Nieuws
image

Windows malware verwijderen als een pro

vrijdag 22 juli 2011, 07:15 door Redactie, 10 reacties

Microsoft heeft een boek voor systeembeheerders en gevorderde Windows-gebruikers uitgebracht, waarin meer dan zeventig Sysinternals tools worden besproken. Sysinternals werd een aantal jaren geleden door Microsoft overgenomen. Het bedrijf ontwikkelde tal van programma's en tools voor het verwijderen van malware en het lokaliseren van Windows-problemen. Bekende tools van Sysinternals zijn onder andere Process Explorer, Process Monitor en Autoruns.

In het 450 pagina's tellende boek, genaamd Windows Sysinternals Administrator's Reference, wordt ook uitgebreid stil gestaan bij het verwijderen van malware.

Mark Russinovich, de man achter Sysinternals, gebruikte de door hem ontwikkelde tools onder andere voor het analyseren van de beruchte Stuxnetworm op Windows systemen. Ook geeft hij regelmatig workshops, zoals binnenkort tijdens de Blackhat Conferentie. Daar laat hij zien hoe je met de gratis Sysinternals tools "zero day" malware kan verwijderen.

Reacties (10)
22-07-2011, 08:43 door Anoniem
Hmm,

Oke, de tools van Sysinternals zijn inderdaad super.
Erg handig om erachter te komen wat er nu eigenlijk precies gebeurd is met een systeem.

Maar mijn mening is nog altijd:
De kans dat je ergens een rootkit, backdoor of wat dan ook over het hoofd ziet blijft er altijd.
Na het uitzoeken, registreren e.d. blijft de beste opschoning nog altijd een simpele format met herinstallatie.
Met de software van tegenwoordig kun je vrij snel een machine automatisch installeren middels een netwerk installatie.

Groeten,
Barry
22-07-2011, 08:53 door Anoniem
Door Anoniem: Hmm,

Oke, de tools van Sysinternals zijn inderdaad super.
Erg handig om erachter te komen wat er nu eigenlijk precies gebeurd is met een systeem.

Maar mijn mening is nog altijd:
De kans dat je ergens een rootkit, backdoor of wat dan ook over het hoofd ziet blijft er altijd.
Na het uitzoeken, registreren e.d. blijft de beste opschoning nog altijd een simpele format met herinstallatie.
Met de software van tegenwoordig kun je vrij snel een machine automatisch installeren middels een netwerk installatie.

Groeten,
Barry
Daar is in een bedrijf niet altijd tijd voor.
Meestal is een backup verouderd. En windows installeren + alle programma's en instellingen kost ook een hoop tijd.
Als je met dit soort programma's een probleem snel kan oplossen dan heb je een bedrijf een hoop geld bespaard.
22-07-2011, 09:08 door Anoniem
^ Eh, alleen een goede rootkit zou aardig hidden kunnen zijn, maar 9/10 zijn slecht packed en word gevonden door de gemiddelde AV. Een "backdoor" is en blijft altijd nog een applicatie/proces dat tcp/udp verkeer heeft wat te monitoren is op port en/of proces.

Ben het wel met je eens dat een herinstallatie een goede oplossing is
22-07-2011, 10:09 door Anoniem
Wij hebben nooit echt last van malware en dergelijke, maar wel cool van MS om Sysinternals tools uit te brengen voor Systeembeheerders en gevorderde Windows gebruikers.

Sjeeker.US & Chung Hui
InfG.
22-07-2011, 11:06 door Marius
Mhhh, een windows 7 systeempje is makkelijk in een uurtje te installeren, maar daarna ben je zeker nog een paar uren extra bezig met alle software pakketten om uberhaupt te kunnen werken (het is eigenlijk onvoorstelbaar wat je na jaren software ontwikkeling aan tools en utilities met je mee sleept, waaronder inderdaad een paar uitstekende tools van sysinternals)

Een Image van je HD maken, of een gevirtualiseerde windows lijkt me vele malen makkelijker dan een complete format/install. En dan maar hopen dat de wormen niet in die installatie zaten anders ben je inderdaad wel veroordeeld tot de format/reinstall
22-07-2011, 16:24 door Anoniem
sysinternals veelvuldig gebruikt voor troubleshooting app packaging en appvirt
os & apps installeren? installeren?
zo 2005, tegenwoordig virtualiseren/streamen/presenteren we desktops en applicaties
22-07-2011, 21:52 door spatieman
ghost of acronis backup terug zetten.
Ja gaat toch niet een infected mushroom cleanen,
22-07-2011, 23:25 door Anoniem
Ik kan wel aardig overweg met de sysinternal-tools en bv. hiew, maar actieve rootkits zijn op een gegeven moment gewoon niet meer te vinden vanuit userland.
24-07-2011, 16:30 door Anoniem
Door Anoniem:
Door Anoniem: Hmm,

Oke, de tools van Sysinternals zijn inderdaad super.
Erg handig om erachter te komen wat er nu eigenlijk precies gebeurd is met een systeem.

Maar mijn mening is nog altijd:
De kans dat je ergens een rootkit, backdoor of wat dan ook over het hoofd ziet blijft er altijd.
Na het uitzoeken, registreren e.d. blijft de beste opschoning nog altijd een simpele format met herinstallatie.
Met de software van tegenwoordig kun je vrij snel een machine automatisch installeren middels een netwerk installatie.

Groeten,
Barry
Daar is in een bedrijf niet altijd tijd voor.
Meestal is een backup verouderd. En windows installeren + alle programma's en instellingen kost ook een hoop tijd.
Als je met dit soort programma's een probleem snel kan oplossen dan heb je een bedrijf een hoop geld bespaard.

Binnen een bedrijf met een beetje IT-afdeling moet het toch mogelijk zijn een standaard desktop binnen een uur van een vers image te voorzien. En van servers geen recente backup hebben is helemaal een doodzonde
26-07-2011, 18:02 door Anoniem
Heb wel betere dingen te doen dan suffe rootkits te gaan zoeken.

Server re-imagen ~ 7 minuten
Customizen met config management software ~ 5 minuten
Applicatie deployment ~ 2 minuten
Oftewel, in minder dan een kwartier staat 'n server weer vrolijk z'n werk te doen. Desgewenst kan je eerst een kopie van de disk trekken voor eventuele latere analyse door derden die hun rootkit verzamelingen willen uitbreiden.

Wel eerst de aanvalsvector lokaliseren en uitschakelen natuurlijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search