Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 9 reacties
Bron: Sophos

Sophos Anti-Rootkit logo (41 pix) Het beveiligingsbedrijf Sophos heeft een programma ontwikkeld waarmee zogenaamde rootkits kunnen worden opgespoord. In het kort is een rootkit een stukje meestal kwaadaardige software wat zich zo diep in het systeem nestelt dat het met conventionele middelen niet of nauwelijks gedetecteerd kan worden. Het programma van Sophos kan zijn werk doen onder Windows NT, 2000, XP en 2003 Server in zowel Windows als vanaf de command line. Meer informatie is te vinden in deze handleiding. Omdat het hier gaat om de eerste uitgave is er geen changelog, wel zijn er de volgende release notes:

Key features
  • Scans running processes, windows registry and local hard drives for rootkits.
  • Identifies known rootkits and selects, by default, files for removal which will remove the rootkit component of the malware without compromising OS integrity.
  • Allows users to remove unidentified hidden files, but does not allow removal of essential system files when hidden by an identified rootkit.
  • Once the user has run a scan, the screen prompts the user through the necessary steps until every rootkit has been removed.
  • Users can switch between the GUI and command-line functionality.
  • Both context sensitive and command-line help are available.
Known issues
  • Sophos Anti-Rootkit will work on a Terminal Services or Remote Desktop environment but may produce this warning which can be ignored: 'Unable to flush drive C: (already open by another process)'.
  • If the scan is performed while the computer is in use, false positives may appear in the scan results. This is caused by files or registry entries being deleted, including temporary files being deleted automatically.
  • The malware 'Troj/SysBDr-E' can cause the entire machine to slow down to such an extent that the scan may never complete.
  • It may not be possible to clean up files on a removal drive or USB key. This is because the clean up component runs before the device drivers are loaded in the boot sequence.
  • When specifying the location of the clean up log on the command line (sarcli -cleanlog=...), it must be on a local drive rather than a network share. This is because the clean up component runs before the network drivers are loaded in the boot sequence.
  • The sarscan.log is cumulative and each entry is timestamped. The sarclean.log only contains the results of the last cleanup operation and there is no timestamp apart from the one on the file itself.
  • If rootkit components are found on a drive which uses NTFS compression, it may not be possible for SAR to identify them. In this case they will be reported as "Unknown hidden file".
  • Unidentified hidden files cannot be removed via the command line.
[break]
Sophos Anti-Rootkit 1.0 screenshot
Versienummer:1.0
Besturingssystemen:Windows NT, Windows 2000, Windows XP, Windows Server 2003
Website:Sophos
Download:http://www.sophos.com/support/cleaners/sarsfx.exe
Bestandsgrootte:1,07MB
Licentietype:Freeware
Moderatie-faq Wijzig weergave

Reacties (9)

Heeft dit tooltje enig voordeel boven rootkitrevealer?
Ja, het is niet RootkitRevealer. Met andere woorden, ze kunnen elkaar prima aanvullen. Zie ook dit stukje uitleg van de site van RootkitRevealer:
Is there a sure-fire way to know of a rootkit's presence?
In general, not from within a running system. A kernel-mode rootkit can control any aspect of a system's behavior so information returned by any API, including the raw reads of Registry hive and file system data performed by RootkitRevealer, can be compromised. While comparing an on-line scan of a system and an off-line scan from a secure environment such as a boot into an CD-based operating system installation is more reliable, rootkits can target such tools to evade detection by even them.

The bottom line is that there will never be a universal rootkit scanner, but the most powerful scanners will be on-line/off-line comparison scanners that integrate with antivirus.
Goed dat zo'n bedrijf als Sophos zich hiervoor inzet. Ik gebruik zelf al jaren Sophos (Small Business) naar tevredenheid. Echt een geweldig systeem!
[quote]
Ik gebruik zelf al jaren Sophos (Small Business) naar tevredenheid.
[\quote]

Op werk hebben we Sophos. Ben met de huidige versie blij, die werkt tenminste goed, maar de vorige die was zo gammel als een Trabantje wat betreft de update functie. Dat gaat nu automatisch en goed.

Inderdaad een mooie actie voor die rootkit. Lof voor Sophos.

[slightly off-topic]
En toch blijf ik van mening dat zoiets als virusbestrijding een overheidstaak is, zodat iedere zichzelf respecterende wereldburger gratis goede en up-to-date- antivirus software kan installeren. Dat moet best uit belastinggeld kunnen en hoeft dan niet aan de commercie overgelaten te worden.
[/slightly off-topic]
Helaas, ik heb WinXP64 en dan werkt het programma niet helemaal; de kernel driver kan niet gestart worden. Het scannen van de registry en de hard-drives gaat wel goed... Alleen hij vind dan meer dan 6000 unknown hidden registry values - en files: hij herkent alles dus als mogelijk kwaadwillend! :o :o

Er is op de Sophos-site ook geen speciale 64-bits versie...
Hoe wil je nou dat een Franse elektronicus zijn werk kan doen op een Turks elektronikabedrijf?
Niemand die de naam van executable een beetje vreemd vind... :+

(Ik snap wel dat het voor Sophos Anti-Rootkit Self Extracting Archive staat ;) )
Logitech, Microsoft, Mouseware, allemaal namen die je niet met Rootkits in verband brengt......hoe kun je in godsnaam zeker zijn of je iets kunt verwijderen zonder problemen te krijgen? Dat is hetzelfde nadeel als met RootkitRevealer :(
Inmiddels is versie 1.1 er ook.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True