Symantec roept op tot definitie 'rootkit'

Symantec roept op de term 'rootkit' te definiëren. Dit doet het bedrijf nadat het er zelf van beschuldigd werd gebruik te maken van een rootkit voor zijn antivirussoftware. Symantec hecht er waarde aan niet met Sony onder een noemer te worden geplaatst als het om rootkits gaat. Symantec heeft weliswaar toegegeven dat zijn software informatie verbergt voor de Windows API, maar daar meteen ook aan toegevoegd dat die informatie in tegenstelling tot Sony's rootkit niet kan worden ingezet door kwaadwillenden.

Mark Russinovich, de man die verantwoordelijk was voor het onthullen van Sony's rootkit, vindt dat de term zuiver technisch afgebakend zou moeten worden en dat de intentie van de makers van een 'rootkit' niet van belang zou moeten zijn voor de definitie ervan. Symantec heeft inmiddels contact opgenomen met IT-ISAC en hun gevraagd om te helpen om een discussie op gang te brengen rondom het begrip. Alan Paller van het SANS-instituut denkt dat een definitie van de term vooral handig is voor de professionals in het veld, maar dat het publiek er niet veel mee zal doen. 'Zelfs als er een goede definitie voorhanden zal zijn, zal dat het gebruik van de term door het publiek en marketingmensen niet doen veranderen.'

Reacties (45)

Verwijderd 16 januari 2006 11:56

Symantec roept op de term 'rootkit' te definiëren.

Ik las laatst een leuke definitie op de site van Sysinternals:

What is a Rootkit?

The term rootkit is used to describe the mechanisms and techniques whereby malware, including viruses, spyware, and trojans, attempt to hide their presence from spyware blockers, antivirus, and system management utilities. There are several rootkit classifications depending on whether the malware survives reboot and whether it executes in user mode or kernel mode.

Er is zelfs een -gratis- tooltje om te zien of je PC besmet is.

curry684 @Verwijderd • 16 januari 2006 14:03

Sysinternals == Mark Russinovich, en als hij deze definitie op z'n website heeft staan is het best lef hebben om de software van Kaspersky en Symantec vervolgens als rootkit te bestempelen. Kijk maar:

The term rootkit is used to describe the mechanisms and techniques whereby malware, including viruses, spyware, and trojans, attempt to hide their presence from spyware blockers, antivirus, and system management utilities.

Essentieel zegt ie dus dat Kaspersky AV en Symantec malware zijn als ie bij z'n statements blijft. Hij maakt zelf in z'n definitie juist zo'n sterk onderscheid tussen goed en slecht gebrui.

YaPP @curry684 • 16 januari 2006 19:50

Essentieel zegt ie dus dat Kaspersky AV en Symantec malware zijn als ie bij z'n statements blijft

Of dat sluit juist uit dat Kaspersky en Symantec rootkits installeren. Het gaat bij een rootkit immers om de kwade bedoelingen die de software daarmee heeft.

Verwijderd @YaPP • 17 januari 2006 02:01

Ik zie liever geen 1 stukje software die ook maar enige bedoeling van zichzelf uit heeft, anders dan waar de software voor bedoeld is. Leuk dat Symantec tooltjes installeerd om te kijken hoeveel kopietjes er in de wereld worden gebruikt, het feit blijft echter dat ze zelf informatie verhalen waarvan ze niet aangeven dat ze dit doen, laat staan, de inbreuk op de privacy.

Bottom line is imho, als software een eigen leven gaat leiden kunnen we nergens meer een stukje data save opslaan of bekijken. Geen software fabrikant heeft het recht om processen softwarematig uit te voeren zonder dat de gebruiker hiervan in kennis is gesteld.

Dat Syamntec nu aangeeft dat ze niet met rootkits geassocieerd willen worden is denk ik heel slecht. Hiermee probeer je enigsinds aan te geven, zolang het maar geen rootkit heet, maar we toch nog zelf processen kunnen draaien zonder dat de gebruiker dit weet is wel degelijk een gevaarlijk feit, gewoon omdat hierdoor niet valt te overzien wat een bedrijf met jouw systeem doet, laat staan met de informatie van je pc.

Ongewenst lijkt me

Bal ligt bij de wetgever

Skyclad @Verwijderd • 16 januari 2006 12:09

Ze zullen een iets 'officielere' definitie willen om zichzelf te kunnen vrijwaarden van aanklachten. Als een spyware bedrijf op hun website zet dat hun software goed is en dat alle software die dat van hun weghalen illegaal is betekent dit niet dat de rechter het daarmee meteen eens is. Als de 50 grootste ondernemingen hetzelfde zeggen is die kans iets groter.

Edit: Damn, het is ook veel 'te vroeg'

Dacht dat er stond dat het van de site van Symantec zelf kwam

YaPP @Verwijderd • 16 januari 2006 19:52

Er is zelfs een -gratis- tooltje om te zien of je PC besmet is.

vergeet niet dat een goede rootkit niet te vinden is. De taak van een rootkit is immers onopvallend files en processen verbergen voor de applicaties.

Als een rootkit hier in slaagt kan de scanner deze bestanden dan ook niet detecteren. De enige remedie is dan een scan draaien vanaf een bootable CD, en de zaak opnieuw installeren.

TinusH777 16 januari 2006 13:08

Volgens mij is het heel simpel:
een rootkit wijzigd de werking van het besturingssysteem.
Bij bacterien heb je goedaardige (darmbacterien) en slechtaardige (TBC).
In principe zijn alle anti virussen rootkits, omdat deze de werking van het OS veranderen.

Wat Symantic bedoeld is: ze hebben een definitie nodig van rootkits die stout zijn.
Dat zijn dit de kits die:
1) zich zelf niet identificeren aan de gebruiker
2) of geen uninstaller hebben
3) of geen toestemming hebben gevraagd zich te installeren

Eigenlijk zou ik willen zien dat alle software die aan punten 1, 2 of 3 voldoen, wettelijk gezien worden als illegaal en strafbaar.

ShellGhost @TinusH777 • 16 januari 2006 13:45

Vervelende is alleen dat sommige ad- spyware ook die punten niet "naleven" die jij opsteld.
Dus wordt ad- spyware per definitie meteen geclassificeerd als "rootkit".
Wat naar mijn idee niet helemaal juist is, hoe een hekel ik ook heb aan ad- spyware....

TinusH777 @ShellGhost • 16 januari 2006 15:31

Er is SOFTWARE en MALWARE.

Of malware werkt met rootkit truucjes of andere truucjes is eigenlijk niet interessant.

Wat voor zin heeft het nou om te discussieren of cmd.exe aanpassen 'rootkit' is of niet.

Vastloper @TinusH777 • 16 januari 2006 14:06

Oh ja dan ben ik ook ineens strafbaar vanwege mijn hobby software die ik maak die geen installer en dus ook geen uninstaller hebben en dus ook geen toestemming tot instalatie vragen, omdat dit domweg niet nodig is. executable alleen is ook vaak voldoende. En dat geld waarschijnlijk voor veel software hobyisten. Sterker nog, zelfs voor web applets ed die geen installer hebben. We hebben op die manier wel erg veel gevangenissen nodig als de halve software developer wereld er ineens in moet

Leuke ideeen heb jij! Zullen we het weer over alleen rootkits hebben ipv alle software?

TinusH777 @Vastloper • 16 januari 2006 15:33

Een executable en applet installeerd zich niet. Als ze alleen draaien en lokaal neergezet worden door de gebruiker is dit dus geen malware.

Als jij je applet stiekem lokaal neerzet in de starup folder wel.

Bor Coördinator Frontpage Admins / FP Powermod 16 januari 2006 12:48

Zelfs Wikipedia heeft het antwoord:

[quote]
Origins of rootkits

The term "rootkit" (also written as "root kit") originally referred to a set of recompiled Unix tools such as "ps", "netstat", "w" and "passwd" that would carefully hide any trace of the intruder that those commands would normally display, thus allowing the intruders to maintain "root" on the system without the system administrator even seeing them.

Generally now the term is not restricted to Unix based operating systems, as tools that perform a similar set of tasks now exist for non-Unix operating systems such as Microsoft Windows (even though such operating systems may not have a "root" account).
[edit]

Functions of a rootkit

A rootkit typically hides logins, processes, files, and logs and may include software to intercept data from terminals, network connections, and the keyboard. In many instances, rootkits are counted as trojan horses.
[/quote]

WhiteDog 16 januari 2006 11:51

Lijkt me simpel: elk bestand of process dat niet door de gebruiker gezien kan worden op een normale manier. Wat dus het geval is bij de rootkits van Sony en Symantec.

Bor Coördinator Frontpage Admins / FP Powermod @WhiteDog • 16 januari 2006 11:57

Een root kit is een software pakket wat admin of root rechten behaald zonder zichtbaar te worden voor de legitieme gebruiker. Vandaar ook de "root" in rootkit. Simpelweg een hidden process is geen rootkit per definitie. De naam rootkit komt dan ook uit de linux crackers wereld waar men middels software, exploits en backdoors root rechten tracht te behalen zonder dat de eigenlijke root dit door heeft.

Verwijderd @Bor • 16 januari 2006 12:02

Klopt niet helemaal...

Een rootkit word geinstalleerd als er al root/admin rechten zijn behaald. Het is bedoeld om de aanwezigheid van een aanvaller en de activiteiten daarvan te verbergen

RobT @Bor • 16 januari 2006 14:09

En nog een kleine correctie:

De naam rootkit komt dan ook uit de linux crackers wereld ...

Nee, het komt uit de UNIX wereld, waar Linux een deel van uitmaakt....

TromboneFreakus @WhiteDog • 16 januari 2006 11:54

Lijkt me simpel: elk bestand of process dat niet door de gebruiker gezien kan worden op een normale manier. Wat dus het geval is bij de rootkits van Sony en Symantec.

Even in juristenmodus: wat is een gebruiker (limited user, admin, power user, etc.), wat is een normale manier (taskmanager, ander hulpprogramma, etc), wat is een process (actief, inactief, bepaalde activiteiten, etc.), etc??

0rbit @TromboneFreakus • 16 januari 2006 12:07

Even de ontologenmodus: Definieer zijn.

Verwijderd @TromboneFreakus • 16 januari 2006 20:44

Eigenlijk toch verdraait simpel.

Windows verkenner (+verborgen bestanden) als Power user of hoger.

ILUsion @WhiteDog • 16 januari 2006 17:11

Zelf zou ik liever volgende definitie gebruiken:
"Een rootkit is een programma of mechanisme dat buiten het door de systeembeheerder ingestelde veiligheidsbeleid (policies) om toegang verschaft tot bronnen (apparaten, programma's, ...) die onder het normale beleid ontoegankelijk zouden zijn voor een programma van de gebruiker, waarbij het besturingsprogramma al dan niet afgesloten wordt en waarbij de rootkit al dan niet verborgen wordt voor de gebruiker."

Op zich is de rootkit niet meer dan dat. Het draait erom dat een rootkit je (of een programma) machtigingen geeft die je niet zou hebben zonder dat programma. Een Linux-programma dat je wachtwoord van XP terugzet, een programma dat zich niets van de NTFS-machtigingen aantrekt, ... zijn volgens mij allemaal als rootkit te gebruiken. De legaliteit hangt echter af van het feit of het jouw computer is of niet. Als systeembeheerder kun je met een rootkit je foutjes weer gaan rechtzetten.

Ik weet niet juist wat Sony met hun 'rootkit' doen, maar als ze vanuit gewone gebruikersmodus heel het systeem verneuken is het voor mijn part een rootkit. Als het echter enkel in adminmodus werkt en alles verneukt is het voor mij gewone malware (=software die buiten de wil én het weten van de gebruiker om instellingen aanpast, o.a. spyware (verstuurt informatie van de gebruikers), adware (toont reclame), trojan (handigt de besturing over aan een derde)...). Zo kan een rootkit onder malware vallen, maar als je het zelf gebruikt valt het volgens mij gewoon onder beveiligingssoftware.

riddles @ILUsion • 16 januari 2006 18:15

Volgens mij vergeet je nog een paar onderdelen:
- ten eerste moet het om een verborgen programma of mechanisme gaan. Een simpele shell met suid rechten is zeer eenvoudig detecteerbaar en verwijderbaar.
- ten tweede zorgt een rootkit ervoor dat je op elk gewenst moment root kunt worden; een programma dat daarvoor een boot nodig heeft (Linux programma om admin wachtwoord te wijzigen bijvoorbeeld) is niet echt een rootkit.

Het verbergen van bestanden is een klein, maar essentieel onderdeel van een rootkit. Een software programma dat alleen dit mogelijk maakt is volgens mij nog lang geen rootkit.

ILUsion @riddles • 16 januari 2006 18:39

volgens mij is het verbergen niet essentieel, ik zie een rootkit dus eerder als het mechanisme om meer rechten te verkrijgen buiten de wil van de systeembeheerder om. Als je dus met een programma kan bekomen dat je in het windows register kan zitten prutsen, is het een rootkit als je dat van Windows normaal niet zou mogen. Dat programma hoeft dan niet verborgen te zijn.

Op zich moet hij niet onzichtbaar zijn voor de gebruiker, want als je hem bewust installeert, moet je hem natuurlijk wel kunnen vinden. Onzichtbaar maken bestaat eigenlijk amper. Een shell met rootrechten, tja, dat versta ik onder het beveiligingsbeleid van de systeembeheerder eigenlijk. Als je een gebruiker toelaat om te sudo'en dan heb je niet te maken met een rootkit maar gewoon met een beveiligingsbeleid. Op zich zal een rootkit meestal wel zichzelf proberen te verbergen, maar detecteerbaar zullen ze volgens mij altijd wel blijven, dus lijkt het me onnuttig dat in een definitie echt op te nemen, omdat je bij het detecteren hem toch wel zichtbaar hebt.

Je zou inderdaad kunnen stellen dat je rootkit letterlijk moet interpreteren en je dus roo(admin)rechten moet geven, zover wil ik die betekenis niet doortrekken. Maar in dat geval heb je inderdaad wel een punt bij het steeds verkrijgen van root access en het niet direct zichtbaar verblijven in het systeem, natuurlijk. Maar dat is volgens mij nog steeds geen vereiste (dat onzichtbaar) maar eerder een aan te raden maatregel voor de rootkitschrijver om een effectieve rootkit te hebben. Hence "[...] waarbij de rootkit al dan niet verborgen wordt voor de gebruiker".

Bij een reboot kun je het als twijfelgeval beschouwen, natuurlijk, dat is zeker niet onzichtbaar voor een systeembeheerder en werkt gewoon buiten het OS om natuurlijk. Daar heb je volkomen gelijk, ik heb het er bijgezet omdat je er dezelfde resultaten mee kunt behalen (wat betreft het mechanisme dus), maar tja, het is natuurlijk slechts een voorstel tot een definitie.

YaPP @ILUsion • 16 januari 2006 19:44

"Een rootkit is een programma of mechanisme dat buiten het door de systeembeheerder ingestelde veiligheidsbeleid (policies) om toegang verschaft tot bronnen (apparaten, programma's, ...)

Dat noemen ze een Backdoor. De functie van een Rootkit is juist het verbergen van processen en files, zodat de backdoor niet zichbaar is. Een backdoor of rootkit kan d.m.v. een Trojan horse geinstalleerd worden, of door de Hacker zelf aangebracht zijn.

Doel van de rootkit is ook niet root-rechten krijgen, maar juist behouden door alle sporen te verbergen. Zodra de Rookit actief is zijn gebruikers en anti-malware software niet meer in staat om de backdoor te vinden. Deze kan dan onopgemerkt zijn werk kan blijven doen.

Ximon 16 januari 2006 12:50

Volgens mij is dit zowiezo een lastig probleem voor Symantec. Het gaat er niet om of een bepaald programma een rootkit is of niet, maar of hij zo genoemd wordt. Het is natuurlijk erg schadelijk voor een bedrijf als het in een adem genoemd wordt met het grootste PR debacle van het afgelopen jaar op IT gebied. Een officiele definitie zal dus alleen helpen in een rechtzaak.
Je begint er alleen niet veel tegen. Als op een gegeven moment een horde bloggers op internet met een bepaalde term beginnen te slingeren, kan je gaan proberen ze allemaal aan te klagen, maar je schiet er niet veel mee op..
Daarnaast is de initentie van de maker van de 'rootkit' of de manier waarop het gebruikt kan worden volslagen onbelangrijk. Sony zal met die XCP software nooit de bedoeling gehad hebben om malware te verstoppen, en Symantec natuurlijk al helemaal niet met hun software. Ook het uiteindelijk doel is niet ter zake doende, anders zou je die WMF exploit in Windows ook een rootkit kunnen noemen.

]Byte[ 16 januari 2006 13:45

Als ze zo "onschuldig" zijn, waarom proberen ze dan bestanden en processen te verbergen?
Als ze er geen discussie over willen hebben moeten ze er gewoon voor zorgen dat ze zelfs maar de schijn nog niet tegen kunnen krijgen ervan in de buurt van een rootkit te komen!
Wanneer ik een stelletje ex-computercriminelen in dienst heb om beveiligingen te testen en op te zetten, en mijn klanten komen daar achter zullen er ook klanten zijn die zeggen: "wat zijn jullie voor bedrijf???"
Tja, als je er niet mee geassocieerd wil worden zal je daar toch de schijn moeten wegnemen!
Maar Symantec wil de schijn niet wegnemen, deze wil alleen een duidelijkere definitie van een rootkit!
Begrijp ik Symantec? JA!
Aan de andere kant: geef een haarscherpe definitie, en iedereen die daar ook maar op 1 punt vanaf wijkt mag het geen rootkit meer genoemd worden.
Doe je dat toch, heb je, zeker in de States, gelijk een proces aan je broek hangen.
Als Symantec (en eventueel andere "legitieme" bedrijven) niet in de hoek van rootkits geduwd willen worden moeten ze er zelf voor zorgen er niet terecht te komen!
Als je zaken probeerd te verbergen, roep je argwaan op!
Dus: gewoon alles netjes laten zien!

darkfader @]Byte[ • 16 januari 2006 14:45

Alles laten zien is inderdaad de oplossing. De anti-virus software kan dan alsnog proberen om zichzelf beschermen. Deinstalleren kan bijvoorbeeld worden gedaan met een geencrypte captcha wachtwoord waardoor malware de AV-software niet kan verwijderen.

Verwijderd @]Byte[ • 16 januari 2006 14:49

Als ze zo "onschildig" zijn, waarom proberen ze dan bestanden en processen te verbergen?

Misschien als deel van de beveiliging dat virussen deze bestanden kunnen aanpassen om zo niet gedetecteerd te worden?

Wanneer ik een stelletje ex-computercriminelen in dienst heb om beveiligingen te testen en op te zetten, en mijn klanten komen daar achter zullen er ook klanten zijn die zeggen: "wat zijn jullie voor bedrijf???"

Hoewel er veel bedrijven zijn die geen ex hackers als beveiligingsexpert willen, verdienen vele ex-hackers er toch een aardige boterham mee. Linda McCarthy is er trouwens geen voorstander van dus zul je waarschijnlijk geen ex hackers bij symantec aantreffen

Maar Symantec wil de schijn niet wegnemen, deze wil alleen een duidelijkere definitie van een rootkit!

Hoezo? Symantec heeft duidelijk aangegeven wat hun product doet. De vraag is of het verbergen van je bestanden per definitie je product een root kit maakt. De term root kit was oorspronkelijk een set tools om malware te verbergen door hackers. Als die definitie ondertussen zo gewijzigd is dat er ook potentieel gewenst gedrag onder valt is het goed om te bekijken of de term niet te ruim gebruikt wordt en een duidelijker verschil te maken tussen zaken als de rootkit van Sony (makkelijk te misbruiken) en de methodes van Symantec en Kaspersky.

Gewoon alles netjes aan alle gebruikers laten zien is niet altijd de beste optie. Het verbergen van bepaalde bestanden heeft namelijk ook voordelen.

PS: Kan het ook wat minder schreeuwerig? Het lijkt wel alsof Symantec zojuist een bom heeft laten ontploffen

]Byte[ @Verwijderd • 16 januari 2006 15:52

[...] dus zul je waarschijnlijk geen ex hackers bij symantec aantreffen

Ik heb ook niet gezegd dat ze bij Symantec werken, maar wel wanneer ik ze in dienst zou hebben dat klanten dan ook wel eens (misschien absoluut ten onrechte) bepaalde vooroordelen hebben.
Wil je die niet, speel dan gewoon open kaart!

Symantec heeft duidelijk aangegeven wat hun product doet.

Jaaa.... nadat het in de openbaarheid is gekomen!
En dan hebben ze vervolgens,ondanks dat er niks aan de hand is, toch een update uitgebracht!
Geeft dit argwaan? Misschien niet terecht, maar het antwoord is: JA!
Vanaf het moment dat softwareproducenten zaken opzettelijk gaan "verstoppen" voor de gebruiker kan je er vergif op innemen dat iemand dat ooit zal vinden.
En zoals darkfader ook al opmerktei, er zijn genoeg mogelijkheden om je software op andere manieren te beveiligen!
Het niet laten zien / verbergen is geen beveiliging en roept alleen argwaan op!
PS: Wat is er schreeuwerig aan mij menig over deze kwestie

Symantec heeft helemaal geen bom laten ontploffen!
Alleen als Symantec niet in dat hoekje geduwd wil worden zullen ze er zelf iets aan moeten doen om daar ook niet terecht te komen!

Laten we het er op houden dat het eerder gekozen model (het verbergen van bestanden / processen) van Symantec waardoor ze bestempeld werden als rootkit geen handige keuze is geweest van het bedrijf.
(zo beter?

)

GigaDave56 @]Byte[ • 17 januari 2006 14:32

PS: Wat is er schreeuwerig aan mij menig over deze kwestie

* 786562 GigaDave56

sjun @]Byte[ • 16 januari 2006 18:29

Wat een paranoia weer.Slechts bij de producten voor n00bs van de Norton-lijn zie je dat Symantec tegenwil gaan dat al te opruimlustigen belangrijke systeembestanden verwijderen.

De professionele Symantec-lijn met AV Corporate, Cliëntsecurity, PC Anywhere en BackupExec kent geen verbergen van systeembestanden.

Ik durf dus te stellen dat je wèl schreeuwt èn Symantec niet begrijpt. Symantec zou er beter aan doen minder bevoogdend te denken omdat zich binnen haar doelgroep niet enkel n00bs maar ook proto'professionals' bevinden.

Symantec zou er ook voor kunnen kiezen gebruikers via uitgebreide helpbestanden te waarschuwen tegen verwijdering van belangrijke systeembestanden. Wat mij betreft vervangen ze de hele Norton-lijn door de rechttoe rechtaan producten en lichte cliënts uit de Symantec-lijn die zonder overdadige opsmuk hun werk naar behoren doen.

daft_dutch 16 januari 2006 13:46

Naar mijn mening is een root kit.
"een tool waarmee men root/aministrator rechten bemachtigt en verhult voor de rest van het systeem."

Of het nu een cracker of een virus is die een root kit gebruikt is niet gedefineert.
<off topic>
Dat de gaten in windows beveiliging gebruikt worden door Profesionele bedrijven om hun software makkelijker of doetreffender te maken vind ik Zeer verschikkelijk.

Is er straks een update voor windows. Update je wel sterft je virus killer. update je niet heb je een onveilig systeem.

edit: daarbij maakt tegenwoordt de media uit wat de definitie van een woord is. (voor al in computer gebied)
neem maar het woord "Hacker".

Verwijderd 16 januari 2006 14:33

Ik zie het als een mooie afleidingsmaneuvre van Symantec.

Eerst roepen ze: Ja wij verbergen bestanden op de PC voor de windows API maar die methode is niet door derden te misbruiken. Dit opent natuurlijk de deur voor een ellelange discussie over de vraag hoe erg het is dat zij die bestanden verbergen en of hun methode wel of niet geoorloofd is

Door nu de discussie te verplaatsten naar het abstracte onderwerp van de definitie van een rootkit voorkomen ze al te kritische berichten over hun product. Wat de uitkomst van de discussie over de definitie van een rootkit wordt, is IMHO van secundair belang.

Verwijderd @Verwijderd • 17 januari 2006 02:08

Buiten het feit dat het weer een hoop figuren uitlokt om dat stukje dus ook te decoderen. Begrijp niet dat Symantec hier zo onvoorzichtig om gaat. Mogelijk zien ze toch wel in dat ze verkeerd bezig zijn, hoe goed ook bedoeld en proberen ze zich nu in te dekken voor eventuele aanklachten. NIS 2005 was ook al een maand of 3 geleden "gekraakt", ze brengen niet voor niets ieder jaar een nieuwe versie/engine uit.

Als het dan toch allemaal niet helpt, waarom er dan mee door gaan ?

Maar goed, de wet gaat steeds op, alles wat geschreven is kan ook weer gekraakt worden. DIscussie punt blijft dan alleen, wat doet een dergelijk bedrijf met je info ?

Maar als je dan uit 2 kwade moet kiezen, dan liever een bedrijf dan een onbekende.

Onderwerp ligt toch moeilijker dan ik dacht, nu ik er wat langer over na denk

Verwijderd 16 januari 2006 11:52

Lijkt me toch redelijk duidelijk de definitie ervan, een stuk software dat opzettelijk wordt verborgen voor gebruikers en alleen met speciale handelingen kan worden ingezien.

Een rootkit die zich kwaadwillend opzet zoals die van Sony hebben ze een andere term voor, malware.

Olympus884 @Verwijderd • 16 januari 2006 11:57

ik lees hier een definitie van spy-ware?

Da_Teach 16 januari 2006 13:00

Een rootkit is een stukje software wat op kernel level (ring 0) draait en (vaak) gestart wordt vanuit user level (ring 3) welke daarna een of meerdere functies van het besturing systeem overneemt of verandert. Per definitie is een rootkit niet slecht (of goed).

Meeste applicaties die er voor gezorgt hebben dat rootkit's een slechte naam hebben gekregen zijn backdoor's, trojan's en virusen.

Maar er is ook een spel (Lineage 2) welke gebruik maakt van een rootkit om er voor te zorgen dat ze dat spel niet kunnen hacken.

Door op kernel level te draaien is het makkelijk om dingen te verbergen (zoals bestanden, services, etc) voor de users.

Maar je kunt zo ook dingen bewaken door bijv. de ProcessOpen functie uit te schakelen waardoor programma's niet data van elkaar kunnen uit lezen.

[edit]
Toegevoegd dat een rootkit wel een of meerdere functies van het besturings systeem over neemt of veranderd.

RedLizard @Da_Teach • 16 januari 2006 13:05

- Kernel mode wordt gewoonlijk niet als een vereiste voor een rootkit gezien. Hacker Defender bijvoorbeeld draait in user mode, maar ik zou het toch zeker als rootkit classificeren.

- Device drivers draaien ook in kernel mode. Zijn het dan ook rootkits?

Ik vind het maar een twijfelachtige definitie...

Da_Teach @RedLizard • 16 januari 2006 14:17

Als iets in usermode draait kan het per definitie geen rootkit zijn gezien het geen root priviledges heeft. Het kan ook moeilijk rootkits zien (als deze zichzelf hiden).

Zijn device drivers rootkits, is misschien wel een aardige. Gezien bijna 90% van de rootkits well drivers zijn. Er zijn wel een paar andere manieren om code in ring 0 te krijgen, maar normaal is dat alleen mogelijk (zonder exploits) via een driver. Tenminsten, op windows machines.

RedLizard @Da_Teach • 16 januari 2006 14:35

Als iets in usermode draait kan het per definitie geen rootkit zijn gezien het geen root priviledges heeft.

Sorry, maar dat klopt niet. Usermode staat niet voor 'niet admin mode' maar voor 'niet kernel mode'. Iets in usermode kan nog steeds met admin rechten draaien (root privileges). Hacker Defender draait - zoals gezegd - in user mode, zij het wel met admin rechten, en is waarschijnlijk de meestgebruikte rootkit voor malware purposes.

Verder heeft windows nog wat andere manieren om code in de kernel te krijgen. Zo heeft het net als unix een soort /dev/kcore device, alleen heet het anders en is het veel minder bekend. EN het is een errug tricky manier.

Da_Teach @Da_Teach • 16 januari 2006 16:27

Als je als admin ingelogged bent, dan hoeft een rootkit ook geen root rechten te krijgen. Is het dan niet gewoon een programma?

Want als systeem-calls overnemen de enige definitie was, dan zou een virus scanner altijd al een rootkit zijn gezien deze wel degelijk dingen overneemt zoals file-open.

Want bestanden hidden is een mogelijkheid van een rootkit, en niet iets wat een rootkit 'hoort' te doen.

En als de 'rootkit' in usermode draait en de user is geen admin, kan het geen rootkit zijn. Happy?

En zover ik weet kan je onder windows meer wanneer je in kernel mode draait dan wanneer je in usermode draait.

Wat zou jouw definitie van een rootkit dan zijn?

RedLizard @Da_Teach • 16 januari 2006 17:04

Als je als admin ingelogged bent, dan hoeft een rootkit ook geen root rechten te krijgen. Is het dan niet gewoon een programma?

Het is ook niet het doel van een rootkit om root te krijgen. Rootkits gaan er van uit dat de rootrechten aanwezig zijn; het doel is om ze te houden.

Verder kan je in windows inderdaad als kernel meer dan als user, maar voor veel typische dingen die een rootkit doet - zoals system calls onderscheppen - is geen kernel code nodig. Het is een manier, een vrij goede zelfs, maar zeker niet de enige.

En ik weet zelf ook geen goede definitie, anders had ik hem zelf wel gegeven. Je zult uiteindelijk op ongeveer dezelfde definitie uitkomen als 'malware', namelijk een of andere noemer waar een hoop onder kan vallen. Een technische definitie gaat niet werken, want zoals je zelf al gedeeltelijk zei is er vrijwel geen verschil in de techniek van een virusscanner en die van een rootkit. Alleen het doel is anders.

Op dit item kan niet meer gereageerd worden.

Symantec roept op tot definitie 'rootkit'

Lees meer

Reacties (45)

Sorteer op:

Weergave: