Rootkits

PG-94 · 03.07.10, 22:13

Hey,

kennt sich wer ein wenig damit aus oder kann jemand vllt ein buch empfehlen ?
würde mich gern etwas einarbeiten oder einfach mal angucken wie es so im grobe funktioniert :P
Also ich weiß schon was rootkits sind ....^^

MFg

gosha16 · 04.07.10, 00:04

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

da steht wie 's funktioniert.

harbok · 04.07.10, 17:17

Da steht, was das ist, aber nicht wie man die Dinger bastelt.

Das steht zB in [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] Buch recht gut beschrieben. Die beiden sind schon seit xx Jahren mit dem Thema unterwegs und haben ihre eigene Community online

gosha16 · 04.07.10, 18:27

Da steht was sie machen und wo sie aktiv werden, mehr brauch man net um eins zu machen.

harbok · 04.07.10, 20:56

Aber wie Du beispielsweise unter Windows Deinen eigenen Treiber schreibst, um ein device mit ring0 Rechten zu erzeugen, den im laufenden Betrieb injectest und dann mit einem userland process das ganze Betriebssystem steuerst, findest Du dort nicht.
Auch die Standard Möglichkeiten, was man dann mit ring0 alles machen kann, sind dort schön beschrieben. Am Ende kann man sich ein rootkit selbstschreiben, was nur noch sehr schwer zu erkennen ist. Wer sich mit Rootkits befassen möchte, für den ist das Buch empfehlenswert.

Die Wikipedia Seite ist doch nur Allgemeines?!

gosha16 · 04.07.10, 23:14

Stimmt da steht man brauch für Windows Treiber... hmmm ja was is denn mein nächster schritt? Ich guck nach wie man unter windows treiber programmiert.

Wenn er das buch kauft nimmt er die Quellcodes da drin schreibt irgendwo seinen namen hin und hat nichts gelernt. toll.

PG-94 · 05.07.10, 08:27

Hey,

also das auf Wikipedia ist eine schöne grobe Übersicht aber nicht mehr.
Das Buch von harbok werde ich mir mal anschauen.
Und ich werde sicher nicht einfach den Code kopieren. Falls es jemals dazu kommt das ich so etwas schreibe... dann vllt ein paar teile kopieren. Aber wenn ich sowas einsetze dann will ich auch wissen wie es funktiomniert. Sonst fehlt der ganze spass an der sache

MFG

P.S. bin einfach daran interessiert wie doof windoof ist ^^

harbok · 05.07.10, 17:15

Windows ist da nicht sonderlich doof, sondern muss den Treibern eine gesonderte Rolle zukommen lassen (wie nahezu alle Betriebssysteme). Das funktioniert auch für Linux, die BSDs und (fast ?) alle klassischen Unixes.

@gosha:

In dem Buch wird auch darauf eingegangen, wie man Treiber schreibt, was das ist usw usf. Eigentlich ein sehr netter und vollständiger Exkurs für einen (fortgeschrittenen) Programmierer. Die Win API sollte man aber schon mal gesehen haben und in C auch wissen, was man da eigentlich verbricht, bevor man dieses Buch liest.

Neocon · 05.07.10, 18:43

Du musst ja nicht gleich bei Rootkits anfangen. Am besten du fängst bei einfacher Programmierung an und steigerst dich dann. Ebenso solltest du dann in Erfahrung bringen wie eine Betriebssystem aufgebaut ist - wie z.B. der Kernel aus Sicht des Programmierers funktioniert.

Mit dem Wissen solltest du dann ungefähr wissen, wie so ein Rootkit auszusehen hat. Dann schaust du dir noch einpaar Quellcodes an und Vorschläge diverser, erfahrenen Leute und du kannst dein Rootkit bauen.