Ich hatte es bisher vermieden GMER ausgiebig zu testen, denn die Anti-Rootkit Software des gleichnamigen Polnischen Programmierers lief in Vorgängerversionen teilweise überhaupt nicht in Virtual PC/ VMware und hat bei einem Versuch mein Testsystem komplett geschrottet.
Die aktuelle Version 1.0.1.2 der Freeware scheint aber besser zu sein. GMER ist eine Art Rootkit-Detektor mit eingebautem HIPS und Personal Firewall oder umgekehrt. In dieser Kombination ist das Programm vermutlich einzigartig.
Das Programm wird konfiguriert über die Benutzeroberfläche oder eine INI-Datei im Systemverzeichniss. Auch die Logdatei GMER.LOG befindet sich im Systemverzeichniss, ebenso wie der "Uninstaller" (eine Batchdatei).
Funktionen
Beim Start führt GMER automatisch eine Schnellprüfung durch. Wenn irgendwas verdächtiges auftaucht, wird ein Scan empfohlen. Aber auch wenn nichts verdächtiges auftaucht sollte man einen Scan machen. Die Schnellprüfung findet nämlich längst nicht alles. Bevor die meisten Rootkits angezeigt werden, muss ein Scan durchgeführt werden.
Die Ergebnisse des Scans werden in einer langen Liste im Rootkit Tab angezeigt. Mit der rechten Maustaste kann man dort diverse Aktionen durchführen. Dort kann man auch gefundene Hooks beseitigen.
Mit dem Button "Kill all" unter Processes werden alle Prozesse ausser CSRSS.EXE und GMER selbst beendet. Damit kann man zum Beispiel einen Virus-Scanner in einer sauberen Umgebung laufen lassen. Mit "Run" kann man in diesem Zustand beliebige Programme aufrufen.
Daneben gibt es noch einen "GMER Safe Mode", bei dem nach einem Reboot GMER als einziges Programm gestartet wird (Desktop wird nicht geladen). Der Safe Mode ist aber riskant. Wenn sich GMER - wie im Test geschehen - aufhängt, startet das System nicht mehr normal.
Der Tab "Autostart" zeigt einige Autostarts an, man kann aber nichts löschen.
GMER hat auch einen simplen Datei-Explorer (Copy geht nicht, nur Delete), eine eingebaute Kommandozeile und unterstützt mit einem eingebetteten IE Web-basierte Virus-Scanner.
Mit der Funktion "System protection and tracing" im Settings-Tab kann eine Art HIPS (Host Intrusion Prevention System) aktiviert werden.
Es können Prozesserzeugung, geladene Treiber und DLLs, Registry- und Dateizugriffe und Netzwerkverbindungen überwacht werden.
Dieser Programmteil ist unter Windows 2000 gefährlich instabil.
Das HIPS erzeugt auch ein nützliches Logfile, in dem alle überwachten Aktivitäten aufgezeichnet werden.
"Firewall"Die "Personal Firewall" von GMER führte im Test zum nicht behebbaren Ausfall von telnet.exe. Diese Funktion wurde nicht näher getestet.
Test: GMER 1.0.1.2 vs RootkitsSystem: Windows XP Pro SP2
Nach der Installation des Rootkits erfolgt jeweils ein Reboot.
AFX Rootkit 2005 - GMER findet das Rootkit, stürtzt dann sofort ab. Nachdem es entfernt wurde funktioniert GMER wieder.
Settec AlphaDVD - GMER findet verstecken Prozess, außerdem hält es sich selbst für einen verstecken Prozess mit der PID des AlphaDVD Prozesses (siehe Screenshot). Wenn man den AlphaDVD Prozess killt und GMER neu startet, verschwindet auch der "versteckte" GMER Prozess.
BadRKDemo_XP - Findet beim Scan den versteckten Treiber und Hooks. Wird auch unter Services angezeigt, kann aber nicht deaktiviert werden*. Nachdem mit "Restore Code" die Hooks entfernt wurden kann man den Treiber mit Sysinternals Autoruns deaktivieren.
FUTo_enh - Findet versteckten Treiber und Prozesse. Kann Prozess killen (ausser GMER können das nur Rootkit Unhooker 3 und IceSword 1.20, soweit ich weiss).
HideToolz, Hacker Defender 100, Rustock.B - Keine Probleme.
Vanquish 0.2.1 - Findet es, dazu noch ein paar "versteckte" Libraries die gar nicht versteckt sind und viele Registry Schlüssel die mit dem Rootkit gar nichts zu tun haben?
Zcodec-Ruins - Findet Hooks, aber nicht alle? Erst nach "Unhook" mit Rootkit Unhooker wird der versteckte Registry Schlüssel bei Sysinternals Autoruns sichtbar.
phide_ex - Findet Prozess, Treiber nicht.
RkUnhooker test rootkit 1.2 - Findet Prozess, Treiber nicht.
* Das Kontextmenü unter "Services" scheint überhaupt nicht zu funktionieren.
FazitGMER hat mehr Funktionen als jeder andere Rootkit-Detektor (außer vielleicht
IceSword), alleine deshalb ist es bereits einen Blick wert.
GMER hat eine sehr gute Erkennungsleistung gegen Rootkits und einige interessante Funktionen. Leider ist besonders der HIPS-Teil ziemlich instabil. Auch ansonsten führte das Programm überdurchschnittlich oft zu Abstürzen und scheint inkompatibel zu diversen anderen Sicherheitsprogrammen zu sein.
Vor einem Test des HIPS "System protection and tracing" ist ein Backup dringend empfehlenswert - aber das ist es eigentlich immer. Es kann vorkommen, dass das System dann nicht mehr startet. Unter Windows 2000 ist GMER generell nicht zu empfehlen.
Die Erkennung von Hooks ist teilweise unzuverlässig und die Entfernung kann zu Bluescreens führen.
Rootkit Unhooker 3 ist hier besser.
Highlight ist vermutlich der einzigartige "GMER Safe Mode" und das Logging des HIPS. Der Safe Mode ist nicht zu verwechseln mit dem "sicheren Modus" von Windows.
Der Registry Scanner ist manchmal unsäglich lahm, aber immer gründlich. Die Suche nach versteckten Dateien unterstützt auch ADS (Streams) und ist genauso lahm.
Anleitung gibt es nicht, aber verschiedene Beispiele auf der Website.
Alternative:
Rootkit Unhooker 3 ist stabiler, kompatibler und findet mehr. Hat allerdings weniger Funktionen, findet keine versteckten Registry-Schlüssel und hat kein Logging.
Wenn es dem Programmierer GMER gelingt dem Programm diverse Bugs auszutreiben, könnte es richtig gut werden.
Update 17.12.: Die GMER-Homepage ist zur Zeit nicht erreichbar (vermutlich DDoS-Angriff).
Links
