) BLAAT
2) <<Compleet exe bestand >>

Als je aan windows vraagt hoe groot is dit bestand, wordt alleen de eerste stream geteld, dus 5+2 (meen ik) bytes.

En het complete exe bestand in stream2 wordt door windows niet gezien. (Al krijg je wel een melding als je m probeert te kopieren naar een FAT disk zoals een usb stikkie)
Leuk voor de mensen met Sony cd's :)
* Added support voor Sony Rootkits :>

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True