avast! BART CD Manager voor het zelf maken van opstartende nood-cd’s
Detecteren
Om onder Windows rootkits te detecteren kan men de Rootkitrevealer van
Sysinternals gebruiken, of de
Blacklight stealth scanner van F-Secure. Programma’s om rootkits te
detecteren vergen echter nogal wat technische kennis en het is dus zaak hun
documentatie goed te lezen om valse detecties (false positives) te
vermijden. Op termijn wordt de detectie van bekende rootkits geïntegreerd in
traditionele beveiligingssoftware zoals die van F-Secure.
In afwachting is de meest betrouwbare methode om een rootkit te detecteren de pc
op te starten van cd-rom of flash-geheugen met reddingssoftware. De rootkit is
dan immers niet actief en beveiligingssoftware kan dan de sporen ervan
gemakkelijker terugvinden. In de meeste beveiligingspakketten is het mogelijk
een start-cd te creëren waarmee een computer kan worden gescand zonder dat
Windows hoeft te worden gestart.
Op het internet zijn er ook kant-en-klare reddings-cd’s te vinden zoals
avast!
BART CD of de kant-en-klare
Hiren’s Boot CD. Deze laatste is echter niet legaal, omdat ze commerciële
software bevat die niet zomaar mag worden verspreid. Als de gebruiker echter
zelf de licenties bezit van de door "Hiren" gebruikte software lijkt er ons geen
probleem. Wil men zekerheid op het legale front dan kan men zelf de
functionaliteit van Hiren’s Boot CD grotendeels nabouwen met behulp van avast!
BART CD Manager.
Verwijderen
Als er geen kant-en-klare oplossing bestaat om een gedetecteerde rootkit te
neutraliseren dan is de verwijdering ervan zeer moeilijk en in elk geval enorm
tijdrovend. Specialisten zijn het erover eens dat het in dat geval meestal
efficiënter is om het systeem van back-up opnieuw te herstellen. Die
rootkitvrije back-up moet dan natuurlijk wel voorhanden zijn.
De rootkit-discussie is interessant en fundamenteel. Hebben softwarefabrikanten het recht om bepaalde onderdelen van hun software verborgen te houden voor gebruikers en systeembeheerders? En zo ja, hoever mogen ze daarin gaan? De gevaren liggen voor de hand: een buggy rootkit van een vertrouwd bedrijf kan de poort openzetten voor malware van hackers, zonder dat een gebruiker of systeembeheerder daar nog echt verweer tegen heeft. Windows Vista, de opvolger van XP die wellicht eind dit jaar uitkomt, zal overigens een meer gelaagd rechtensysteem meekrijgen, waardoor rootkits, virussen en trojans volgens Microsoft niet meer de volledige rechten op het systeem hebben. Maar of dit voldoende zal zijn om de rootkit uit te roeien, valt af te wachten.