Ebfe's Anti-B00TKIT Projekt

März 27, 2010

Anti BOOTKIT v 0.8.5

Filed under: AntiBootkit, Releases — Schlagwörter: , , , — ebfes @ 3:16 pm

So, alte ToDo Liste abgearbeitet:

Update:
release Version 0.85 (27.03.2010)

  • CRC wurde entfernt (macht keinen Sinn neben SHA1)
  • automatische Hashprüfung (auf der CD gespeicherte Hashs werden mit den Ermittelten verglichen). Erfordert eine benutzerangepasste CD.
  • automatisches Hochfahren nach einer festgelegten Zeit von einer vordefinierten Festplatte. Erfordert eine benutzerangepasste CD.
  • Konfigurationstools, um ohne Programmierkenntnisse solche benuterangepasste CDs zu erstellen ;).

Eine Schritt-für-Schritt Anleitung zum basteln einer eigenen BootCD, die automatisch die Integrität der Festplatten-MBRs prüft und anschließend das System von einer festgelegten Festplatte startet:
http://ebfe.de.vu/antibootkit/howto
sollte verständlicher sein, als das bisherige Kauderwelsch.
die neue Version:
http://ebfe.de.vu/antibootkit/release085.zip

Neues To-Do:
– erstmal die technische Doku updaten (ist für Leute interessant, die mit den Sourcen spielen wollen 😉 )
– dann eventuell Konfigurationstools mit einer GUI versehen, damit Windowsanwender nicht gleich geschockt werden *g*
– „extended“ Version herausbringen, die kompletten 63 Sektoren prüft (sicher ist sicher – vor allem gegen zukünftige anti-anti bootkits 😉 )

Ein paar Screenshots:
„Default“ ISO/Img

Benutzerdefiniert (automatische Prüfung/Boot):

Bootvorgang wird unterbrochen, falls die Hashes nicht stimmen:

gespeicherte Hashes werden mit angezeigt (nicht übereinstimmende in rot)

Dumpansicht ist immer noch möglich 😉

Advertisements

10 Kommentare »

  1. Epic, 😉

    Kommentar von Dexx — März 30, 2010 @ 4:09 pm

  2. hab deinen Blog mal auf meinen verlinkt,gleich zweierlei,einmal unter Downloads und einmal aufm Index.Das Anti Bootkit ist wirklich klasse und gefällt mir gut.

    Wen das System schon mit Mebroot infiziert ist ändert er den hash und den ursprünglichen kann man nicht mehr herausfinden oder ?

    Sonst könnte man die CD oder USB Stick zur Analyse für Fremde Systeme benutzten,das wäre wirklich Praktisch.

    Kommentar von Bl4ck r47 — Juni 14, 2010 @ 8:23 pm

  3. Nee, es wird nur eine Veränderung zu einem „vorherigen“ Zustand festgestellt. Für Malwareerkennung müsste man entweder Mebroot&Co erkennen können oder zumindest eine kleine Datenbank mit den üblichen Boot-Signaturen zum Abgleichen haben. Und das wäre schon die Sparte für Antivirusprodukte ;). Zudem für Analysezwecke deutlich mehr Tools zur Verfügung stehen müssten (z.B guter Hexeditor, Disassembler) – hier wäre eine entsprechende Linux Distribution http://securitydistro.com/security-distros/ deutlich hilfreicher.

    Kommentar von ebfes — Juni 14, 2010 @ 9:21 pm

  4. nice vielen dank mann! 🙂

    Kommentar von teflonmann — Juli 22, 2010 @ 2:44 pm

  5. Wenn du SHA-1 nimmst kannst es auch gleich lassen.
    SHA-1 ist genau so viel MD5 geknackt !

    Kommentar von Rob Oter — August 28, 2010 @ 12:03 am

  6. 1. SHA-1 ist immer noch besser als CRC/BSDSum 😉
    2. SHA-2 Familie Hashs passen nicht mehr auf den Bildschirm (bzw. sind nicht mehr wirklich lesbar) 😉
    3. Ein erfolgreicher (und in einer annehmbarer Zeit durchführbarer) preimage Angriff auf SHA-1 ist mir immer noch nicht bekannt.
    Eigentlich ist mir gar kein SHA-1 preimage Angriff bekannt 😉
    http://www.schneier.com/blog/archives/2009/06/ever_better_cry.html
    Bruce sagt:
    >Note that this is a collision attack, not a pre-image attack.
    Bitte also um einen Link.

    4. So gesehen würde sogar MD5 vollkommen reichen, da die preimage Attacken darauf sich in der Praxis nicht anwenden lassen (zumindest kommen die nicht mit 510 Bytes aus).

    5. Mögliche Kollisionsangriffe auf SHA-1 sind hier absolut irrelevant (abgesehen davon, dass sie erstmal immer noch im theoretischen Bereich liegen).
    Um nochmal den B.Schneier zu zietieren:
    >Most uses of hash functions don’t care about collision attacks

    Kommentar von ebfes — August 28, 2010 @ 12:46 am

  7. Tolles Projekt, vielen Dank.

    Etwas sörend ist, dass beim Booten einer HDD nicht vorher das Bild geschwärzt wird. So hat man dann z.B. bei einer benutzerdefinierten Nachricht im Pre-Boot Authentifikations-Bildschirm von TrueCrypt die Nachricht oben in der ertsten Zeile stehen, und der Rest des vorigen Bildes vom Anti Bootkits ist noch sichtbar.

    Kommentar von RCL — November 20, 2011 @ 7:15 pm

  8. Etwas spät, aber ICH LIEBE DICH! Ich bin ein typisch paranoider, der mit Alufolienhut rumläuft, verschlüsselt, Thermit oberhalb der Festplatte platziert hat, Tastaturkabel festgelötet hat (mit ummantelung des Kabels und Widerstandsprüfung), Elektroschocks an das RAM gibt bei falscher Art der PC-Gehäuseöffnung etc. etc.

    Aber genau das ist, was mir fehlte. Man stelle sich vor, jemand (Staat *hust hust*) hätte mir einen Bootkit untergejubelt. Alles wär für die Katz gewesen.

    Kommentar von José V. Ruiz — Dezember 15, 2011 @ 6:58 am

    • „Elektroschocks an das RAM gibt bei falscher Art der PC-Gehäuseöffnung etc. etc.“

      Meine Gedanken.. so was in der Art werde ich in mein Server einbauen der ins RZ kommt. Sollte er beschlagnahmt werden: *bzzz* Dann wars das mit der coldboot Atacke.

      Kommentar von Anonymous — Mai 31, 2013 @ 6:48 pm


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Erstelle eine kostenlose Website oder Blog – auf WordPress.com.

%d Bloggern gefällt das: