---

Hej.

Jeg har en maskine med Windows XP Pro. Da jeg læste at Sysinternals
havde lavet et RootKit-detection-tool[1], måtte jeg naturligvis lige
prøve det.
Er der nogen af jer som har stiftet bekendtskab med dette værktøj?
Jeg har læst det, de skriver på sitet om det, README.txt samt alt i Help
(som faktisk er det samme som de skriver på deres web site), men har
ikke kunnet finde noget svar på, hvad man rent faktisk skal kigge efter
i det den finder.

Hos mig finder den en del[2], men jeg ved ikke om det er skidt.
[1]: http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
[2]: Scanresultater pasted her:
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet001\Services\Description   01-01-1601 01:00   17
bytes   Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40   24-02-2005 16:26
0 bytes   Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\MRxDAV\EncryptedDirectories
05-01-2005 22:22   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet002\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet002\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet002\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet002\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet002\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet002\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties
05-01-2005 22:43   0 bytes   Access is denied.
HKLM\SYSTEM\ControlSet002\Services\Description   01-01-1601 01:00   17
bytes   Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet002\Services\MRxDAV\EncryptedDirectories
05-01-2005 22:22   0 bytes   Access is denied.
C:\$AttrDef   05-01-2005 22:36   2.50 KB   Hidden from Windows API.
C:\$BadClus   05-01-2005 22:36   0 bytes   Hidden from Windows API.
C:\$BadClus:$Bad   05-01-2005 22:36   22.94 GB   Hidden from Windows API.
C:\$Bitmap   05-01-2005 22:36   734.17 KB   Hidden from Windows API.
C:\$Boot   05-01-2005 22:36   8.00 KB   Hidden from Windows API.
C:\$Extend   05-01-2005 22:36   0 bytes   Hidden from Windows API.
C:\$Extend\$ObjId   05-01-2005 22:36   0 bytes   Hidden from Windows API.
C:\$Extend\$Quota   05-01-2005 22:36   0 bytes   Hidden from Windows API.
C:\$Extend\$Reparse   05-01-2005 22:36   0 bytes   Hidden from Windows API.
C:\$LogFile   05-01-2005 22:36   64.00 MB   Hidden from Windows API.
C:\$MFT   05-01-2005 22:36   100.92 MB   Hidden from Windows API.
C:\$MFTMirr   05-01-2005 22:36   4.00 KB   Hidden from Windows API.
C:\$Secure   05-01-2005 22:36   0 bytes   Hidden from Windows API.
C:\$UpCase   05-01-2005 22:36   128.00 KB   Hidden from Windows API.
C:\$Volume   05-01-2005 22:36   0 bytes   Hidden from Windows API.
C:\Documents and Settings\tdn\Local Settings\Temp\~DF2B34.tmp
24-02-2005 17:21   16.00 KB   Visible in Windows API, directory index but
not in MFT.
C:\Documents and Settings\tdn\Local Settings\Temp\~DF2B3F.tmp
24-02-2005 17:21   512 bytes   Visible in Windows API, directory index but
not in MFT.
C:\Documents and Settings\tdn\Local Settings\Temporary Internet
Files\Content.IE5\G3O3QR0P\CAISZN6C.HTM   24-02-2005 17:21   1.15 KB   Visible
in Windows API, directory index but not in MFT.
C:\Documents and Settings\tdn\Recent\RootkitRevealer.chm.lnk
24-02-2005 17:21   738 bytes   Visible in Windows API, directory index but
not in MFT.
C:\Documents and
Settings\tdn\Recent\Softwarepatenter_og_fri_software.rm.lnk   15-02-2005
14:15   677 bytes   Hidden from Windows API.
C:\System Volume
Information\_restore{F9E7E8A4-99C2-45FD-9938-D2A67E0A2635}\RP21\A0017790.lnk
15-02-2005 14:15   677 bytes   Visible in Windows API, directory index but
not in MFT.
C:\WINDOWS\Prefetch\HH.EXE-2D1A70B3.pf   24-02-2005 17:21   44.93 KB   Visible
in Windows API, directory index but not in MFT.


--
Thomas Damgaard Nielsen
http://thomasdamgaard.dk
"Det er i hvert fald i størrelsesordenen 1000 eller flere om året der
dør i Danmark af partikler."
-- Steffen Loft, professor, Københavns Universitet

---

Thomas Damgaard Nielsen wrote:
> Hej.
>
> Jeg har en maskine med Windows XP Pro. Da jeg læste at Sysinternals
> havde lavet et RootKit-detection-tool[1], måtte jeg naturligvis lige
> prøve det.

Selvfølgelig.

> Er der nogen af jer som har stiftet bekendtskab med dette værktøj?

Ja.

Jeg kan ikke gennemskue hvordan deres løsningen på problemmer omkring
det er muligt at se et rootkit bliver løst med deres tilgang til problemmet.

Som standard bliver system data gemt i windows med samme metode som et
rootkit benytter....så den første måde at angribe scanneren på er at
gemme sig i system data'en.

Man kan også fjerne rootkit når en scanner tilgår kataloget rootkit
ligger i, således at scanningen via disk driveren ikke kan se
rootkit'et.. rootkit'et kan nu vente i 10 sek. og installere sig igen.

En anden vinkel kan være at rette i disk driveren, så det stemmer
overens med API'et.


En uheldig egenskab med deres værktøj er at der bliver taget en kopi af
registeringsdatabasen. Denne kopi bliver gemt så alle har læse adgang
til den. Hvilket betyder alle kan læse registeringsdatabasen.

> Jeg har læst det, de skriver på sitet om det, README.txt samt alt i Help
> (som faktisk er det samme som de skriver på deres web site), men har
> ikke kunnet finde noget svar på, hvad man rent faktisk skal kigge efter
> i det den finder.
>
> Hos mig finder den en del[2], men jeg ved ikke om det er skidt.

Den viser dig blot de ting som ikke stemmer overens.

De fleste af det du ser er systemfiler som ikke kan ses af systemmet via
de gense API kald.

Dog kan du godt se lidt, prøv fx i "Kør..."/"Run..." at skrive
C:\$Extend\ du vil herefter få en fejl om at du ikke har adgang, så API
kaldet der læser indholdet af kataloger kan godt se kataloget.


Generelt ser det fornuftigt ud...jeg gætter på du har slettet nogle
"links" mens scanneren kørte?

---

Christian E. Lysel wrote:
> En uheldig egenskab med deres værktøj er at der bliver taget en kopi af
> registeringsdatabasen. Denne kopi bliver gemt så alle har læse adgang
> til den. Hvilket betyder alle kan læse registeringsdatabasen.

Bummer!
Ikke særligt fedt.
Er det den, som den gemmer i tmp.hiv?


>> Hos mig finder den en del[2], men jeg ved ikke om det er skidt.
>
> Den viser dig blot de ting som ikke stemmer overens.
>
> De fleste af det du ser er systemfiler som ikke kan ses af systemmet via
> de gense API kald.

Ok.
Men det jeg gerne vil vide er, om det at den viser noget, betyder at jeg
er owned?
Bør jeg foretage mig noget?


> Dog kan du godt se lidt, prøv fx i "Kør..."/"Run..." at skrive
> C:\$Extend\ du vil herefter få en fejl om at du ikke har adgang, så API
> kaldet der læser indholdet af kataloger kan godt se kataloget.

Jep. Får den fejl, men hvad er det for et dir?


> Generelt ser det fornuftigt ud...jeg gætter på du har slettet nogle
> "links" mens scanneren kørte?

Erhm... Måske er der blevet fjernet nogle links, fordi jeg har åbnet
nogle filer og dermed er links i "Recent" blevet slettet.


--
Thomas Damgaard Nielsen
http://thomasdamgaard.dk
"Det er i hvert fald i størrelsesordenen 1000 eller flere om året der
dør i Danmark af partikler."
-- Steffen Loft, professor, Københavns Universitet

---

Thomas Damgaard Nielsen wrote:
> Ikke særligt fedt.

Nej.

> Er det den, som den gemmer i tmp.hiv?

Ja.

>> De fleste af det du ser er systemfiler som ikke kan ses af systemmet
>> via de gense API kald.
> Ok.
> Men det jeg gerne vil vide er, om det at den viser noget, betyder at jeg
> er owned?

Det kan man ikke vide med sikkerhed...men umiddelbart vil jeg mene nej.

> Bør jeg foretage mig noget?

Det kan man ikke vide med sikkerhed...men umiddelbart vil jeg mene nej.

>> Dog kan du godt se lidt, prøv fx i "Kør..."/"Run..." at skrive
>> C:\$Extend\ du vil herefter få en fejl om at du ikke har adgang, så
>> API kaldet der læser indholdet af kataloger kan godt se kataloget.
> Jep. Får den fejl, men hvad er det for et dir?

Siger det ikke sig selv? Der bliver gemt oplysninger til fx disk quota,
logfiler (journaler i filsystemet), MFT informationer...

Se evt. http://linux-ntfs.sourceforge.net/ntfs/files/index.html
(linux folket ryger igen ind på en førsteplads i google når man vil
forstå Windows).

Min pointer er dog at et rootkit vil kunne gemme sig i ovennævnte data.

>> Generelt ser det fornuftigt ud...jeg gætter på du har slettet nogle
>> "links" mens scanneren kørte?
> Erhm... Måske er der blevet fjernet nogle links, fordi jeg har åbnet
> nogle filer og dermed er links i "Recent" blevet slettet.

Ja...