Rootkit Revealer - Obsługa narzędzia Opcje

[picasso]

Rootkit Revealer

Pobierz: rootkitrevealer



Program uruchamiamy, nie ma czego konfigurować , klikamy Scan i czekamy cierpliwie aż ukończy pracę. W tym czasie może nastąpić bardzo silnie zwieszenie komputera. Nie wolno narzędziu przeszkadzać i najlepiej zostawić kompa w stanie spoczynku nic na nim nie robiąc by nie zafałszować wyników skanu.

UWAGA: Niektóre rootkity już przechodzą przez Rootkit Revealer jako niewykrywalne. Obejście problemu jest zmiana nazwy RootkitRevealer.exe na dowolnie inną.



Problemy z uruchomieniem i działaniem Rootkit Revealer:

1. Niezależnie od sposobu uruchomienia programu czy to z linii komend czy z GUI atakuje komunikat "Rootkit Revealer must be run from the console" namawiający do zapuszczenia programu właśnie z linii komend. Wbrew pozorom nie wiąże się to z żadną linią komend. Obejściem jest tymczasowe zdeaktywowanie:

Start >>> Uruchom >>> services.msc

Na liście znajdź Usługę szybkiego przełączania użytkowników, z prawokliku ją zatrzymaj.

...

2. Program wiesza się za silnie w trakcie skanu i następuje problem z zapisem loga. Obejściem może być uruchomienie programu z linii komend. Dla ułatwienia umieśćcie sobie Rootkit Revealer w najkrótszej ze ścieżek dostępu czyli bezpośrednio na C:\.

Start >>> Uruchom >>> cmd i wpisać komendy:

CD C:\

rootkitrevealer -a log.txt

Skan samoczynnie się wykona i program po jego ukończeniu zamknie się. Jako efekt zostanie utworzony plik C:\log.txt którego zawartość pokazujecie do analizy.

...

3. Błąd procesów wejścia i wyjścia podczas uruchamiana. Nie ma jednoznacznego rozwiązania. U nas na forum wystąpiło to na skutek blokowania RR przez głupi Symantec....

...

4. Po ukończeniu pracy program pozostawia martwe usługi własne. Być może jest to efekt nieprawidłowej pracy i trudności z wykonaniem skanu. Przykład jak to może wyglądać w logu z HijackThis:

O23 - Service: DNWEAZR - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1.ANI\USTAWI~1\Temp\DNWEAZR.exe
O23 - Service: IZ - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1.ANI\USTAWI~1\Temp\IZ.exe
O23 - Service: KUROEEFYQJV - Sysinternals - www.sysinternals.com - C:\DOCUME~1\POCHOP~1\USTAWI~1\Temp\KUROEEFYQJV.exe
O23 - Service: MGMJPXEE - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1.ANI\USTAWI~1\Temp\MGMJPXEE.exe
O23 - Service: OEP - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1.ANI\USTAWI~1\Temp\OEP.exe
O23 - Service: RHS - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1.ANI\USTAWI~1\Temp\RHS.exe
O23 - Service: VKU - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1.ANI\USTAWI~1\Temp\VKU.exe
O23 - Service: WRDOCYKYVKAKS - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1.ANI\USTAWI~1\Temp\WRDOCYKYVKAKS.exe
O23 - Service: XVYIEB - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1.ANI\USTAWI~1\Temp\XVYIEB.exe
O23 - Service: ZBXCECM - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1.ANI\USTAWI~1\Temp\ZBXCECM.exe

Usługi te można już swobodnie skasować. Windows XP oferuje ułatwienie kasacji:

Start >>> Uruchom >>> cmd i wpisać komendy typu:

sc delete NAZWA (tu podstawiacie te losowe kombinacje typu DNWEAZR)



Typy wpisów:


Hidden from Windows API

W skrócie: kompletna niewidoczność obiektu w Windows API. Zdecydowanie ulubiona technika rootkitów. Aczkolwiek są tu wyjątki od reguły jak: metadata NTFS, alternatywne strumienie Kasperskiego czy zaburzenia skanu wykonanego na "surowo" (cały dysk pokazany jako "Hidden from API"). Również możliwe w przypadku zmian obiektu które dokonują się w trakcie skanu zaciemniając sytuację i tu przykładem dobrze posłużą pliki tymczasowe czy Przywracanie systemu które zapewne w momencie skanu zapisywało sobie jakieś informacje:

KOD

C:\Documents and Settings\Michael Bridges\Local Settings\Temp\~DF8727.tmp 11/19/2005 12:16 PM 16.00 KB Hidden from Windows API.
C:\Documents and Settings\Michael Bridges\Local Settings\Temp\~DF8776.tmp 11/19/2005 12:16 PM 512 bytes Hidden from Windows API.

C:\System Volume Information\_restore{B4353CB4-AAAB-4E18-9A0C-7AB27E1 BB4D9}\RP1005\A0092490.dll    11/12/2005 6:05 AM    252.99 KB    Hidden from Windows API.

Visible in Windows API, directory index, but not in MFT
Visible in Windows API, but not in MFT or directory index
Visible in Windows API, MFT, but not in directory index
Visible in directory index, but not Windows API or MFT

W skrócie: dotyczy systemu plików NTFS który jest skanowany potrójnie (Windows API - Master File Table (MFT) - indeks NTFS). Powyższe wyniki oznaczają iż dany plik pojawił się tylko w 1 / 2 a nie 3 skanach przewidzianych programem. Najczęstsza przyczyna takiego stanu rzeczy to utworzenie lub skasowanie pliku w trakcie skanowania.

KOD

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 1/3/2006 7:38 PM 64.00 KB Visible in Windows API, but not in MFT or directory index.

Access is Denied

W skrócie: Rootkit Revealer nie ma dostępu do skanowanego obiektu. Teoretycznie ten wynik nigdy nie powinien się pokazać bo program jest tak zaprojektowany by być w stanie dostać się wszędzie. W praktyce mogą wyskakiwać takie ciekawostki jako wynik "przeszkadzania" pracy RR przez otwartą aplikację innego typu:

KOD

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg    1/6/2006 5:29 PM    0 bytes    Access is denied.

Windows API length not consistent with raw hive data

W skrócie: rozmiar wartości w rejestrze jest niezgodny i pokazywany fałszywie co powoduje niewidoczność spod Windows API. Często stosowany trik rootkitów ale też może być wynikiem wartości rejestru które ulegają uaktualnieniu w trakcie skanowania.

Przykład - Trojan CWS:

KOD

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA\DisplayName 2006-01-04 01:00 50 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE\DisplayName 2006-01-04 01:00 36 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW\DisplayName 2006-01-04 01:00 36 bytes Windows API length not consistent with raw hive data

Data mismatch between Windows API and raw hive data

W skrócie: wartości rejestru ulegają zmianie podczas gdy skan ciągle jest w trakcie i jeszcze nie skończył. Najczęstsza przyczyna takiego wyniku to tzw. timestamps (znaczniki ostatniego dostępu) charakterystyczne dla skanerów AV czy Microsoft SQL Server .... a także aktywność usera na kompie. Dlatego takie ważne jest zostawić skan Rootkit Revealer w spokoju i nic na kompie w tym czasie nie robić by nie wpłynąć na zafałszowanie wyników! Wyniki nie zawsze są oczywiste choć przeważnie zaliczają się do bezpiecznych.

KOD

HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc .\TotalScanned 21.1.2006 22:17 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc .\LastScannedFileName 21.1.2006 22:17 101 bytes Windows API length not consistent with raw hive data.

Type mismatch between Windows API and raw hive data

W skrócie: typ wartości rejestru jest niezgodny pomiędzy tym co jest naprawdę zapisane w rejestrze a co widzi Windows API. Przykładowo szkodnik zapisany jest jako wartość typu REG_BINARY ale na skutek maskowania Windows API nie widzi tego jako wartość binarną lecz oszukaną wartość ciągu REG_SZ w konsekwencji nie mając dostępu do tej wartości. Takie wyniki są zawsze alarmujące.


Key name contains embedded nulls

W skrócie: są to wpisy widziane przez system ale ukryte przed edytorem rejestru REGEDIT. Patrz na opis post niżej o kluczach NULL i jak je usuwać.

Przykład - Trojan CWS:

KOD

HKLM\SYSTEM\ControlSet001\Services\ 11Fßń#? 2006-01-04 00:55 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet002\Services\ 11Fßń#? 2006-01-04 00:55 0 bytes Key name contains embedded nulls (*)

Bezpieczne wpisy:

Rootkit Revealer listuje wszystko co ma predyspozycje maskujące ale nie wszystko może być szkodliwe. W celach bezpieczeństwa nie zrobiono w RR żadnego filtru omijającego dany typ wyników uznany za bezpieczny gdyż rootkity mogą to łatwo wykorzystać i przeszmuglować się pod przykrywką wyjątku white-listy. Bierzcie też pod uwagę zaburzenia skanu i wpływ tak aktywności użytkownika jak i pracujących programów na przekłamania wyników. Poniżej podam typowe przykłady jakie wyniki się nie liczą w łowieniu trojanów. Listę tę będę sukcesywnie uzupełniać.


Soft Daemon Tools i Alcohol w różnych wersjach:

HKLM\SYSTEM\ControlSet001\Services\d347prt\CfgJf40 11/9/2005 12:10 PM 0 bytes Hidden from Windows API

HKLM\SYSTEM\ControlSet001\Services\Vax347s\Config\jdgg40 2006-01-21 05:21 0 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 22.05.2005 22:28 0 bytes Hidden from Windows API

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s0 2005-12-18 03:41 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s1 2005-12-18 03:41 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s2 2005-12-18 03:41 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\g0 2005-12-18 03:41 32 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\h0 2005-12-18 03:41 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 2005-12-18 14:07 0 bytes Hidden from Windows API.

Cryptography\RNG\Seed Microsoftu

RNG = Random Number Generator Więcej w TYM temacie.

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 2005-06-11 14:22 80 bytes Data mismatch between Windows API and raw hive data.

Streamy Kasperskiego:

Znak rozpoznawczy w logu to znacznik KAVICHS:

C:\Program Files\eMule\changelog.txt:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\config\cryptkey.dat:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\config\key_index.dat:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\config\known2.met:KAVICHS 2005-03-13 06:56 36 bytes Hidden from Windows API.
C:\Program Files\eMule\config\nodes.dat:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\config\preferences.ini:KAVICHS 2005-03-15 04:15 36 bytes Hidden from Windows API.
C:\Program Files\eMule\config\preferencesKad.dat:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\config\src_index.dat:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\config\statistics.ini:KAVICHS 2005-03-15 17:57 36 bytes Hidden from Windows API.
C:\Program Files\eMule\config\webservices.dat:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\eMule.1031.chm:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\eMule.chm:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\emule.exe:KAVICHS 2005-03-15 11:21 68 bytes Hidden from Windows API.
C:\Program Files\eMule\eMule.tmpl:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\eMule_Chicane.tmpl:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\lang\ar_AE.dll:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\lang\bg_BG.dll:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\lang\ca_ES.dll:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\lang\cz_CZ.dll:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\lang\da_DK.dll:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\lang\de_DE.dll:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.
C:\Program Files\eMule\lang\el_GR.dll:KAVICHS 2005-03-10 18:21 36 bytes Hidden from Windows API.

Patrz opis strumienii i ich usuwania w dalszym poście.


Metadata NTFS:

Nie powinny się pokazać gdyż domyślnie RR ma ustawioną opcję omijania tego typu wyników:

C:\$AttrDef 2005-01-28 04:16 2.50 KB Hidden from Windows API.
C:\$BadClus 2005-01-28 04:16 0 bytes Hidden from Windows API.
C:\$BadClus:$Bad 2005-01-28 04:16 7.81 GB Hidden from Windows API.
C:\$Bitmap 2005-01-28 04:16 250.04 KB Hidden from Windows API.
C:\$Boot 2005-01-28 04:16 8.00 KB Hidden from Windows API.
C:\$Extend 2005-01-28 04:16 0 bytes Hidden from Windows API.
C:\$Extend\$ObjId 2005-01-28 04:16 0 bytes Hidden from Windows API.
C:\$Extend\$Quota 2005-01-28 04:16 0 bytes Hidden from Windows API.
C:\$Extend\$Reparse 2005-01-28 04:16 0 bytes Hidden from Windows API.
C:\$LogFile 2005-01-28 04:16 42.02 MB Hidden from Windows API.
C:\$MFT 2005-01-28 04:16 33.28 MB Hidden from Windows API.
C:\$MFTMirr 2005-01-28 04:16 4.00 KB Hidden from Windows API.
C:\$Secure 2005-01-28 04:16 0 bytes Hidden from Windows API.
C:\$UpCase 2005-01-28 04:16 128.00 KB Hidden from Windows API.
C:\$Volume 2005-01-28 04:16 0 bytes Hidden from Windows API.
D:\$AttrDef 2004-11-26 22:28 2.50 KB Hidden from Windows API.
D:\$BadClus 2004-11-26 22:28 0 bytes Hidden from Windows API.
D:\$BadClus:$Bad 2004-11-26 22:28 11.72 GB Hidden from Windows API.
D:\$Bitmap 2004-11-26 22:28 375.05 KB Hidden from Windows API.
D:\$Boot 2004-11-26 22:28 8.00 KB Hidden from Windows API.
D:\$Extend 2004-11-26 22:28 0 bytes Hidden from Windows API.
D:\$Extend\$ObjId 2004-11-26 22:28 0 bytes Hidden from Windows API.
D:\$Extend\$Quota 2004-11-26 22:28 0 bytes Hidden from Windows API.
D:\$Extend\$Reparse 2004-11-26 22:28 0 bytes Hidden from Windows API.
D:\$LogFile 2004-11-26 22:28 62.02 MB Hidden from Windows API.
D:\$MFT 2004-11-26 22:28 49.94 MB Hidden from Windows API.
D:\$MFTMirr 2004-11-26 22:28 4.00 KB Hidden from Windows API.
D:\$Secure 2004-11-26 22:28 0 bytes Hidden from Windows API.
D:\$UpCase 2004-11-26 22:28 128.00 KB Hidden from Windows API.
D:\$Volume 2004-11-26 22:28 0 bytes Hidden from Windows API.
E:\$AttrDef 2005-01-04 21:39 2.50 KB Hidden from Windows API.
E:\$BadClus 2005-01-04 21:39 0 bytes Hidden from Windows API.
E:\$BadClus:$Bad 2005-01-04 21:39 35.15 GB Hidden from Windows API.
E:\$Bitmap 2005-01-04 21:39 1.10 MB Hidden from Windows API.
E:\$Boot 2005-01-04 21:39 8.00 KB Hidden from Windows API.
E:\$Extend 2005-01-04 21:39 0 bytes Hidden from Windows API.
E:\$Extend\$ObjId 2005-01-04 21:40 0 bytes Hidden from Windows API.
E:\$Extend\$Quota 2005-01-04 21:40 0 bytes Hidden from Windows API.
E:\$Extend\$Reparse 2005-01-04 21:40 0 bytes Hidden from Windows API.
E:\$LogFile 2005-01-04 21:39 64.00 MB Hidden from Windows API.
E:\$MFT 2005-01-04 21:39 105.39 MB Hidden from Windows API.
E:\$MFTMirr 2005-01-04 21:39 4.00 KB Hidden from Windows API.
E:\$Secure 2005-01-04 21:39 0 bytes Hidden from Windows API.
E:\$UpCase 2005-01-04 21:39 128.00 KB Hidden from Windows API.
E:\$Volume 2005-01-04 21:39 0 bytes Hidden from Windows API.
F:\$AttrDef 2004-11-26 22:49 2.50 KB Hidden from Windows API.
F:\$BadClus 2004-11-26 22:49 0 bytes Hidden from Windows API.
F:\$BadClus:$Bad 2004-11-26 22:49 19.83 GB Hidden from Windows API.
F:\$Bitmap 2004-11-26 22:49 634.65 KB Hidden from Windows API.
F:\$Boot 2004-11-26 22:49 8.00 KB Hidden from Windows API.
F:\$Extend 2004-11-26 22:49 0 bytes Hidden from Windows API.
F:\$Extend\$ObjId 2004-11-26 22:49 0 bytes Hidden from Windows API.
F:\$Extend\$Quota 2004-11-26 22:49 0 bytes Hidden from Windows API.
F:\$Extend\$Reparse 2004-11-26 22:49 0 bytes Hidden from Windows API.
F:\$LogFile 2004-11-26 22:49 64.00 MB Hidden from Windows API.
F:\$MFT 2004-11-26 22:49 36.56 MB Hidden from Windows API.
F:\$MFTMirr 2004-11-26 22:49 4.00 KB Hidden from Windows API.
F:\$Secure 2004-11-26 22:49 0 bytes Hidden from Windows API.
F:\$UpCase 2004-11-26 22:49 128.00 KB Hidden from Windows API.
F:\$Volume 2004-11-26 22:49 0 bytes Hidden from Windows API.

.