Hi,
ich habe wo gelesen, dass es möglich ist mit sogenannten Bootkits Loginpasswörter auszuhebeln.
Die Fallbeispiele die ich dazu gesehen habe haben demonstriert wie innerhalb des Systems die Malware startet, die dann den Masterboot Record infiziert.
Was mich nun interessiern würde ist wie es aussieht wenn jemand physikalischen Zugriff auf den PC erlangt.
Kann der Übeltäter beispielsweise wenn der PC (mal angenommen es ist ein voll verschlüsseltes Ubuntu System) in ausgeschaltenem Zustand vorliegt den Bootsektor einfach durch einen anderen ersetzen, ohne dass der Besitzer etwas davon merkt?
Könnte jener Bootsektor theoretisch die Malware enthalten, die das System infiziert wenn sich der nichtsahnende PC Besitzer einloggt?
Die einzige Sicherheitsmaßnahme die ich mir vorstellen könnte wäre, dass wärend der Installation des Systems ein Signaturverfahren beispielsweise ein Hashabgleich stattfindet, der ein solches Eingreifen unmöglich macht, da das System mit einem Boot Sektor mit abweichender Hashsumme nicht starten könnte.
Mich würde interessiern, wie das in Windows und Ubuntu gehalten wird und hoffe, dass mir hier jemand Antworten geben kann.
Freundliche Grüße
Sektorr6352
Herzlich willkommen bei PC-Sicherheit.net
Du betrachtest derzeit das Forum als Gast und hast damit nur eingeschränkten Zugriff. Um alle Bereiche zusehen und alle Forenfunktionen nutzen zu können ist eine kostenlose Registrierung erforderlich.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Viele Grüße vom PC-Sicherheit.net Team
Manipulierung des Bootsektors
-
Astor27
- Moderator
- Beiträge: 25482
- Registriert: So 5. Feb 2012, 15:21
- Betriebssystem: Win10-64bit,Win11
- Browser: Firefox125.0.2/Brave
- Firewall: KIS21
- Virenscanner: KIS21
- Hat sich bedankt: 9491 Mal
- Danksagung erhalten: 8648 Mal
Re: Manipulierung des Bootsektors
Hallo Sektorr6352
schau mal hier aber der Bericht ist aber schön älter von 2008
http://www.heise.de/security/meldung/Ru ... 76262.html
und hier http://www.cgsecurity.org/wiki/Erweiter ... r_bei_NTFS
http://www.cgsecurity.org/wiki/Erweiterte_FAT-Reparatur
http://www.user-archiv.de/security.html
Info text aus http://openbook.rheinwerk-verlag.de/it_ ... t_001.html
Hier zunächst ein Überblick über die wichtigsten Virentypen. Beachten Sie, dass viele Viren zu mehreren dieser Arten gleichzeitig gehören können:
Bootsektor-Viren, bekannt seit 1986, befallen den Master Boot Record von Datenträgern. Bereits das einfache Lesen einer infizierten Diskette kann den Virus auslösen und die Festplatte befallen. Von nun an wird der Virus bei jedem Bootvorgang ausgeführt. Die meisten Bootsektor-Viren sind speicherresident; sie bleiben also aktiv, bis der Computer wieder heruntergefahren wird. In diesem Zeitraum infizieren sie jede eingelegte Diskette. Mit dem Aussterben der Disketten in den letzten Jahren schien die Bedeutung dieser Viren zurückzugehen; inzwischen gibt es jedoch neue Wellen, die besonders die Bootsektoren von USB-Sticks befallen (siehe zum Beispiel http://it.slashdot.org/article.pl?sid=08/04/03/1946228).
Dateiviren gibt es ebenfalls seit 1986. Sie befallen ausführbare Programme und werden beim Start dieser Programme ausgeführt. Sobald sie im Speicher sind, versuchen sie, weitere Programme zu infizieren.
Makroviren benötigen nicht einmal ausführbare Programme, sondern befallen die Dateien bestimmter Anwendungsprogramme, die über eine Skript- oder Makrosprache programmierbar sind. Am häufigsten sind Microsoft-Office-Dokumente betroffen, weil sie sehr weit verbreitet sind und weil die Makrosprache VBA (Visual Basic for Applications) mächtige Befehle zur Steuerung von Windows und Office enthält. Zudem befallen die meisten Office-Makroviren sofort die Standard-Vorlagedateien und infizieren so jedes neu erstellte Dokument. Bis zum Aufkommen zahlreicher E-Mail-Würmer um 1999 war dies die häufigste Virenart.
Stealth-Viren (»Tarnkappen-Viren«) verfügen über einen besonders wirkungsvollen Tarnungsteil. Sie manipulieren Verzeichniseinträge, ändern die Wirkung von Systembefehlen oder manipulieren sogar Antivirenprogramme, um ihre Existenz zu verbergen. Zahlreiche neuere Bootsektor- und Dateiviren gehören zu dieser Kategorie.
Polymorphe Viren sind noch gefährlicher als Stealth-Viren. Eingebaute Algorithmen zur Verschlüsselung und Selbstmodifikation sorgen nämlich dafür, dass jede Kopie des Virus eine neue Gestalt annimmt. Klassische Virensuchverfahren sind gegen diese Bedrohung völlig m
mfg
schau mal hier aber der Bericht ist aber schön älter von 2008
http://www.heise.de/security/meldung/Ru ... 76262.html
und hier http://www.cgsecurity.org/wiki/Erweiter ... r_bei_NTFS
http://www.cgsecurity.org/wiki/Erweiterte_FAT-Reparatur
http://www.user-archiv.de/security.html
Info text aus http://openbook.rheinwerk-verlag.de/it_ ... t_001.html
Hier zunächst ein Überblick über die wichtigsten Virentypen. Beachten Sie, dass viele Viren zu mehreren dieser Arten gleichzeitig gehören können:
Bootsektor-Viren, bekannt seit 1986, befallen den Master Boot Record von Datenträgern. Bereits das einfache Lesen einer infizierten Diskette kann den Virus auslösen und die Festplatte befallen. Von nun an wird der Virus bei jedem Bootvorgang ausgeführt. Die meisten Bootsektor-Viren sind speicherresident; sie bleiben also aktiv, bis der Computer wieder heruntergefahren wird. In diesem Zeitraum infizieren sie jede eingelegte Diskette. Mit dem Aussterben der Disketten in den letzten Jahren schien die Bedeutung dieser Viren zurückzugehen; inzwischen gibt es jedoch neue Wellen, die besonders die Bootsektoren von USB-Sticks befallen (siehe zum Beispiel http://it.slashdot.org/article.pl?sid=08/04/03/1946228).
Dateiviren gibt es ebenfalls seit 1986. Sie befallen ausführbare Programme und werden beim Start dieser Programme ausgeführt. Sobald sie im Speicher sind, versuchen sie, weitere Programme zu infizieren.
Makroviren benötigen nicht einmal ausführbare Programme, sondern befallen die Dateien bestimmter Anwendungsprogramme, die über eine Skript- oder Makrosprache programmierbar sind. Am häufigsten sind Microsoft-Office-Dokumente betroffen, weil sie sehr weit verbreitet sind und weil die Makrosprache VBA (Visual Basic for Applications) mächtige Befehle zur Steuerung von Windows und Office enthält. Zudem befallen die meisten Office-Makroviren sofort die Standard-Vorlagedateien und infizieren so jedes neu erstellte Dokument. Bis zum Aufkommen zahlreicher E-Mail-Würmer um 1999 war dies die häufigste Virenart.
Stealth-Viren (»Tarnkappen-Viren«) verfügen über einen besonders wirkungsvollen Tarnungsteil. Sie manipulieren Verzeichniseinträge, ändern die Wirkung von Systembefehlen oder manipulieren sogar Antivirenprogramme, um ihre Existenz zu verbergen. Zahlreiche neuere Bootsektor- und Dateiviren gehören zu dieser Kategorie.
Polymorphe Viren sind noch gefährlicher als Stealth-Viren. Eingebaute Algorithmen zur Verschlüsselung und Selbstmodifikation sorgen nämlich dafür, dass jede Kopie des Virus eine neue Gestalt annimmt. Klassische Virensuchverfahren sind gegen diese Bedrohung völlig m
mfg
Ich empfehle den download und update immer von der Original Seite der Software.
-
darktwillight
- Foren Gott
- Beiträge: 13420
- Registriert: Mo 5. Aug 2013, 00:51
- Betriebssystem: Win11.Pro/Zorin17+
- Browser: Firefox
- Firewall: Windows +
- Virenscanner: eset
- Hat sich bedankt: 13593 Mal
- Danksagung erhalten: 4804 Mal
Re: Manipulierung des Bootsektors
Ersteinmal zu den Unterschieden Bootkit und Rootkit:
Noch vor dem Start des Betriebssystemes.
Da ein Bootkit ähnlich wie ein Rootkit seine Aktivitäten versteckt, aber schon beim Booten geladen wird, heißt er dann Bootkit.
http://de.inforapid.org/index.php?search=Rootkit
Das ersteinmal zum Unterschied zu deinen Fragen schreibe ich später noch etwas auf
Ein Rootkit (englisch etwa: „Administratorenbausatz“; root ist bei unixähnlichen Betriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird, um zukünftige Anmeldevorgänge („logins“) des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.
Der Begriff ist heute nicht mehr allein auf unixbasierte Betriebssysteme beschränkt, da es längst auch Rootkits für andere Systeme gibt. Antivirenprogramme versuchen, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es, Schadprogramme („malware“) vor den Antivirenprogrammen und dem Benutzer durch Tarnung zu verbergen. https://de.wikipedia.org/wiki/Rootkit
Damit sind sie Quasi ein Trojaner der nicht erkannt wird, und beim Systemstart direkt mitgeladen wirdEin Bootkit ist eine Sammlung von Softwarewerkzeugen oder Bootloadern, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um weitere Sicherheitsmechanismen des Betriebssystems zu deaktivieren.
Ein Bootkit ist somit eine Mischung aus Bootsektorviren und Rootkits. Der Ansatz besagt, dass derjenige, der die Hardware bereits unter seiner Kontrolle hat, auch die Software unter seiner Kontrolle haben kann. https://de.wikipedia.org/wiki/Bootkit
Noch vor dem Start des Betriebssystemes.
Da ein Bootkit ähnlich wie ein Rootkit seine Aktivitäten versteckt, aber schon beim Booten geladen wird, heißt er dann Bootkit.
http://de.inforapid.org/index.php?search=Rootkit
Das ersteinmal zum Unterschied zu deinen Fragen schreibe ich später noch etwas auf
Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz