Microsoft: formatteer en herinstalleer bij vermoeden rootkit

Mike Danseglio, manager bij Microsofts Security Solutions-groep, heeft een vrij radicale oplossing voor bepaalde malware-problematiek in gedachten. Automatisch de harde schijf formatteren en het hele systeem opnieuw installeren is de enige effectieve manier om ervan verzekerd te zijn een rootkitvrij systeem te draaien, zo vertelde Danseglio aan eWeek. Omdat rootkits zich van geavanceerde technieken bedienen om zich aan het zicht van misbakseldetectieprogramma's te onttrekken, is het voor systeembeheerders vaak onmogelijk er zeker van te zijn dat een systeem compleet schoon is. Het waarnemen van de aanwezigheid van malware is extra lastig, omdat veel virus- en spywareschrijvers niet de intentie hebben een systeem te laten crashen, waarmee problemen zich manifesteren. Ze zijn juist uit op financieel gewin - bijvoorbeeld door de installatie van keyloggers om inlogcodes van banksites te achterhalen. 'Opsporing is moeilijk en herstel is vaak onmogelijk', zegt Danseglio. 'Vaak zie je geen enkel teken van infectie; je ziet geen verdachte processen op de achtergrond draaien'.

Windows security (kleiner) Het is evenwel niet zo dat Microsoft overweegt dergelijke opschoonfunctionaliteit aan te gaan bieden; Danseglio wil met zijn betoog systeembeheerders aansporen dergelijke functionaliteit zelf in bedrijfscomputersystemen in te bouwen. Het is echter goed denkbaar dat het juist thuisgebruikers zijn die ten prooi vallen aan malware die bijvoorbeeld op hun banktegoeden jaagt. De vraag hoe de huis-, tuin- en keuken-pc van een vergelijkbaar beveiligingsmechanisme kan worden voorzien kwam helaas niet aan de orde. Ook bleef onbesproken wanneer een systeem precies van een verse installatie voorzien moet worden, gegeven dat je nooit zeker weet wanneer er een infectie is opgetreden. Wel gaf de Microsoft-manager een advies aan hen die een poging willen wagen rootkits in hun computer op te sporen: zij kunnen gebruik maken van de gratis programma's SpyBot Search & Destroy, RootkitRevealer en Microsofts eigen Windows Defender.

Reacties (112)

RetepV 5 april 2006 18:32

Omdat rootkits zich van geavanceerde technieken bedienen om zich aan het zicht van misbakseldetectieprogramma's te onttrekken

Het is dan ook het Operating System die die 'geavanceerde technieken' stomweg toestaat. Maar daar heb ik de afgelopen 10 jaar al genoeg over geklaagd.

Zo geavanceerd zijn die technieken overigens niet. De meeste technieken zijn technieken uit de tijd dat men nog in assembly programmeerde. Uit het Z80 tijdperk, noem het maar het pre MS-DOS tijdperk, of het CP/M tijdperk.

Weet je hoe lang dat geleden is? Zo'n 28 jaar. Al bijna net zo lang als dat Microsoft bestaat. In 28 jaar tijd hebben de mensen die verantwoordelijk zijn voor de Operating Systems dus VRIJWEL NIETS geleerd.

Maar ook daar heb ik de afgelopen 10 jaar al genoeg over geklaagd.

SpiceWorm @RetepV • 5 april 2006 18:58

Ik neem aan dat je doelt op de technieken om in delen van het geheugen van andere processen te schrijven, waardoor die andere processen jouw code gaan uitvoeren. De hardware jongens van AMD en INTEL daar de No eXecute bit volgens mij voor uitgevonden.

SKiLLa @SpiceWorm • 5 april 2006 19:37

Het NX bit is bedoelt om buffer-overflows met code-injection te voorkomen. Het enige dat het doet is niet toestaan dat er code in een 'data-only' geheugensegment uitgevoerd wordt, maar helaas zijn er nog steeds een boel legitieme programma's die daardoor niet meer werken.

RetepV doelt denk ik eerder op hidden TSRs, API hooking en Interrupt tables/vectors herschrijven (= interrupts afvangen); allen 'oude' technieken.

Backwards-compatibility is IMHO dan ook eigenlijk de oorzaak van alle ellende; MS en anderen weten wel hoe het moet, maar radicaal breken met het verleden is erg moeilijk als oude software (stabiel) moet blijven werken. Het hindert de vooruitgang, maar commercieel gezien natuurlijk erg logisch ...

SpiceWorm @SKiLLa • 5 april 2006 20:50

maar helaas zijn er nog steeds een boel legitieme programma's die daardoor niet meer werken.

Ik ben er afgelopen maand welgeteld 2 tegen gekomen. Je krijgt dat netjes een melding dat je het uit kan zetten voor specifiek dat programma. Alleen doen als je de maker vertrouwd natuurlijk.

RetepV doelt denk ik eerder op hidden TSRs, API hooking en Interrupt tables/vectors herschrijven (= interrupts afvangen); allen 'oude' technieken.

Volgens mij moet je voor die technieken nog steeds in een ander proces (wat meer rechten heeft) inbreken, voordat je een en ander in het systeem kan veranderen.
En dat is nu juist wat die NX bit voorkomt!

Abom @RetepV • 6 april 2006 14:14

Jij klaagt over alles wat met Microsoft heeft te maken. Waarom doe je jezelf geen plezier en stop je met het gebruik van hun software, dat zal je leven een stuk dragelijker maken.

Tis alleen vervelend dat vrijwel elk OS geplaagd wordt door rootkits...misschien moet je maar je typemachine van zolder halen.

alt-92 @Abom • 6 april 2006 21:08

Krijg je weer last van roestkits.. das ook niet alles

Anoniem: 48656 5 april 2006 17:51

Ghost wordt steeds meer gebruikt. Ook voor de consument. Die kent het begrip steeds vaker. Symantec levert nu al Ghost "gratis" bij Norton Antivirus 2006.
Meteen formatteren is inderdaad behoorlijk richoreus.

dr snuggles @Anoniem: 48656 • 5 april 2006 19:59

Zoveel wordt Ghost niet gebruikt. De consument die NAV2006 + Ghost10 pakket koopt, kan zeer waarschijnlijk het pakket niet gebruiken. De standaard OEM pc's hebben immers alleen maar een c partitie. Je image branden op een cd of dvd duurt een eeuwigheid, dus dat ziet ook niemand zitten.

De Tweaker die wel begrijpt hoe je Ghost optimaal kan gebruiken, die is dun gezaaid en koopt bovendien geen NAV2006. Sterker nog, die tweaker heeft waarschijnlijk een raid setup en die wordt niet goed ondersteund in Ghost 10, daarvoor heb je de oude en vertrouwde Ghost 8/2003 nodig; de laatste echte Ghost.

Voor thuisgebruikers zal het dus hierop neer komen: Zoek een handig neefje die weet hoe rootkit-revealer werkt!

alfatrion @dr snuggles • 6 april 2006 11:47

Een werkstation beschikt niet zo gauw over een RAID. Juist bij deze groep is een ghost image erg handig. Ik heb dat zelf toe gepast. Dat een DVD branden een bezwaar zou zijn vind ik raar. Ghost bespaard je juist veel tijd als je vers wilt beginnen.

@LolitaLapin:
Ik maakte een ghost image nadat ik het OS en de applicaties (waarvan ik zeker wist dat ik die wilde gebruiken) had geinstalleerd. Dat werkte toch heel aardig.

Anoniem: 64607 @dr snuggles • 6 april 2006 09:01

Raid voor de C schijf ??? Vind ik de ideeen van Microsoft toch zekerder, installeer je systeem op C van mijn part een raid setup voor de D partitie. En als C chrased installeer je hem gewoon op nieuw. Outlook Express moet je je vingers dan gewoon van laten. Bookmarks in je browser vergeet je naar een jaar toch dat ze er zijn. Dus alle settings kunnen w.m.b. ook in de prullenbak. 1 keer per jaar de software nieuw installeren is overigens gezond; dan blijf je fit, weet je wat je hebt en kun je altijd nog een keer overwegen om eens een alternatief te proberen (zonder dat de rotzooi van de test er 20 jaar op blijft staan).

Xellence @Anoniem: 64607 • 6 april 2006 11:11

Je lijkt wel alsof jijzelf een computer bent met 1x per jaar je software opnieuw installeren zodat je fit blijft. Hm, het is jou subkectieve mening daar er genoeg pro's zijn die jouw methode duur, langzaam en inefficiënt zullen beoordelen.

Anderzijds als je toch graag je OS met apps regelmatig installeerd, overweeg dan een RIS setup met PXE en unattended install van zowel OS als -alle- apps die je gebruikt. Tevens kan je na de volledige installatie ook nog een je preferences in 1x doorvoeren d.m.v. een batch die regkey's correct zet, user accounts aanmaakt en configureert. En na 2 a 5 uur zonder ook maar 1x je muis of toetsenbord aangeraakt te hebben is je systeem als net nieuw uit de fabriek.

Of er nog meer mensen zijn die zich fit voelen na een complete systeem installatie betwijfelde ik net nog maar na het lezen van jou post...

Anoniem: 165105 @dr snuggles • 6 april 2006 21:35

Of ze doen verstandig en gaan zich er zelf eens in verdiepen....

** reactie op dr snuggles

Anoniem: 114477 @Anoniem: 48656 • 6 april 2006 07:27

Je ghost-image is zo schoon als je laatste backup. Het is compleet zinloos als je een image draait nadat je geinfecteerd raakt.

De image draaien als je nog niets geinstalleerd hebt is ook zinloos, want windows kaal installeren duurt niet eens zo heel veel langer. Of het een uur duurt of 10 minuten maakt niet veel uit als je daarna al je applicaties toch weer moet installeren.

ATS 5 april 2006 18:18

Waarom kunnen ze geen detectie (en fix?) systeem bouwen dat werkt vanaf een CD? CD erin, booten vanaf die cd, en detectieprog laten checken of systeembestanden aangepast zijn.
Ik laat onder Linux ook rootkitdetectors lopen vanaf een CD, zodat je zeker bent dat de eventuele rootkit op dat moment niet actief is.

Bor Coördinator Frontpage Admins / FP Powermod @ATS • 5 april 2006 19:28

Ik laat onder Linux ook rootkitdetectors lopen vanaf een CD, zodat je zeker bent dat de eventuele rootkit op dat moment niet actief is

Een detector biedt, net als een virusscanner, maar een beperkte mate van detectie en levert geen 100% garantie op een schoon systeem.

ATS @Bor • 5 april 2006 21:00

Nee, maar als het zelfs zo niet te detecteren is, hoe weet ik dan of ik besmet ben? Moet ik dan maar gewoon random af en toe alles weggooien en opnieuw installeren?

Electrowolf Moderator Aboforum

5 april 2006 19:01

Dit nog niet gezien in de reacties, dus alsnog even:

Wat voor zin heeft dit tegen (goede) spyware en dergelijken?

Even paar dingen op een rijtje:

Ik ga er vanuit dat alleen %Systemdisk wordt geformateerd.. niemand zal blij zijn als er 300gb+ aan media/games wordt geformateerd op alle partities/schijven.

Maar wat het virus of ander gespuis dan doet is zich zelf ergens verstoppen op een disk die NIET de %Systemdisk is. Ok, het proces van het virus of w/e wordt nu niet meer gestart, 1 - 0, maar je windows is niet meer up-to-date, 1 - 1. Het virus heeft bij infectie er voor gezorgd dat het een exploit in het vers geinstalleerde(dus niet gepatchde) OS gebruikt en is weer binnen.. 1 - 2.
Voorbeeld: stop in een root dir een bestand dat windows wil previeuwen en stop daar een exploit in, als je het goed doet valt het niet op en ben je dus al meteen binnen in het systeem.

Oplossing is natuurlijk altijd METEEN patchen.. maar hoeveel % van alle gebruikers doet dat? 5% max?
Denk dat ze maar eens een patch procedure moeten stoppen in de install voordat je ook maar de 1e keer kan inloggen.. scheelt een berg slachtoffers.

0vestel0 @Electrowolf • 6 april 2006 09:11

LOL

Je kunt patchen totdat je een ons weegt, virusscanners en Anti malware zoals Spybot draaien. Als je als gebruiker met admin rechten met sites en software speelt die rootkits kunnen installeren zal je dat echt niet helpen. De mens is en blijft hier de zwakke schakel.

Gewoon als user werken en als er iets anders moet gebeuren met admin rechten gewoon uitvoeren als andere gebruiker. Het SU in *nix. En rootkits zijn niks nieuws. in de *nix wereld bestaan ze al langer. Daar is het ook heel simpel. Heb je een rootkit? Herinstallatie! De melding die die gast van Microsoft maakt is dan ook erg achterhaald en meer een vorm van machteloosheid dan van inzicht.

Anoniem: 83292 5 april 2006 17:48

Dat is inderdaad wat ik altijd doe. Ik hoop dat microsoft iets aan het windows activeren gaat doen, want als ik wat vaker windows installeer willen ze hem niet activeren. Dat vind ik nogal klantonvriendelijk.

Kaspers @Anoniem: 83292 • 5 april 2006 17:51

Mm,, daar heb ik tot nu toe geen problemen mee gehad. Heb tot nu toe m'n laptop ongeveer 3 tot 4 keer geformatteerd, en na elke herinstallatie netjes op activeren gedrukt, waarna het proces binnen enkele seconden klaar was. Ik heb wel eens gehoord dat heractivering niet lukte bij een verandering in de hardware, maar dat het ook gebeurd na enkele formattaties vind ik een beetje raar..

CARman @Kaspers • 5 april 2006 17:57

MS zet dan tegenwoordig de activatiekraan ook pas dicht na 5 activaties. Hierna kun je met ze aan de telefoon gaan hangen om de zaken geregeld te krijgen.

Anoniem: 133470 @CARman • 5 april 2006 18:42

Het is iets van 5 keer per zoveel weken.
Als die periode voorbij is, wordt je activatiestatus weer gewoon 'gereset', en mag je weer 5 keer activeren.
Zo werk ik zelf al ongeveer een jaar of 4 op dezelfde Windows XP-installatie, en heb ik CPU, videokaart, moederbord, HDD en weet ik veel wat al meerdere keren gewisseld... en zit ik aan de weet-ik-hoeveelste activatie. Ze zijn wel eens op geweest, maar toen ik laatst een nieuwe HDD kocht, en gewoon de partitie van de oude overzette, kon ik weer activeren, dus ik ga gewoon vrolijk verder

redah @CARman • 5 april 2006 21:39

Nee hoor. Geen 1000x.

Het was 3x per maand, zou best kunnen dat het nu 5x is. Zodra je daarna belt met MS, en je gegevens doorgeeft, wordt de counter gereset.

Iedere maand wordt vanzelfdspekend de counter ook gereset. Vandaar dat het 'geblaat' van illegale gebruikers dan ook echt niet op gaat. "Oh oh het is zo lastig". Nee... als je een legale kopie hebt is er niets lastigs aan.

Anoniem: 40118 @CARman • 6 april 2006 15:50

"als je een legale kopie hebt is er niets lastigs aan"

Bullshit, ik kreeg een legale kopie bij mijn systeem en heb dus een 10G partitie opzij gezet voor als ik Windows ergens voor nodig zou hebben.

Ben er toen mijn 2HDs van een oud systeem in gaan zetten om data te kopieeren.

Mooi dat ik MS mocht opbellen!

Eerste keer bellen: 15 min. wachten voordat ik iemand aan de telfoon kreeg! Godver, heb ik net grof geld neergeteld voor een systeem moet ik een kwartier duimen draaien voor een idiote key.

Anyway, data gekopieerd, haal de HDs eruit en stop er een andere grafische kaart in (mijn oude was beter dan wat er bij het systeem werd meegeleverd).

Mag ik weer MS bellen!!

Eerste keer bellen: 20 min. wachten... wordt de verbinding verbroken!

Tweede keer bellen: weer 10 min. wachten voordat iemand reageerde.

De 2e keer heeft vriendin gebeld want voor mij hoefde het al niet meer en was bezig m'n favoriete Linux distro te configureren. Zegt ze, geheel terecht, "wat is dit voor onzin jongens? Op deze manier is een illegale versie makkelijker!" zeggen zij "Maar het is voor uw eigen veiligheid mevrouw"! Amehoela!

Was echt de laatste keer dat er Windows op een systeem van mij wordt geinstalleerd. Het systeem is best aardig, maar de zooi er omheen hoeft voor mij niet. (Wat niet wil zeggen dat ik met Linux geen problemen heb, maar dan ligt het meestal aan mezelf ;-)

Glashelder

@CARman • 5 april 2006 18:59

Je mag met een identieke hardware configratie 1000x op een dag activeren, het zal altijd lukken.

Calamor @Anoniem: 83292 • 5 april 2006 20:02

Je kan de files backuppen. Die je na de install weer terug zet. Alleen moet je wel zeker zijn dat er bij het terug zetten geen andere rootkit op de drager is.

Anoniem: 50332 @Anoniem: 83292 • 5 april 2006 22:52

doe altijd een unattent install met ut productkei uit de unattend.txt file in de i386 dir.
dat gaat zonder activatie.
heb een ibm t42p en sinds kort ook een dell in het nederlands

, en die hebben een verschillende key op de sticker maar in de unattend file dezelfde productkey.
de ene is xp pro de ander xp mediacenter edition.

Smooth2K 5 april 2006 17:47

Dat is toch echt geen reclame voor je besturings systeem lijkt me.
Zakelijk kan je natuurlijk veel afvangen door met images te werken. Maar dan nog, vrij lomp dit.

Anoniem: 2072 @Smooth2K • 5 april 2006 17:51

Niet als je image is corrupt is.
En dit is binnen de *nix wereld standaard als een systeem compromised is. Omdat je nooit weet waar eventueel nog andere dingen aangepast zijn.

Olaf van der Spek @Anoniem: 2072 • 5 april 2006 17:53

Omdat je nooit weet waar eventueel nog andere dingen aangepast zijn.

Daarom heb je ook een goede methode nodig om de integriteit van je systeem te controleren. In ieder geval een die 'offline' werkt (net zoals virusscanners vroeger).

Maar helaas is zo'n integriteitscontrole bij zowel Linux als Windows niet beschikbaar (AFAIK).

Anoniem: 1322 @Olaf van der Spek • 5 april 2006 18:56

Tripwire maakt een database aan met checksums van bestanden. Met een database van "schone bestanden" kan je zo compromised files detecteren.
Helaas alleen op *nix beschikbaar.
http://sourceforge.net/projects/tripwire/

Met de komst van "virtual machine" rootkits is dit helaas ook niet de oplossing.

/edit..... vaker refreshen......

Sentry23 @Olaf van der Spek • 5 april 2006 18:52

Niet ?
Volgens mij is dit toch wel aardig 'proven technology'
http://www.tripwire.com/products/index.cfm

halfgaar @Olaf van der Spek • 5 april 2006 19:25

Er is voor linux een tooltje, chkrootkit, die een rudimentaire check kan uitvoeren, en mogelijke infecties geeft. Alleen ook een heleboel false positives.

Ik heb trouwens toch het idee dat op Unix juist makkelijker te vinden is. Het is veel transparanter dan windows.

Het helpt trouwens ook om zo weinig mogelijk root te zijn...

Olaf van der Spek @Olaf van der Spek • 5 april 2006 19:31

Het helpt trouwens ook om zo weinig mogelijk root te zijn...

Dat is vooral een bescherming tegen jezelf.
Er zijn genoeg / te veel local privilege elevation exploits.

_JGC_ @Olaf van der Spek • 5 april 2006 19:52

@Dycell.nl:
Leuk zo'n database met md5sums, wel eens rekening gehouden met een in-kernel module die gewoon syscalls vervangt zodat jij niet de inhoud van een bepaalde directory krijgt te zien? Je bestanden zijn op geen enkel punt aangepast, maar je kernel doet ineens hele andere dingen dan je zou verwachten.

@halfgaar:
Het jammere van chkrootkit is dat het een standaard bak met tests is. Als je een beetje C kunt programmeren flans je zo een rootkit inelkaar uit een aantal bestaande rootkits en omzeil je chkrootkit. Je weet immers zeker dat als jouw testsysteem door chkrootkit heenkomt, dat de webserver van je provider er ook wel gewoon doorheenkomt?

Olaf van der Spek @Olaf van der Spek • 5 april 2006 19:14

Niet ?
Volgens mij is dit toch wel aardig 'proven technology'

Vereist dat niet het continu en handmatig updaten van de checksums?

Anoniem: 92624 @Anoniem: 2072 • 5 april 2006 21:55

wat denk je dat er in al die 'retestrak' en 'unattended' versies zit.. daarbij helpt opnieuw formateren niet. Omdat de rootkit al vaak in het image is gebakken

Aetje @Smooth2K • 5 april 2006 23:32

Bootable CD + Windows PE (BartPE) + Rootkit scanner = gegarandeerd rootkitvrij boot en scan enviorment. Ik snap niet waarom Microsoft / AV manufacturers geen preinstalled bootable enviorment aanbieden met als doel het scannen van de PC op cloaked malware...

praseodymium @Aetje • 6 april 2006 11:57

Als iets preinstalled is kan het ook weer door malware veranderd worden. Je moet dus een geperst CDtje hebben of een CDtje gebrand op een zeker weten schone PC (anders kan de malware je scan-CDtje ook aanpassen zodat deze niks meer vindt).

ShellGhost @Smooth2K • 5 april 2006 21:31

Vrij terecht dat Ms dit aanraadt.
Zoals al werdt aangehaald is dit de enige manier om zeker te weten dat je rootkit vrij bent.
Deze actie wordt meestal ook aangeraden als je gehackt bent om dezelfde reden.
Je kan nooit zeker weten of je echt 100% vrij bent van zooi.
Het is een radicale "oplossing" maar wel eentje die effectief is.
Daarbij, de meeste grote bedrijven hebben het installatie proces geautomatiseerd, dus binnen een uur ofzo draaid de server weer als vanouds.

Luno @ShellGhost • 5 april 2006 23:18

Tja, 't is dat ik een set diskettes heb van Microsoft waarop van fabriekswege al een virus zit.
Okee, t'ís van voor Win95 tijdperk, en ik bewaar het als curiosa, maar stel dat ik naar een herinstallatie overga zou ik met deze diskettes weer in de problemen komen.

Ofwel ook deze weg geeft geen garantie.

Blokker_1999

@Smooth2K • 5 april 2006 22:12

We spreken hier uiteindelijk wel over het ergste soort malware. En het is niet dat deze alleen bestaan voor Windows, ook andere systemen hebben er last van. En de enigste manier om echt zeker te zijn dat deze volledig verwijderd is, is door opnieuw te beginnen met een installatie van een betrouwbare bron.

RSpliet @ebx • 5 april 2006 18:04

Rootkit is een term oorspronkelijk uit de Unix wereld. Dat deze nu ook voor Windows ontstaan is eigenlijk niet zo verwonderlijk.
Het enige dat je MS kan verwijten is het niet genoeg pushen van useraccounts ipv altijd inloggen als admin. Een gewone gebruiker heeft namelijk niet genoeg rechten om uberhaupt een rootkit te installeren. En dat is iets waar Microsoft volgens mij wel aan bezig is.

RetepV @RSpliet • 5 april 2006 18:38

In feite heb je gelijk. Maar ik durf te wedden dat het onder Windows ook wel mogelijk is om een rootkit te installeren als je een gewone gebruiker bent. Ik heb zo uit mijn hoofd al 2 of 3 methodes die mogelijk tot succes zouden leiden.

Bedenk dat zo'n rootkit echt niet persee via het internet geinstalleerd hoeft te worden. Sony's rootkit werd m.b.v. een CD geinstalleerd. En er zijn nog wel andere mogelijkheden om ergens mee te meeliften.

En de huidige virussen zijn over het algemeen ook nog lang niet zo geavanceerd als mogelijk is.

SpiceWorm @RetepV • 5 april 2006 18:43

Zou je die methoden met ons willen delen? Dan kunnen wij onze systemen ertegen beveiligen. (Wat ik wil zeggen: kom op met je bron, wat kun je allemaal als user?)

Tijger @RetepV • 5 april 2006 18:45

En voor de Sony rootkit had je admin rechten nodig.

Stop nu eens met je anti-MS FUD.

Anoniem: 98889 @RetepV • 5 april 2006 23:48

Messenger bijvoorbeeld kan zichzelf met admin rights updaten, gelijk onder welk soort useraccount je de upgrade start...

GH45T

@RSpliet • 5 april 2006 22:40

Nou, zo eenvoudig is het nu ook weer niet, ik draai nu sinds zo'n 2 jaar alleen nog maar als user en niet meer als administrator op mijn pc. Mijn ervaring is dat enorm veel tegenhoud, zelfs in Internet Explorer durf ik elke website op het internet te bezoeken, een Sony rootkit zou mij netjes om Administrator rechten komen smeken en dat soort dingen nog meer. Het probleem zit hem er echter in dat je moet kunnen vertrouwen in de leverancier van de software die je wilt installeren. Als ik een programma wil installeren dan zal ik de setup van dat programma toch echt tijdelijk Administrator rechten moeten geven en ander krijg ik het meestal niet geïnstalleerd. Het zwak is niet het besturingssysteem, het zwak is de gebruiker achter de computer. Een besturingssysteem kan helpen te beveiligen maar zolang de gebruiker maar wat raak doet dan kan heet besturingssysteem niets beginnen.

alt-92 @ebx • 5 april 2006 19:35

Misschien moet je dan je argumentatie bijstellen in dit geval ebx, want flatten en rebuild is een standaard methode bij compromised systemen.
En wellicht ook je technieken verbeteren.
3x format & reinstall in een week tijd? Ik zou een andere methode gebruiken, Virtual machientjes, VS2005 is gratis tegenwoordig bijvoorbeeld, VMware Server ook..

Olaf van der Spek @alt-92 • 5 april 2006 20:13

VS2005 is gratis tegenwoordig bijvoorbeeld,

Wat heeft Visual Studio met virtualisatie te maken?

dog4life @Olaf van der Spek • 5 april 2006 20:44

Net zoveel als mierenneuken met Virtual PC te maken heeft (VC2005 dus)

alt-92 @Olaf van der Spek • 6 april 2006 21:04

Ik had even geen zin om Virtual Server 2005 R2 voluit te schrijven.
Helaas hield ik op dat moment even geen rekening met de liefhebbers van insectensex

Zupp 5 april 2006 17:51

Ergens denk ik dat MS hier ook baat bij heeft. Nu wordt een rootkit geinstalleerd en werkt gewoon op de achtergrond, voert vanalles uit. "Domme" gebruikers zullen dan eerder roepen dat het MS zijn schuld is, omdat Windows immers "raar" doet. Formateren en opnieuw installeren kan iedereen denk ik tegenwoordig wel, dus dat zal ook niet zo'n probleem zijn.

Al is dit natuurlijk wel een drastische oplossing en gaat ook om problemen vragen, niet direct bij MS maar bij mensen thuis (back-ups, mail, etc). Is er niet een optie in het policy beleid die het mogelijk maakt om "oppervlakkig" een installatie uit te voeren en alleen installaties die windowsbestanden beinvloeden door een admin uitgevoerd kunnen worden. Zo zou je toch nog redelijk wat moeten kunnen installeren (ik denk met name aan games nu, ivm Starforce) en toch "redelijk" veilig zitten.

Andere oplossing zou het nemen van een VMware / VirtualPC solution, al weet ik niet hoe dat performace gewijs zit.

Cybergamer @Zupp • 5 april 2006 19:27

Formateren en opnieuw installeren kan iedereen denk ik tegenwoordig wel, dus dat zal ook niet zo'n probleem zijn.

Dat zal allemaal wel, maar een hoop mensen weten bijvoorbeeld niet dat hun documenten, email, plaatjes en andere bestanden automatisch in de C: schijf komen. Een format en alles is weg. Mischien dat ze hun documenten e.d. wel op een andere schijf opslaan, maar email (met name outlook/outlook express) kan problematisch worden.

En dan heb ik het nog niet over de folder 'Application Data' waar alle settings van elke prog installed staan.

Dus zo simpel is het allemaal nog niet...

masteriiz @Zupp • 5 april 2006 17:58

Ik ken eigenlijk vrijwel alleen maar mensen die niet kunnen formatteren / installeren. Daarnaast duurt een herinstallatie vaak uren.

Maakt overigens toch niet veel uit: De meeste windows bakken moet je toch een keer per jaar opnieuw installeren.

Chaoss Moderator Spielerij @masteriiz • 6 april 2006 08:24

een keer per jaar? voglens mij behoor je dan tot de groep mensen die nog maar net weten hoe windows werkt

als je de boel een beetje onderhoud en weet wat je doet kan windows jaren draaien, mijn vorige installatie draaide dik 3 jaar, en als ik niet moest herinstalleren ivm een nieuw moederbord/cpu/geheugen zou hij nu misschien nog wel draaien

Tacow

5 april 2006 18:10

ja, de thuisgebruiker weet ook echt hoe hij dat moet doen..

zoals het artikel al zegt, juist die thuisgebruiker heeft de meeste kans om zijn/haar computer te infecteren met virussen, spyware, adware, rootkits etc.

borft @Tacow • 5 april 2006 21:26

sja, als je auto stuk is, breng je hem toch ook naar de garage? dan moet je dat met je pc ook maar doen, tenzij je genoeg skills hebt om hem zelf te onderhouden

The Chone 5 april 2006 18:02

Hoewel ik de meeste zaken die Microsoft naar buiten brengt met argusogen bekijk, lijkt mij dit inderdaad de beste oplossing.

Je kunt natuurlijk terugvallen naar een herstelpunt waarvan jij denkt (of zeker weet) dat die veilig is, maar terugvallen op read-only media (zoals een installatie CD) is 100% safe.

Bijkomend voordeel is dat je:
- een ongefragmenteerde C schijf hebt
- zeker weet dat je backups werken

Problemen met activatie hebben voor de rest niets te maken met formatteren, dat si een op zichzelf staande probleem wat los van deze situatie opgelost moet worden.

diederik77 @The Chone • 5 april 2006 18:09

dat tweede punt weet je pas als je het eenmaal gedaan hebt

Anoniem: 152636 @The Chone • 5 april 2006 18:14

sorry, ik bedoel dit echt niet als flame maar het zal wel zo overkomen vrees ik

een geonfragmenteerde schijf is het voordeel van een herinstallatie? Komaan man het is 2006. Ik werk al 4 jaar op hetzelfde systeem en heb nog nooit last gehad van gedegframenteerde schijf. Ok ik gebruik dan ook geen windows daar zal het waarschijnlijk aan liggen.

MS zegt bijna letterlijk dat je beter je schijf kan wissen en er een ander OS opzetten want dat het MS nooit zal lukken veiligheid te garanderen.

Ik heb al veel moeten lachen met MS maar deze tip slaagt toch wel alles. Ik weet nog dat ik mijn laatste switcher overtuigde met "herinstallaties behoren tot het verleden in OSX" en dan maakt MS zelfs nog een feature van herinstalleren????

Anoniem: 69437 @Anoniem: 152636 • 5 april 2006 18:34

Nou, ook in 2006 fragmenteert een NTFS/FAT schijf wel degelijk als je 'm een tijd gebruikt. Ook met Linux filesystems gebeurt dit, zij het in mindere mate. En ik gok dat het ook wel gebeurt op OSX.
</offtopic>

Wat Microsoft zegt is waar, en het is al tijden bekend. Als je systeem eenmaal gehackt is, kan je er niet meer vanuit gaan dat je het systeem onder controle hebt. Een herinstallatie is dan de beste oplossing. Ik snap eigenlijk ook niet dat dit als nieuws van Microsoft naar buiten wordt gebracht. Het is domweg common sense.

arjankoole @Anoniem: 69437 • 5 april 2006 23:36

Ook met Linux filesystems gebeurt dit, zij het in mindere mate.

Ik kan het je nog sterker vertellen, en dat doe ik dan ook maar, de Unix filesystems (bijvoorbeeld UFS van BSD, ext2/3 en reiser voor Linux, xfs van SGI) hebben automatische anti-fragmentatie aan boord. Ze schrijven hun data dus zo weg dat er nauwelijks fragmentatie kan ontstaan.

Anoniem: 152636 @Anoniem: 69437 • 6 april 2006 16:45

In OSX heb je natuurlijk defragmentation on the fly. Defragmentatie gebeurt in OS X na dat je het bestand sluit.

Op dit item kan niet meer gereageerd worden.

Microsoft: formatteer en herinstalleer bij vermoeden rootkit

Lees meer

Reacties (112)

Sorteer op:

Weergave: