[HGI-News] HGI-Seminar, Montag 20.3.06: Windows-Rootkits

Newsletter des Horst Görtz Instituts hgi-news at lists.ruhr-uni-bochum.de
Mi Mär 15 10:33:17 CET 2006 

               Wilhelm Dolle, interActive Systems, Berlin

              Montag 20. März 2006, 13:15 Uhr, IC 4 / 39-41

   Aktuelle Methoden und Werkzeuge zum Aufspüren von Windows-Rootkits


Die meisten Viren, Würmer und trojanischen Pferde lassen sich mit gängigen
Antiviren-Programmen leicht entdecken. In letzter Zeit hat allerdings die
Zahl an Rootkits zugenommen, die sich durch diverse Manipulationen am
System vor der Erkennung durch solche herkömmlichen Scanner entziehen.

Der Vortrag wird auf neue Verfahren eingehen, mit denen Rootkits unter
anderem Dateien, Verzeichnisse, Prozesse und Registry-Einträge verstecken
können und Methoden sowie Werkzeuge vorstellen dies aufzudecken. Einer der
neuen Ansätze, unter Windows, zur Entdeckung solcher Rootkits ist die so
genannte "Cross-View based Rootkit Detection". Dabei werden zwei Zustände
miteinander verglichen: der Blick auf Dateien, Prozesse und Registry-
Einträge durch die Windows-API und der Blick auf dieselben Daten durch
Auswertung des direkten Low-Level-Zugriff auf Kernel-Datenstrukturen bzw.
Dateisysteme. Durch diesen Vergleich können Anomalien aufgedeckt und
Hinweise auf Rootkits gefunden werden.


Wilhelm Dolle (http://www.dolle.net), CISA, CISSP, und vom BSI lizensierter
IT-Grundschutz Auditor beschäftigt sich seit den 80er Jahren mit Netzwerken
und deren Sicherheit. Seit 1999 ist er für die interActive Systems GmbH
(iAS) tätig und dort in der Geschäftsleitung für den Bereich Information
Technology und IT Security zuständig. Wilhelm Dolle hält regelmäßig Vorträge
zu IT- bzw. Security-Themen und hat eine Vielzahl an Publikationen in diesem
Gebiet veröffentlicht. Daneben arbeitet er als Gutachter bei verschiedenen
Verlagen und unterrichtet an einer Berufsakademie das Fach
Netzwerksicherheit.

============================================================================

Ab diesem Semester hat das HGI-Seminar ein neues virtuelles Zuhause!
Unter http://www.hgi.rub.de/deutsch/lehrangebot/seminar.html findet
Ihr alle Informationen über aktuelle Vorträge und ein Archiv der
vergangenen Semester (die Seite befindet sich noch im Aufbau).


freundliche Grüsse
 Michael
-- 
____________________________________________________________________________
Michael Psarros <michael.psarros at nds.rub.de>         http://www.nds.rub.de
Chair for Network and Data Security                  Tel: +49 234 32 27352
Ruhr-University Bochum, Germany                        Building IC 4 / 152

Mehr Informationen über die Mailingliste Hgi-News-Deutschland