Reaktion PFW auf Rootkit-Verbindungsrequest

2

2Bios

0
Guten morgen,

Bogus hat eben einen Thread erstellt und gefragt, wie man sich versteckte Prozesse von Rootkits anzeigen lassen kann. Nun stellt sich mir die Frage:
Wie reagiert eigentlich eine Personal Firewall auf eine Verbindungsanfrage "nach aussen" von einem der-PFW-unbekannten Programm, das sich in diesem Fall vor "sämtlichen" Taskmanagern versteckt? Diese zeigen idR doch die Prozessnamen+PID sowie die Zielaktion an, wenn dieses "evil program" noch nicht gelistet wurde.
Weiß da jemand genauer bescheid? Ich bin nämlich leider nicht in der Lage ein Rootkit zu coden da ich überhaupt nicht weiß wie sowas geht =)

mfg 2Bios

PS.: Ich habe bisher nur Zonealarm verwendet...
 
Hallo,

meine Outpost Pro Frirewall zeigt folgendes an, wenn Sie den Prozess nicht kennt, der nach außen will:

12:28:18 unbekannt EIN ABGELEHNT UDP 60.11.xxx.xx 37849
12:28:18 unbekannt EIN ABGELEHNT UDP 60.11.xxx.xx 37849

Da steht dann einfach "unbekannt". Wenn ich auf andere Prozesse klicke, die mit ihrem Namen angezeigt werden, kann ich die Eigenschaften der Datei und weitere Informationen sehen. Ich kann auch den Ordner öffnen, in dem sie sich befinden. Das ist bei Outpost Pro ziemlich gut. (Kostet ja auch etwas...)

Habe mit diesem "unbekannten" Prozess das Problem, das ich ihn nicht finde und nicht entfernen kann. Er macht aber auch Traffic nach Außen über NETBIOS, obwohl ich NETBIOS über TCP/IP deaktiert habe, siehe auch: http://www.hackerboard.de/thread.php?postid=181812#post181812

Kann mir jemand da vielleicht weiterhelfen?

Grüße,
Sabine
 
Der RAT is kein Rootkit,da muss ich dich enttäuschen ;)
Der diente lediglich dazu mir meinen CS:S Ping zu retten :D
Mal schauen ob ich sowas zusammenbringe,Aber wenn dann erst in den Ferien,muss noch viel lernen : (

Xalon
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben