Starker Spruch, aber ich kann es auch beweisen ! Wie ich unter anderen auch auf der NRW´06 gesagt habe, sind loakle Adminrechte der Tod eines jeden Systems. Denn mit diesem Recht schaffe ich es, mir das Recht "Local System" zu beschaffen und dann bin ich mehr als ein Admin. Was aber nun, wenn ein System oder ein Netz durch gute Mechanismen gesichert werden und es nahezu unmöglich ist, an die Adminrechte ranzukommen ? Genau, wie kapern das gesamte System mit Hardware und allem was dazu gehört. Geht nicht ? Doch, geht !

Ich muss es nur schaffen, mein Rootkit richtig zu plazieren. Microsoft hat eine Studie veröffentlicht, indem eine komplette virtuelle Ebene unter das eigentliche System gepackt wurde. Es ist das VSBR ( Virtual System based Rootkit ). Diese knapp 100 MB große Datei entpackt knapp 250 MB und hebelt das System aus, ohne es zu beeinflussen. Es ist nicht sonderlich spürbar, dass man gar nicht auf dem Level 0 arbeitet. Nun kann ich in aller Ruhe alles machen was mir gefällt. Der User (schlimmer noch, der Admin) bekommt es nicht mit. Solch ein File kann man gut über P2P Netzte oder Newsgroups verbreiten. Ist es enimal entpackt, dann versendt es sich eh von selbst. Roh Frames zu fälschen ist keine schwarze Kunst, entweder ich baue mir einen eigenen TCP Stack und nutze vorhandene Ports, oder ich nutzte NDIS (mit eigene MAC), um unerkannt das VSBR zu versenden.

Hört sich komplizierter an als es ist. Das erschreckende dabei ist nur, dass es mit jedem PC funktioniert ! Zur Zeit nur mit Windows basierten Systemen, aber die LINUX Welt wird auch bald dabei sein

P.S.: Aufspüren vom VSBR ist nahezu unmöglich !