Rootkit entfernen, dauerhaft, Dual Bios, auf was achten,

... komplette Frage anzeigen

5 Antworten

wie entfernt man ein Rootkit dauerhaft von der HDD

Partitionen auflösen, Master Boot Record neu schreiben, neue Partition einrichten und formatieren, System neu installieren.

KANN SICH EIN ROOTKIT IM BIOS EINES MAINBOARDS EINNISTEN?

Theoretisch ja, d.h. es ist technisch machbar, allerdings dermaßen unzuverlässig bzw. aufwändig wegen der vielen versch. BIOS- und Hardwarekombinationen, dass es faktisch unrentabel ist. Das hätte nur Sinn bei gezielten Angriffen auf wirtschaftlich wichtige Ziele im Industrie- oder Militärsektor.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von CryingFreeman13
10.03.2014, 00:53

kannst du dir vorstellen, das eine Bilddatei, welche unter Photoshop oder Terragen so manipuliert werden kann, mit Posix Code, das dieser bei nem Neustart solange im RAM bleibt, das er sich, wenn man ins BIOS geht, dann ausm RAM raus, mit abspeichern kann???? oder gar nen Speicherbereich im RAM belegen kann, welchen diesen dazu auffordert, die BIOS Batterie solange zu nutzen, bis der PC wieder aktiviert wird(und erst am Ende is, wenn die BIOS Batterie leer ist)???

klar, recht abstruse und echt komplizierte Angelegenheit, aber doch nicht unmöglich, oder?

0

Ich bin zwar kein Sicherheitsexperte, aber zur Preisfrage möchte ich mich äußern. Sowas gab es mal und natürlich ist ein Bios angreifbar. Rein theoretisch zumindest. Praktisch ist es so, dass du da sehr hardwarenah unterwegs bist und es tausend Boards gibt und überall sieht es anders aus. Ich halte es für beinahe ausgeschlossen, dass sich da was einnistet. Außerdem behaupte ich, dass ein Bios heutzutage seinen Hash kennt und es demnach sofort merken würde, bzw. sich einfach nicht überschreiben lässt.

Mit dem eigentlichen Problem kann ich dir leider nicht helfen. Denn wie gesagt, ich bin kein Experte in Schadsoftware. Vielleicht mal im Trojanerboard fragen? Ich persönlich würde alles platt machen und auch den Bootsektor überschreiben. Alles andere wäre mir zu unsicher.

Antwort bewerten Vielen Dank für Deine Bewertung

Ein Rootkit entfernen ? Wenn einmal installiert, modifiziert ein Rootkit Einstellungen, Regisry und wichtige zentrale Systemdateien in der Art, dass es weder sicher gefunden noch entfernt werden kann. Die unlautere Werbung von wegen "Rootkits sicher entfernen" ist nur Bauernfängerei und obendrein meisst selbst Malware ! Finger weg davon, Oft verschlimmbessert das die Sache, dass dann gar nichts mehr zu machen ist... Da hilft nur sicher HDD komplett löschen, z.B. mit dem Festplattendiagnoseprogramm des Herstellers ein "full erase" durchführen. Dann ist die Festplatte wirklich leer, so wie im Neuzustand. Das ist gleichzeitig ein guter Test auf Verwendbarkeit und Fehlerfreiheit der Platte.

Ein Rootkit im BIOS ?? Hab ich noch nie gehört und ich meine auch das ist nicht möglich ! Ein Rootkit ist immer plattform- und betriebssystemspezifisch, modifiziert das Betriebsystem selbst und ist auf direkte Zusammenarbeit mit dem System ausgelegt. Der Code wäre für den eng begrenzten Platz im Flashbios viel zu groß und hätte keinen Sinn, weil die betroffenen Teile des Zielsystems eben nicht im ROM sein können.

Dual-Bios ist eine Gemeinschaftsentwicklung einiger Mainboardhersteller, aber kein Standart. Die Realisierung und Schaltung ist je nach Hersteller unterschiedlich. Dieses Feature soll nur eine erhöhte Ausfallabsicherung bei ausgefallenen Flashchip, einem versehentlich installierten fehlerhaften BIOS oder bei Fehlern während des Updatevorganges selbst, z.B. Stromausfall, bringen... Bei manchen BIOSen ist der 2.Flashchip gar nicht direkt zugänglich und wird automatisch bei Änderungen nach 2 erfolgreichen Systemstarts mit dem 1.Chip sychronisiert. Die Wiederherstellungsoption ist nur im Fehlerfall zugänglich und macht eine automatische Kopie in die andere Richtung....

Kurzum, viel Wind und Sorge um den äusserst unwahrscheinlichen Fall

Antwort bewerten Vielen Dank für Deine Bewertung

Hallo

an alle Spezialisten hier, wie entfernt man ein Rootkit dauerhaft von der HDD?

formatieren

ist das einzig richtige Mittel um ein kompromittiertes System sicher sauber zu kriegen!

KANN SICH EIN ROOTKIT IM BIOS EINES MAINBOARDS EINNISTEN?

Eher nicht

WENN JA, BRINGT ES IN DIESEM FALL ETWAS, WENN EIN DUAL-BIOS BUTTON VORHANDEN IST,

Gibt es so etwas/hast Du so eines?

Reden wir hier eigentlich ein von einem Windows oder von welchem System?

Linuxhase

Antwort bewerten Vielen Dank für Deine Bewertung

Ich glaub nicht das ein Rootkit bis ins Bios kommt, da können gar nicht soviele Informationen hinterlegt werden. Wenn du paraniod bist machst du ein CMOS Reset (Knopfzelle vom Bios entfernen und eine Weile entfernt lassen, resettet die Bios Einstellungen) und formatiert die Festplatte zweimal in unterschiedlichen Dateisystemen. Dann ist alles weg was weg sein kann. Oder du benutzt eine Antivirensoftware die Rootkits entfernen kann. Kaspersky, G-Data, etc.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von Jack63G
11.03.2014, 20:20

BIOS und CMOS-RAM sind aber 2 verschiedene Speicher ! Clear CMOS löscht nur den winzigkleinen Konfigurationsspeicher der nur 56 Bytes, bei modernen Computern 1536 Bytes Speicherplatz bietet. Es ist nur eine Registerbank, aus der Konfigurationseinstellungen geladen werden, jedoch kein Programmcode !

Das BIOS dagegen ist in einem 4, 8, oder 16 Mbits EPROM ( parallel Flash oder EEPROM, LPC-Firmwarehub oder SPI-Flash ) gespeichert und da sind meisst noch einige kBytes unbenutzt, die jedoch kaum für ein so komplexes Programm wie ein Rootkit ausreichen können. Eigenen Code in diesem Flash zu speichern würde eine Änderung der Firmware (BIOS-Version) erforderlich machen und das ist nicht so einfach und sehr hardwarespezifisch. Dieser EPROM-speicher kann natürlich nicht durch ein CMOS-Reset gelöscht werden.

0

Was möchtest Du wissen?