Anti B00TKIT v0.8.5

[EBFE]

Sprache: FASM
OS: - (trau keinem OS, machs selbst )
Hardware: ab 486

Auszug aus dem Manual. Komplettes Projekt samt ISOs/IMGs und, Beschreibung/Doku und Source:
http://ebfe.de.vu/antibootkit/release085.zip
http://ebfes.wordpress.com/


Eine Schritt-für-Schritt Anleitung zum basteln einer eigenen BootCD, die automatisch die Integrität der Festplatten-MBRs prüft und anschließend das System von einer festgelegten Festplatte startet befindet sich im ZIP Archiv unter "HowTo".

Code:

                █▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
                █  ▄███████▄ ▄████████▄  ▄███████▄  ▄███████▄ █
                █ █▓▓▓▓▓▓▓▒█ █▓▓▓▓▓▓▓▓█ █▓▓▓▓▓▓▓▒█ █▓▓▓▓▓▓▓▒█ █
                █ █▓▓▓▓▓▓▒▒█ █▓▓▓  ▓▓▓█ █▓▓▓▓▓▓▒▒█ █▓▓▓▓▓▓▒▒█ █
                █ █▓▓█▀▀▀▀▀▀ █▓▓▓ ▓ ▓▒█ █▓▓█▀▀▀▀▀▀ █▓▓█▀▀▀▀▀▀ █
                █ █▓▒█ ▓▒░   █▓▒▒   ▒▒█ █▓▒█ ▓▒░   █▓▒█ ▓▒░   █
                █ █▒▒█▄▄▄    █▒▒▒  ▒▒▒█ █▒▒█▄▄▄    █▒▒█▄▄▄    █
                █ █▒▒▒▒▒█    █▒▒▒▒▒▒▒█  █▒▒▒▒▒█    █▒▒▒▒▒█    █
                █ █▒▒█▀▀▀    █▒▒▒  ▒▒▒█ █▒▒█▀▀▀    █▒▒█▀▀▀    █
                █ █▒▒█ ▓▒░   █▒▒▒   ▒▒█ █▒▒█ ▓▓▒ █ █▒▒█ ▓▒░   █
                █ █▒▒█▄▄▄▄▄▄ █▒▒▒ ░ ▒▒█ █▒▒█ ▓▒▒ █ █▒▒█▄▄▄▄▄▄ █
                █ █▒░░░░░░▒█ █▒░░  ▒░░█ █▒░█ ▓▒░ █ █▒░░░░░░▒█ █
                █ █░░░░░░▒▒█ █░░░░░░░░█ █░░█ ▒▒░ █ █░░░░░░▒▒█ █
                █ ▀████████▀ ▀████████▀ ████ ▒░░ █ ▀████████▀ █
                █ ▄▄▄▄▄▄▄▄▄▄█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄███▄▄▄▄▄▄▄▄▄▄ █
                █ █▓▒░▓▓████▒▓███▓▓▒▒▓▓▒▒▓███▓▓▒▒▒▒░░▒▓██▓▓██ █
                █▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█
                                                  ebfe@inbox.ru
─   ──  ─── ──────────────────────────────────────────────────────── ───  ──   ─
                            .::P:R:E:S:E:N:T:S::.
─   ──  ─── ──────────────────────────────────────────────────────── ───  ──   ─
                              Anti B00TKIT v0.8.5

Was ist Anti B00TKIT?

Ein Bootloader/eine Bootdisk. Damit kann man den Rechner hochfahren, die Master Boot Record Einträge der Festplatten auslesen, die SHA1 Prüfsumme anzeigen/mit einer gespeicherten vergleichen und anschließend, wenn alles stimmt, von der ausgewählten Festplatte weiterbooten. Das ganze geht sowohl mit der Auswahl "per Hand" wie auch vollständig automatisiert.

Sinn?

Der Master Boot Record enthält üblicherweise die Partitionstabelle und einen
Bootloader (zumindest auf einer der Festplatten), der das eigentliche Betriebs-
system lädt. Siehe dazu den Wikipediaeintrag.

Bootkits überschreiben diese Sequenz mit dem eigenen Code. So kann dieser schon
vor dem Betriebssystem geladen werden und damit jeglichen Schutz aushebeln. Zu-
sätzlich hooken Bootkits oft die "Lowlevel" Lese/Schreibfunktionen des Systems.
Versucht nun das Betriebssystem oder ein Anti-Virus Programm den MBR auszulesen,
bekommen es nur den hübschen Backup der früheren Daten, nicht jedoch den realen
MBR zu sehen.
Damit können auch jegliche Sicherheitsmechanismen umgangen werden. Ein be-
rühmtes Beispiel wäre:
heise online - Bootkit hebelt Festplattenverschlüsselung aus

Kurz: durch ein Bootkit infiziertes System kann die eigene Infektion nicht wirk-
lich zuverlässig erkennen.

Man kann allerdings von CD booten, sich die MBRs anschauen sowie die Prüfsummen
vergleichen - mit dem Anti B00TKIT. Da dieser (idealerweise) auf einer CD oder
einem schreibgeschützen Medium liegt und als erstes ausgeführt wird, kann er
auch nicht manipuliert werden oder falsche Daten untergeschoben bekommen.

Warum nicht gleich eine LiveCD mit Linux oder Antivir Software nehmen?

Ganz einfach: 7 Sektoren (3.27KB) großer Loader des Anti B00TKITs ist praktisch sofort, ohne merkbare Verzögerung, geladen. Wie lange würde eine LiveCD booten?

Steuerung

Die Steuerung sollte größtenteils selbsterklärend sein. Im Hauptmodus:

Pfeiltasten hoch/runter - Festplatte auswählen
ENTER - von ausgewählten Festplatte booten
R - Reboot
S - Shutdown
D - Dump anzeigen

Im Hexdumpmodus:

Pfeiltasten rechts/links - Festplatte auswählen
ENTER - von der ausgewählten Festplatte booten
Pfeiltasten hoch/runter - Dumpfenster scrollen
R - Reboot
S - Shutdown
D - Dump ausblenden (zum Hauptmodus wechseln)


Anmerkung:
Das Herunterfahren wird durch die APM Schnittstelle realisiert. Aus verständ-
lichen Gründen wird es in der nächsten Zeit keine ACPI Umsetzung geben .

To Do (abgearbeitet)

Geplant ist als nächstes:

Eine Automatisierung - Benutzer soll die ermittelten Festplattenprüfsummen im
Anti-Bootkit speichern können und diese sollen dann automatisch beim Start
geprüft werden. Wenn alles stimmt, wird direkt von der vorher festgelegten Festplatte
gebootet.

Update:
release Version 0.85 (27.03.2010)

• CRC wurde entfernt (macht keinen Sinn neben SHA1)
• automatische Hashprüfung (auf der CD gespeicherte Hashs werden mit den Ermittelten verglichen). Erfordert eine benutzerangepasste CD.
• automatisches Hochfahren nach einer festgelegten Zeit von einer vordefinierten Festplatte. Erfordert eine benutzerangepasste CD.
• Konfigurationstools, um ohne Programmierkenntnisse solche benuterangepasste CDs zu erstellen .

Eine Schritt-für-Schritt Anleitung zum basteln einer eigenen BootCD, die automatisch die Integrität der Festplatten-MBRs prüft und anschließend das System von einer festgelegten Festplatte startet:
http://ebfe.de.vu/antibootkit/howto
Zip-Archiv, Unterordner "HowTo".
Sollte verständlicher sein, als das bisherige Kauderwelsch.

die neue Version:
http://ebfe.de.vu/antibootkit/release085.zip
Neues To-Do:
- erstmal die technische Doku updaten (ist für Leute interessant, die mit den Sourcen spielen wollen )
- dann eventuell Konfigurationstools mit einer GUI versehen, damit Windowsanwender nicht gleich geschockt werden *g*
- “extended” Version herausbringen, die kompletten 63 Sektoren prüft (sicher ist sicher – vor allem gegen zukünftige anti-anti bootkits )
Ein paar Screenshots:

“Default” ISO/Img

Benutzerdefiniert (automatische Prüfung/Boot):

Bootvorgang wird unterbrochen, falls die Hashes nicht stimmen:

gespeicherte Hashes werden mit angezeigt (nicht übereinstimmende in rot)

Dumpansicht ist immer noch möglich

Schlusswort

Diese Software wurde für den Eigengebrauch geschrieben. Es werden grundsäztlich
nur Leseoperationen verwendet. Trotzdem: ich übernehme keine Verantwortung für
irgendwelche Schäden sowie keinerlei Support für irgendwas.

[Sn0opY]

UIUI da hat sich wer mühe gegeben RESPEKT

[fred777]

So, bin gespannt ob es auch so gut funktioniert wie deine ältere Version, edit kommt hier rein

[matze093]

Da würde mich noch interessieren wie lange du dran gesessen hast. ^^

[super-mario]

sowas hab ich gesucht echt klasse danke

[Crassmaker]

SIeht schon einmal nicht schlecht aus ;-)

[albahacker]

1000 dank dafür genau das was noch fehlt in meiner sammlung

[HawK]

Seeehr schön, das stuft das Niveau hier mal um klassen höher!

Gute Arbeit

[keyfraster]

Feines Ding , Ich hoffe wir können uns auch noch an weiteren Releases freuen

[GregorSamsa]

Da schließe ich mich meinen Vorrednern doch direkt an!

1a Arbeit und scheinbar auch super umgesetzt (muss ich vorher noch testen)

Wie lange hast du daran gesessen?

Und bzgl. der Automatisierung: Hast du dir schon Gedanken über den Speicherort der Prüfsummen gemacht? Auf der Festplatte selber kann ein Bootkit diese ja manipulieren.
Da würde sich nur ein USB-Stick anbieten, der allerdings nur für diesen Zweck benutzt werden dürfte, oder wie siehst du das?