Rootkit entfernen, dauerhaft, Dual Bios, auf was achten,

5 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

wie entfernt man ein Rootkit dauerhaft von der HDD

Partitionen auflösen, Master Boot Record neu schreiben, neue Partition einrichten und formatieren, System neu installieren.

KANN SICH EIN ROOTKIT IM BIOS EINES MAINBOARDS EINNISTEN?

Theoretisch ja, d.h. es ist technisch machbar, allerdings dermaßen unzuverlässig bzw. aufwändig wegen der vielen versch. BIOS- und Hardwarekombinationen, dass es faktisch unrentabel ist. Das hätte nur Sinn bei gezielten Angriffen auf wirtschaftlich wichtige Ziele im Industrie- oder Militärsektor.

kannst du dir vorstellen, das eine Bilddatei, welche unter Photoshop oder Terragen so manipuliert werden kann, mit Posix Code, das dieser bei nem Neustart solange im RAM bleibt, das er sich, wenn man ins BIOS geht, dann ausm RAM raus, mit abspeichern kann???? oder gar nen Speicherbereich im RAM belegen kann, welchen diesen dazu auffordert, die BIOS Batterie solange zu nutzen, bis der PC wieder aktiviert wird(und erst am Ende is, wenn die BIOS Batterie leer ist)???

klar, recht abstruse und echt komplizierte Angelegenheit, aber doch nicht unmöglich, oder?

0
@CryingFreeman13
klar, recht abstruse und echt komplizierte Angelegenheit, aber doch nicht unmöglich, oder?

Ich schrieb doch, dass solche Sachen technisch machbar sind. Schon vor "BadBIOS" gabs einzelne Proof-of-Concept" Sachen und den Rest suche dir bitte per Google zusammen.

2

Ich bin zwar kein Sicherheitsexperte, aber zur Preisfrage möchte ich mich äußern. Sowas gab es mal und natürlich ist ein Bios angreifbar. Rein theoretisch zumindest. Praktisch ist es so, dass du da sehr hardwarenah unterwegs bist und es tausend Boards gibt und überall sieht es anders aus. Ich halte es für beinahe ausgeschlossen, dass sich da was einnistet. Außerdem behaupte ich, dass ein Bios heutzutage seinen Hash kennt und es demnach sofort merken würde, bzw. sich einfach nicht überschreiben lässt.

Mit dem eigentlichen Problem kann ich dir leider nicht helfen. Denn wie gesagt, ich bin kein Experte in Schadsoftware. Vielleicht mal im Trojanerboard fragen? Ich persönlich würde alles platt machen und auch den Bootsektor überschreiben. Alles andere wäre mir zu unsicher.

Ich glaub nicht das ein Rootkit bis ins Bios kommt, da können gar nicht soviele Informationen hinterlegt werden. Wenn du paraniod bist machst du ein CMOS Reset (Knopfzelle vom Bios entfernen und eine Weile entfernt lassen, resettet die Bios Einstellungen) und formatiert die Festplatte zweimal in unterschiedlichen Dateisystemen. Dann ist alles weg was weg sein kann. Oder du benutzt eine Antivirensoftware die Rootkits entfernen kann. Kaspersky, G-Data, etc.

BIOS und CMOS-RAM sind aber 2 verschiedene Speicher ! Clear CMOS löscht nur den winzigkleinen Konfigurationsspeicher der nur 56 Bytes, bei modernen Computern 1536 Bytes Speicherplatz bietet. Es ist nur eine Registerbank, aus der Konfigurationseinstellungen geladen werden, jedoch kein Programmcode !

Das BIOS dagegen ist in einem 4, 8, oder 16 Mbits EPROM ( parallel Flash oder EEPROM, LPC-Firmwarehub oder SPI-Flash ) gespeichert und da sind meisst noch einige kBytes unbenutzt, die jedoch kaum für ein so komplexes Programm wie ein Rootkit ausreichen können. Eigenen Code in diesem Flash zu speichern würde eine Änderung der Firmware (BIOS-Version) erforderlich machen und das ist nicht so einfach und sehr hardwarespezifisch. Dieser EPROM-speicher kann natürlich nicht durch ein CMOS-Reset gelöscht werden.

0

Was möchtest Du wissen?