da ich gerade an einer Präsentation für die Schule zur Thematik Rootkits arbeite, hat sich bei mir die Frage aufgeworfen, ob ein Anti-Viren-System als Rootkit gilt.
Natürlich als “freundliches”.
Da ich nichts falsches in meiner Präsentation sagen und Avast als Beispiel für ein Rootkit verwenden wollte, da dies jeder kennt, dachte ich mir, dass es das Beste wäre einfach mal hier nachzufragen.
Ich würde mich über eine Antwort freuen, danke im Voraus.
Nun meiner Meinung nach, repräsentiert es nicht nur etwas negatives.
Rootkit bezeichnet einen Administratorbausatz.
Wenn ich also jetzt für mein eigenes System ein Rootkit zusammenbastle,
um mein System um Funktionen zu erweitern die ich gut finde, würde
ich es trotzdem als Rootkit bezeichnet, aber nicht negativ behaftet.
Nur die Definition von Wikipedia macht mich ein wenig unsicher, darum dachte ich, Fragen schadet nicht.
Natürlich hab ich mir das durchgelesen.
Aber diese Liste bei Wikipedia ist nicht einmal vollständig.
Beispielsweise fehlen die Hybrid- und Virtualisierungs-Rootkits.
Naja ist ja auch vorerst nicht so wichtig.
Beispielsweise die DeepScan-Analyse oder SandBox ist meiner Meinung nach am einfachsten realisierbar, wenn man den Prinzipien eines Rootkits nachgeht…
Hmm, weißt du denn ob es wenigstens für andere Anti-Viren-System gilt?
Beziehungsweise könnte man Rootkits als freundliche Helfer bezeichnen?
Oder hängt die Definition von Rootkits nicht so stark mit dem Namen zusammen, wie ich es mir eventuell erhoffen würde?
ich habe nun das Gefühl, dass du den Wikipedia-Artikel nicht gelesen/verstanden hast. Ein Rootkit per Definition ist ein Admin-Werkzeug, nicht mehr/weniger. In welcher Hinsicht ein AntiVirus als Admin-Werkzeug in Betracht gezogen werden kann?
Wenn ich folgenden Guide richtig verstanden habe, dann gibt es zwar bei Windows Systemen bis XP rootkit-artige “Hooks”, jedoch wird ab Vista eine eigene Programmierschnittstelle (API) dafür von Windows zur Verfügung gestellt.
Tatsache ist jedoch, dass sich ein Anti-Viren-Programm tief ins System eingräbt und einen Treiber benötigt, welcher sowohl Code im Kernel ausführen kann als auch Zugriff auf die Kernel APIs besitzt.