10101010
Neuling
Thread Starter
- Mitglied seit
- 19.02.2009
- Beiträge
- 633
das prinzip ist:
1. unter win7 den festplatteninhalt aufzulisten und als textdatei zu speichern
2. unter einem live-system(http://de.wikipedia.org/wiki/Live-System) den festplatteninhalt aufzulisten und als textdatei zu speichern
3. dann die beiden textdateien zu vergleichen und die unterschiede als textdatei zu speichern(unterschiede zeigen versteckte dateien).
--------------------------------------------------------------------------------------------
umsetzung/befehle in der cmd:
zu 1.
cd..
cd..
dir c: /a /b /s >C:\Users\Public\Documents\win7_HD.txt
zu 2. von win7 DVD booten und beim ersten fenster shift F10 drücken, um das dosfenster zu öffnen.
cd..
cd..
dir c: /a /b /s >C:\Users\Public\Documents\win7_DVD.txt
zu 3.
fc C:\Users\Public\Documents\win7_DVD.txt C:\Users\Public\Documents\win7_HD.txt >C:\Users\Public\Documents\HD_DVD_vergleich.txt
--------------------------------------------------------------------------------------------------------------------------------------------------
da die ausgabe des vergleichtextes(HD_DVD_vergleich.txt) etwas unübersichlich ist,kann man mit der cmd nach wichtigen dateiendungen in dieser datei suchen lassen. zb. .exe .dll .sys und das ergebins wieder in einer textdatei abspeichern.
der befehl lautet:
findstr /e ".dll .exe .sys" C:\Users\Public\Documents\HD_DVD_vergleich.txt >C:\Users\Public\Documents\ergebnis.txt
---------------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------
anmerkungen:
diese art der rootkit suche findet warscheinlich, sogar ganz schlaue rootkits wie "Blue Pill" da zur suche ein live-system(win7 dvd) genutzt wird.
http://webattacks.de/kann-man-ein-rootkit-komplett-verstecken.html
ein rootkit im "Master Boot Record" wird aber nicht gefunden.
diesen könnte man aber unter dem live-system(win7 dvd) mit der cmd überschreiben.
------------------------------------------------------------------------------------------------------------------
sieht zwar alles kompliziert aus,aber mit meinen batch dateien muss man nur folgendes tun:
1. rootkit ordner auf c: kopieren
2. 1HD.bat als admin ausführen
3. von win7 DVD booten und beim ersten fenster shift F10 drücken, um das dosfenster zu öffnen.
4. c:\rootkit\2DVD eingeben und enter drücken und kurz warten bis fertig ist.
1. unter win7 den festplatteninhalt aufzulisten und als textdatei zu speichern
2. unter einem live-system(http://de.wikipedia.org/wiki/Live-System) den festplatteninhalt aufzulisten und als textdatei zu speichern
3. dann die beiden textdateien zu vergleichen und die unterschiede als textdatei zu speichern(unterschiede zeigen versteckte dateien).
--------------------------------------------------------------------------------------------
umsetzung/befehle in der cmd:
zu 1.
cd..
cd..
dir c: /a /b /s >C:\Users\Public\Documents\win7_HD.txt
zu 2. von win7 DVD booten und beim ersten fenster shift F10 drücken, um das dosfenster zu öffnen.
cd..
cd..
dir c: /a /b /s >C:\Users\Public\Documents\win7_DVD.txt
zu 3.
fc C:\Users\Public\Documents\win7_DVD.txt C:\Users\Public\Documents\win7_HD.txt >C:\Users\Public\Documents\HD_DVD_vergleich.txt
--------------------------------------------------------------------------------------------------------------------------------------------------
da die ausgabe des vergleichtextes(HD_DVD_vergleich.txt) etwas unübersichlich ist,kann man mit der cmd nach wichtigen dateiendungen in dieser datei suchen lassen. zb. .exe .dll .sys und das ergebins wieder in einer textdatei abspeichern.
der befehl lautet:
findstr /e ".dll .exe .sys" C:\Users\Public\Documents\HD_DVD_vergleich.txt >C:\Users\Public\Documents\ergebnis.txt
---------------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------
anmerkungen:
diese art der rootkit suche findet warscheinlich, sogar ganz schlaue rootkits wie "Blue Pill" da zur suche ein live-system(win7 dvd) genutzt wird.
http://webattacks.de/kann-man-ein-rootkit-komplett-verstecken.html
ein rootkit im "Master Boot Record" wird aber nicht gefunden.
diesen könnte man aber unter dem live-system(win7 dvd) mit der cmd überschreiben.
------------------------------------------------------------------------------------------------------------------
sieht zwar alles kompliziert aus,aber mit meinen batch dateien muss man nur folgendes tun:
1. rootkit ordner auf c: kopieren
2. 1HD.bat als admin ausführen
3. von win7 DVD booten und beim ersten fenster shift F10 drücken, um das dosfenster zu öffnen.
4. c:\rootkit\2DVD eingeben und enter drücken und kurz warten bis fertig ist.
Zuletzt bearbeitet: