Fragen zum Anti-Viren-Programm

Hey Leute,

da ich gerade an einer Präsentation für die Schule zur Thematik Rootkits arbeite, hat sich bei mir die Frage aufgeworfen, ob ein Anti-Viren-System als Rootkit gilt.
Natürlich als “freundliches”.
Da ich nichts falsches in meiner Präsentation sagen und Avast als Beispiel für ein Rootkit verwenden wollte, da dies jeder kennt, dachte ich mir, dass es das Beste wäre einfach mal hier nachzufragen.
Ich würde mich über eine Antwort freuen, danke im Voraus.

lG Oliver

Was verstehst Du unter RootKit?

Nun meiner Meinung nach, repräsentiert es nicht nur etwas negatives.
Rootkit bezeichnet einen Administratorbausatz.
Wenn ich also jetzt für mein eigenes System ein Rootkit zusammenbastle,
um mein System um Funktionen zu erweitern die ich gut finde, würde
ich es trotzdem als Rootkit bezeichnet, aber nicht negativ behaftet.
Nur die Definition von Wikipedia macht mich ein wenig unsicher, darum dachte ich, Fragen schadet nicht.

Nein, avast! agiert nicht als Rootkit, auch nicht als freundliches.

Willkommen im Forum,
Asyn

Ja aber im Prinzip besitzt es doch signifikante Eigenschaften eines Rootkits, oder sehe ich das falsch?

Ja, das siehst du falsch.

LG Asyn

Und zwar?
Hast du (bevor diesen Thread zu öffnen) sich ein wenig schlau gemacht, z.B. damit: http://de.wikipedia.org/wiki/Rootkit?

Natürlich hab ich mir das durchgelesen.
Aber diese Liste bei Wikipedia ist nicht einmal vollständig.
Beispielsweise fehlen die Hybrid- und Virtualisierungs-Rootkits.
Naja ist ja auch vorerst nicht so wichtig.

Beispielsweise die DeepScan-Analyse oder SandBox ist meiner Meinung nach am einfachsten realisierbar, wenn man den Prinzipien eines Rootkits nachgeht…

Macht man (Avast) aber nicht.

Hmm, weißt du denn ob es wenigstens für andere Anti-Viren-System gilt?
Beziehungsweise könnte man Rootkits als freundliche Helfer bezeichnen?
Oder hängt die Definition von Rootkits nicht so stark mit dem Namen zusammen, wie ich es mir eventuell erhoffen würde?

ich habe nun das Gefühl, dass du den Wikipedia-Artikel nicht gelesen/verstanden hast. Ein Rootkit per Definition ist ein Admin-Werkzeug, nicht mehr/weniger. In welcher Hinsicht ein AntiVirus als Admin-Werkzeug in Betracht gezogen werden kann?

Nun wenn du mal ein Rootkit programmiert hast, wirst du sehr schnell feststellen, dass damit sehr leicht ein AntiVirus-Programm realisierbar ist…

Und habe ich das Gefühl, dass du trollst, ergo dftt.

Wenn ich folgenden Guide richtig verstanden habe, dann gibt es zwar bei Windows Systemen bis XP rootkit-artige “Hooks”, jedoch wird ab Vista eine eigene Programmierschnittstelle (API) dafür von Windows zur Verfügung gestellt.

Tatsache ist jedoch, dass sich ein Anti-Viren-Programm tief ins System eingräbt und einen Treiber benötigt, welcher sowohl Code im Kernel ausführen kann als auch Zugriff auf die Kernel APIs besitzt.

Hier jedenfalls nochmal der Link zum Reinlesen: http://www.adlice.com/making-an-antivirus-engine-the-guidelines/