Классификация руткитов.
По уровню привилегий:
Уровень пользователя (user-mode) – категория основана на перехвате функций библиотек пользовательского режима. Руткиты этой категории получают те же права, что обычное приложение, запущенное на компьютере. Руткиты исполняются в непривилегированном кольце (с точки зрения архитектуры информационной безопасности). Они используют программные расширения (например, для проводника Windows), перехват сообщений, отладчики, эксплуатируют уязвимости в безопасности, а также производят перехваты функций (function hooking) широко используемых API (в памяти каждого отдельного процесса). Они внедряются в другие запущенные процессы и используют их память. Это более распространенный вариант. Легче обнаруживается и устраняется даже стандартными средствами операционной системы. Дёшевы в приобретении.
Уровень ядра (kernel-mode) – категория основана на установке в систему драйвера, осуществляющего перехват функций уровня ядра. Руткиты этой категории работают на самом глубинном уровне ОС, получая максимальный уровень доступа на компьютере. После инсталляции такого руткита, возможности атакующего практически безграничны. Руткиты исполняются в привилегированном нулевом кольце (наивысший уровень привилегий ОС). Они могут встраиваться в драйверы устройств, проводить прямую модификацию объектов ядра (DKOM), а также влиять на взаимодействие между пользовательским режимом и режимом ядра. Руткиты уровня ядра обычно более сложны в создании, поэтому встречаются реже. Также их гораздо сложней обнаружить и удалить. Дороги в приобретении.
Основные способы реализации в UNIX и linux
Самый распространенный метод, обеспечивающий функционирование руткита уровня ядра — это перехват системных вызовов путем подмены соответствующей записи в таблице системных вызовов sys_call_table. Детали этого метода заключаются в следующем. При обработке прерывания int 0x80 (или инструкции sysenter) управление передается обработчику системных вызовов, который после предварительных процедур передает управление на адрес, записанный по смещению %eax в sys_call_table. Таким образом, подменив адрес в таблице, мы получаем контроль над системным вызовом. Этот метод имеет свои недостатки: в частности, он легко детектируется антируткитами; таблица вызовов в современных ядрах не экспортируется; и кроме того, перехват некоторых системных вызовов (например, execve()) нетривиален.
Другим распространенным механизмом в kernel-mode руткитах является патчинг VFS (Virtual Filesystem Switch). Этот подход применяется в рутките adore-ng. Он основан на подмене адреса какой-либо из функций-обработчиков для текущей файловой системы.
Как и в Windows, широко используется сплайсинг — замена первых байтов кода системного вызова на инструкцию jmp, осуществляющую переход на адрес обработчика руткита. В коде перехвата обеспечивается выполнение проверок, возврат байтов, вызов оригинального кода системного вызова и повторная установка перехвата. Данный метод также легко детектируется.
Удаление руткита
В борьбе с этими вредоносными приложениями существует много сложностей. Главная проблема заключается в том, что они довольно успешно противостоят обнаружению путём сокрытия ключей реестра и всех своих файлов таким образом, что антивирусные программы не в силах их найти. Существуют вспомогательные программы для удаления руткитов. Эти утилиты были созданы для поиска вредоносного ПО при помощи различных методов, в том числе и узкоспециальных. Можно скачать довольно эффективную программу Gmer. Она поможет уничтожить большинство известных руткитов. Еще можно посоветовать программу AVZ. Она успешно обнаруживает почти любой руткит. Как удалить опасное ПО с помощью этой программы? Это несложно: выставляем нужные настройки (утилита может как отправлять зараженные файлы на карантин, так и самостоятельно их удалять), далее выбираем вид проверки — полный моноторинг ПК или частичный. Затем запускаем саму проверку и ждем результатов.
Специальная программа TDSSkiller эффективно борется с приложением TDSS. AVG Anti-Rootkit поможет убрать оставшиеся руткиты
Очень важно после работы подобных помощников проверить систему на наличие заражения при помощи любого антивируса. Kaspersky Internet Security прекрасно справится с этой задачей
Более того, эта программа способна удалять более простые руткиты посредством функции лечения.
Нужно помнить о том, что при поиске вирусов любым защитным ПО не следует открывать никаких приложений и файлов на компьютере. Тогда проверка будет более эффективной. Естественно, необходимо не забывать регулярно обновлять антивирусное ПО. Идеальный вариант — ежедневное автоматическое (устанавливается в настройках) обновление программы, которое происходит при подключении к Сети.
Обзор бесплатных программ для удаления руткитов
Существует много программ для борьбы с руткитами. Но, большинство из них предназначены для технически подкованных пользователей, которые хорошо знают особенности работы операционных систем. Такие программы вряд ли подойдут обычным пользователям. Однако, в данном классе программ есть и несколько вариантов, которые не потребуют от пользователей особых технических знаний, при этом они будут столь же эффективны.
Программа удаления руткитов Kaspersky TDSSKiller от одноименной компании
Одним из лучших решений можно назвать . Данная программа имеет достаточно простой и понятный интерфейс. Она достаточно быстро работает, и способна обнаружить достаточно большое число руткитов.
удалось обнаружить и удалить все известные современные руткиты (TDSS, Zeus, TDL4 и т.д.). Единственный ее недостаток — это то, что очень похоже, что программа распознает только небольшой диапазон руткитов. И хочется надеяться, что со временем количество распознаваемых типов будет только увеличиваться. Тогда можно будет смело сказать, что это решение, которое подойдет всем.
Но, тем не менее, его положительные стороны все же перевешивают все негативные моменты, так как программа во всех тестах быстро и просто находила и удаляла руткиты. При этом так же немаловажным является то, что она нормально работает с 64-битными системами.
GMER и RootRepeal комплексный подход к поиску и удалению руткитов
Есть пара хороших программ, которые будут очень полезными опытным пользователям. Это и RootRepeal (не поддерживает 64-битную ОС). Это очень популярные программы, но для их использования нужно хорошо понимать устройство операционных систем, чтобы можно было интерпретировать их результаты сканирования системы. У каждой из этих программ имеется достаточно хорошая документация по работе и использованию. Но, если вы относитесь к той категории пользователей, которые хотят нажать только одну кнопку, и через некоторое время получить надпись «Теперь все просто отлично», то тогда вам больше подойдет .
На самом деле сложно их порекомендовать обычным пользователям, ведь результаты для них могут показаться просто набором непонятных символов (результаты имеют чисто технических характер, т.е. полное отсутствие красивых фраз «Утилита все сама очистила», «Вам не о чем беспокоиться» и т.д.). Обычно действовать необходимо быстро, поэтому эти программы вы вспомните в последнюю очередь. Но, если все же вы каким-то образом поймали особо редкий и сложно очищаемый руткит, то они станут неоценимыми помощниками в борьбе за свой компьютер, ведь вам будет предоставлен огромный спектр полезной информации.
Программа удаления руткитов Avast Anti-Rootkit от известного производителя
Интерфейс напоминает окно командной строки, но не надо пугаться, ведь интерфейс очень простой и понятный в использовании. Эта программа может сканировать компьютер и MBR на наличие руткитов, а так же фиксировать ряд проблем. Обычным пользователям может быть немного не просто понять результаты работы программы, но тем не менее, программа свою задачу выполняет хорошо. Она так же хорошо нашла TDSS и ряд других современных руткитов, как и TDSS Killer. Но, были небольшие проблемы при их удалении. Зато у данной программы есть одна важная функциональность, без которой порой сложно обойтись при удалении руткитов. Это возможность выполнить FixMBR прямо из Windows. Обычно для этого нужно загрузиться с диска восстановления Windows или LiveCD. А в данной программе для этого надо всего лишь кликнуть на кнопке FixMBR. Именно поэтому такую программу стоит всегда держать при себе.
Антивирусное средство Dr.Web CureIt! профилактика полезна
Следующий продукт, который входит в обзор — это . Его всегда стоит держать при себе. CureIt! не является полноценным инструментом для поиска и удаления руткитов, как другие программы, о которых шла речь ранее. Это скорее бесплатный сканер вредоносных программ, по сути, миниантивирус. Но, он достаточно эффективен при борьбе с рядом руткитов. Правда, гарантировать, что он сможет выловить все руткиты тоже нельзя. Его скорее стоит применять как дополнение к основному средству по борьбе с руткитами. Тем не менее, стоит отметить, что на время своего сканирования он создает достаточно безопасную среду исполнения. Тот факт, что он останавливает все процессы делает ему только плюс, так как вредоносные программы могут попытаться блокировать его работу. Он так же может производить глубокое сканирование вашего диска. Так же позволяет перезагрузиться в безопасный режим для поиска и удаления вредоносных программ.
Первые Windows-руткиты
Исследования системных механизмов защиты Windows продолжились, и вслед за NTRootkit было выпущено еще несколько утилит, позволяющих скрывать объекты в операционной системе.
2000 г. he4hook, проект русского программиста. Утилита не несет в себе вредоносного функционала, но является инструментом для сокрытия файлов. Работает в режиме ядра. Что характерно, самим автором не обозначается как руткит.
2002 г. Hacker Defender (он же HacDef). Это также лишь инструмент, но уже более мощный – при помощи него можно скрыть любой файл, процесс или ключ реестра, параметры гибко настраиваются в файле конфигурации. Работает преимущественно в режиме пользователя.
2003 г. Vanquish – инструмент, позволяющий скрывать файлы, директории и ключи реестра. Кроме того, в нем уже предусмотрена вредоносная функция – логгирование паролей. Работает в режиме пользователя .
Как несложно заметить, мысль исследователей движется от нейтральных инструментальных разработок в сторону разработок, нацеленных на получение выгоды, – в том числе и вредоносных.
2003 г. Haxdoor (он же A-311 Death и в модифицированном варианте Nuclear Grabber). Это уже не утилита, а полноценный бэкдор, использующий руткит-технологии для самомаскировки. Работает в режиме ядра.
2004 г. FU – утилита для скрытия процессов. Реализует принципиально новую технологию, основанную на изменении самих системных структур, а не путей доступа к ним.
Все перечисленные в этой мини-хронологии руткиты являются ключевыми в истории Windows-руткитов. Особенно стоит отметить HacDef, Haxdoor и FU, широко распространявшихся in the wild в связке с вредоносными программами.
Руткиты этого периода (2000-2004) четко вписываются в общепринятую, но устаревшую классификацию: руткит может функционировать на уровне пользователя (user level) или на уровне ядра (kernel level), на основе модификации цепочки системных вызовов (Execution Path Modification) или на основе прямого изменения системных данных (Direct Kernel Objects Manipulation). Эта классификация многократно обсуждалась, поэтому приводить ее я здесь не буду; заинтересовавшиеся могут найти технические подробности в статьях моих коллегwww.securitylab.ru; http://z-oleg.com; www.securityfocus.com
Как удалить руткит программой Sophos Anti-Rootkit
Ну и напоследок давайте разберем еще одну утилиту, которая помогает избавиться от руткитов. Она пригодится вам в том случае, если первые два оказались нерабочими или вам пришлись не по душе.
Запускаем программу, в настройках сканирования оставляем все галочки и нажимаем кнопку «Start scan».
Поиск руткитов может продолжаться достаточно долго. В конце вы получите полный отчет по найденным проблемам в виде списка. Замечу, что здесь есть одна особенность. Когда вы выбираете найденный файл в списке после сканирования, в окне ниже появляется его описание. Если в строке «Removable» стоит значение «Yes (but clean up not recommended for this file)», то это файл удалять не рекомендуется, так как он является системным и его удаление может повлиять на работу всей операционной системы.
Все остальные записи, у которых нет указанной выше строки, вы можете смело выделить галочками и удалить с помощью кнопки «Clean up checked items». В моем примере я не стал дожидаться окончания сканирования и на скриншоте ниже показал процесс удаления лишь для примера.
Вот такие три способа можно использовать для удаления руткитов с вашего компьютера. Программы все очень легкие и не требуют каких-то особенных знаний. Выбирайте тот способ, который считаете самым удобным. Также, в некоторых антивирусах уже начали встраивать подобную защиту, поэтому при выборе антивирусного решения ориентируйтесь и на встроенную защиту от руткитов.
Статья будет посвящена программе под названием AdwCleaner. Совместима она со всеми версиями операционной системы Windows и позволяет очистить ваш компьютер от таких зараз как рекламные объявления, потенциально опасные программы, разнообразные рекламные тулбары и замены домашней страницы браузера.
компьютерная безопасностьполный список
RkUnhooker
Tuluka.Kernel.Inspector.1.0.394.77.zip (2,893,650 bytes)
Странное поведение операционной системы на моём домашнем компьютере в последние дни, заставило меня задуматься о её проверке на наличие руткит (Rootkit), то есть таких вредоносных программ, которые успешно могут скрывать от пользователя своё присутствие в системе.
Почему я сразу подумал о руткитах? А потому, что полная проверка системы на вирусы бесплатным антивирусом (не буду конкретизировать каким), который успешно боролся с ними на протяжении всего года, никаких результатов не дала.
Якобы и вирусов никаких нет и компьютер продолжает работать неправильно! Уверен почти на все 100%, что в инфицировании системы активно принимали участие мои дети, которым очень нравятся онлайн-игры и нажать какую-нибудь лишнюю кнопку на сайтах с играми для них не проблема.
А как известно, rootkit в первую очередь попадает на компьютер пользователя, используя уязвимости браузеров или плагинов. Поиск утилиты для борьбы с руткитами я начал, конечно же, на сайте Лаборатории Касперского и на нём свой поиск закончил, так как необходимый инструмент под названием «TDSSKiller» был найден сразу.
Особенности антируткит утилиты «Kaspersky TDSSKiller»
:
- эффективное обнаружение и удаление всего семейства известных руткитов и буткитов;
- бесплатная, имеет графический интерфейс и небольшой размер;
- поддерживает 32-х и 64-х рязрядные ОС Windows, включая и Windows 10;
- умеет работать в безопасном режиме и т.д.
Теперь с её помощью приступим к поиску rootkit в системе. Переходим на сайт:
Https://support.kaspersky.ru/viruses/disinfection/5350
Сохраняем файл на компьютер.
Trend Micro RootkitBuster
Еще одна бесплатная программа, созданная специально для борьбы с вирусами типа Rootkit. Выполняет тщательную проверку системы на наличие опасного ПО и удаляет его.
Разберем процесс очистки более подробно:
- Загружаем актуальную версию «RootkitBuster», выбрав нужную разрядность по сравнению с вашей операционной системой.
- Запускаем, приняв условия соглашения и жмем «Next».
- Отмечаем галочками предлагаемые пункты и жмем «Scan Now».
- По завершению проверки, программа выведет списком найденные на компьютере руткиты, отмечаем их и удаляем.
После этого можно закрывать окно утилиты.
Bitdefender Rootkit Remover
Простой в использовании антируткит (стартует по одному клику мышки). Разработан компанией Bitdefender’s LABS. Распознаёт множество актуальных угроз: TDL/SST/Pihar, Plite, Fips, MBR Locker, Ponreb, Mebroot и др. Является портативным приложением (не требует инсталляции). Молниеносно выполняет проверку. В каждом релизе утилиты обновляется и расширяется база зловредов.
Чтобы воспользоваться Rootkit Remover, выполните нижерасположенную инструкцию:
1. Откройте страницу для загрузки утилиты — abs.bitdefender.com/projects/rootkit-remover/rootkit-remover/ (офсайт разработчика).
2. Выберите дистрибутив, согласно разрядности установленной Windows (x86 или x64): щёлкните по соответствующей ссылке.
3. Запустите загруженный исполняемый файл от имени администратора.
4. Для запуска проверки в окне приложения клацните по кнопке «Start Scan».
AVZ
Мультифункциональный антивирусный сканер, созданный российским программистом Олегом Зайцевым. Способен найти и обезвредить вирус любого типа (включая модули SpyWare и Adware, трояны, черви). Оснащён специальным инструментом для эффективного выявления руткитов — настраиваемым модулем Anti-Rootkit.
Чтобы проверить Windows на наличие вирусов утилитой AVZ, выполните нижеприведённое руководство:
1. Перейдите на страницу для скачивания — z-oleg.com/secur/avz/download.php (официальный веб-ресурс разработчика).
3. После загрузки распакуйте архив: щелчок правой кнопкой → Извлечь всё.
4. Запустите с правами администратора файл AVZ (иконка «щит и меч»).
5. Обновите сигнатурные базы утилиты: в вертикальной панели кнопок, расположенной в правой нижней части окна, кликните по кнопке «земной шар». В новом окне нажмите «Пуск».
6. Выполните предварительные настройки на вкладках:
-
«Область поиска»
— установите флажки возле разделов диска, которые необходимо проверить; -
«Типы файлов»
— включите опцию «Все файлы»; -
«Параметры поиска»
: в блоке «Эвристический анализ» передвиньте регулятор порога вверх (до значения «Максимальный уровень»), включите функцию «Расширенный анализ»; в «Anti-Rootkit» установите флаги возле всех надстроек (детектировать перехватчики, блокировать работу Rootkit User-Mode и Kernel-Mode).
7. Чтобы началась проверка разделов, нажмите по кнопке «Пуск».
Условно-бесплатное решение (триал — 180 дней) от отечественного разработчика Greatis Software. Одинаково успешно борется как с руткитами, так и с угонщиками браузеров, рекламным ПО. Поддерживает безопасный режим. Совместим с Windows 10.
Чтобы задействовать утилиту:
1. Скачайте инсталлятор с офсайта (greatis.com/unhackme/): щёлкните на странице кнопку «Download».
2. Распакуйте загруженный архив (клик правой кнопкой → Извлечь всё).
3. Запустите файл unhackme_setup. Следуйте указаниям установщика.
4. Кликните ярлык утилиты на рабочем столе.
5. В окне приложения, в разделе «Настройки», в блоке «Поиск руткитов… », проверьте, включена ли опция «Активен».
6. Перейдите на вкладку «Проверить» и нажмите с таким же названием красную кнопку.
7. В отрывшемся меню выберите режим сканирования:
- «Онлайн проверка… » — подключение баз, находящихся на сервере разработчика;
- «… тест» — оперативное тестирование;
- «Сканирование… » — детектирование и обезвреживание в безопасном режиме.
Как удалить руткит программой RootkitBuster.
Вторая программа, которую мы рассмотри, называется RootkitBuster и скачать ее можно с официального сайта . Преимуществом программы является то, что она не требует установки на компьютер.
На следующей странице выбираем для какой версии Windows необходимо скачать программу. О том как узнать разрядность операционной системы я говорил в своем уроке про . Далее в окне щелкаем по кнопке «Use HTTP Download» и сохраняем файл к себе на компьютер.
После закачки щелкаем по файлу правой клавишей мыши и выбираем пункт «Запуск от имени администратора». Необходимо будет немного подождать. Откроется новое окно, в котором необходимо поставить галочку на принятии лицензионного соглашения и нажать кнопку «Next».
Вы попадете в главное окно программы, где для сканирования нужно будет нажать кнопку «Scan Now», при этом нужно оставить галочку на всех пунктах в левой колонке, кроме «File Streams» (на 64 разрядных системах количество настроек может быть меньше).
После сканирования вы получите уведомления об обнаруженных подозрительных файлах. Эти файлы можно выделить галочками и внизу нажать кнопку «Fix Now». В процессе удаления руткитов, в может быть предложено перезагрузить компьютер, обязательно соглашайтесь.
Методы обнаружения руткитов в системе
С точки зрения обнаружения, руткиты относятся к высокотехнологичным кодам. Они спрятаны без явных признаков наличия в системе. Его не видят многие антивирусные и сканирующие программы. В идеале, конечно, они должны перехватить подозрительные сигналы о передаче информации разных приложений ПК и выявлять наличие руткита сразу. Но, чаще руткиты заражают компьютер, оставаясь не замеченными, и стирает следы своей деятельности. Антивирусник в таких условиях не выявляет вредоносный объект, и, соответственно, не пытается его устранить.
Признаки, указывающие на присутствие руткита в ОС:
Периодическое зависание работы ПК
Разные действия руткита влияют на нагрузку операционной системы. Если при работе на компьютере запущено малое количество программ и приложений, и ПК зависает по неоправданным причинам, возможно, в систему внедрился руткит.
Пересылка сообщений по интернету при деактивированных приложениях, отвечающих за данный процесс
Руткиты часто управляются хакерами вручную и те производят свои действия в определенное подходящее время, не постоянно. Поэтому определить этот факт достаточно сложно.
Основные симптомы, что в системе появился руткит:
- Исчезновение конфиденциальной личной информации с ПК
- Неподтвержденный доступ к страницам соц. сетей, почте и другим сервисам
- Блокировка (полная или частичная) доступа к ПК
- Медлительная работа устройства
- Беспричинное увеличение расхода оперативной памяти в ожидающем режиме
- Снижение качества интернет связи
Если вы заметили один или несколько таких симптомов, проведите полную проверку своего устройства на наличие руткитов.
Применение TDSSKiller
Одной из программ, способных отыскать руткиты, является утилита TDSSKiller. Выпускается известной «Лабораторией Касперского», поэтому в ее качестве сомневаться не приходится. Как видно из названия, проверка направлена на поиск одного из распространенных видов руткитов — TDSS. Проверить свой компьютер с ее помощью можно бесплатно. Для этого достаточно найти ее на официальном сайте.
Программа не требует установки, после загрузки можно сразу запускать проверку. Перед работой придется принять условия использования. После этого есть возможность изменить параметры проверки соответствующей командой. Если дополнительных пожеланий нет, следует оставить все по умолчанию и нажать кнопку для начала проверки в том же окне.
Дальше потребуется немного подождать, пока программа будет осуществлять проверку заданных элементов системы. При обнаружении опасные приложения отключаются, предусмотрена возможность лечения. Для того чтобы они удалились, перезагружать компьютер необязательно.
Существуют и другие эффективные антируткиты. Главное, не забыть ими воспользоваться
При выборе антивируса желательно сразу обращать внимание на возможность борьбы с таким типом приложений. К сожалению, большинство стандартных программ-защитников не имеют подобной функции либо она недостаточно эффективна
В этом случае желательно заменить антивирус или воспользоваться специализированной программой для удаления. Только так можно обезопасить себя от нежелательных последствий, вызываемых руткитами.
Использование WinDbg для анализа вредоносных программ
Microsoft Windows предоставляет собственный многофункциональный инструмент отладки, который можно использовать для сканирования отладки приложений, драйверов или самой операционной системы. Он будет отлаживать код режима ядра и пользовательского режима, помогать анализировать аварийные дампы и проверять регистры процессора.
Некоторые системы Windows будут поставляться с уже в комплекте. Те, кто без, должны будут загрузить его из Microsoft Store. Предварительный просмотр WinDbg Это более современная версия WinDbg, предоставляющая более наглядные визуальные эффекты, более быстрые окна, полный сценарий и те же команды, расширения и рабочие процессы, что и в оригинале.
Как минимум, вы можете использовать WinDbg для анализа памяти или аварийного дампа, включая Blue Screen Of Death (BSOD). По результатам вы можете найти индикаторы атаки вредоносного ПО. Если вы чувствуете, что одной из ваших программ может препятствовать присутствие вредоносного ПО или она использует больше памяти, чем требуется, вы можете создать файл дампа и использовать WinDbg для его анализа.
Полный дамп памяти может занимать значительное дисковое пространство, поэтому может быть лучше вместо этого выполнить дамп режима ядра или небольшой дамп памяти. Дамп режима ядра будет содержать всю информацию об использовании памяти ядром во время сбоя. Небольшой дамп памяти будет содержать основную информацию по различным системам, таким как драйверы, ядро и т. Д., Но по сравнению с ним крошечный.
Небольшие дампы памяти более полезны для анализа причин возникновения BSOD. Для обнаружения руткитов будет полезна полная версия или версия ядра.
Вступление
Мое первое знакомство с руткитами состоялось в 2004 году. Будучи совсем неопытным вирусным аналитиком и имея лишь смутные представления о руткитах для UNIX, я однажды наткнулась на исполняемый файл для Windows, который после запуска вроде бы никак не проявлял себя
Но что-то все-таки привлекло мое внимание, я стала смотреть внимательнее и… обнаружила в памяти компьютера загруженный модуль, отсутствующий на диске. (Очевидно, тот руткит содержал ошибки, поэтому мне посчастливилось случайно заметить его невооруженным взглядом – сейчас для обнаружения руткита может оказаться недостаточно нескольких специально разработанных утилит)
Это был далеко не первый Windows-руткит. Но для меня он открыл некий новый мир, в котором программа могла играть с операционной системой, нарушать ее правила и чудесным образом исчезать из списка процессов или файлов. Тогда я потратила много времени на изучение драйвера, при помощи которого программа скрывала свое присутствие в системе. Это был целевой руткит – написанный для конкретной системы и внедряемый точечно – и довольно сложный для тех времен (Trojan-Dropper.Win32.SmallProxy).
Речь в этой статье пойдет преимущественно о Windows-руткитах — их больше всего, они активно развиваются, представляют наибольшую угрозу для пользователей и наибольший интерес для вирусописателей в силу популярности Windows. Руткитами будем считать программы, использующие технологии сокрытия системных объектов (файлов, процессов, драйверов, сервисов, ключей реестра, открытых портов, соединений и пр.) посредством обхода механизмов этой операционной системы.
Просмотр отчетов журнала брандмауэра
Вы захотите просмотреть свои текущие отчеты о регистрации брандмауэра, сделав приложение с открытым исходным кодом, такое как IP Traffic Spy, с возможностями фильтрации журнала брандмауэра, очень полезным инструментом. Отчеты покажут вам, что необходимо увидеть в случае атаки.
Если у вас большая сеть с автономным выходным брандмауэром с фильтрацией выходных данных, IP Traffic Spy не понадобится. Вместо этого вы должны видеть входящие и исходящие пакеты для всех устройств и рабочих станций в сети через журналы брандмауэра.
Независимо от того, где вы находитесь — в доме или в небольшом бизнесе, вы можете использовать модем, предоставленный вашим провайдером, или, если у вас есть, персональный брандмауэр или маршрутизатор для просмотра журналов брандмауэра. Вы сможете идентифицировать трафик для каждого устройства, подключенного к той же сети.
Также может быть полезно включить файлы журнала брандмауэра Windows. По умолчанию файл журнала отключен, то есть информация или данные не записываются.
- Чтобы создать файл журнала, откройте функцию «Выполнить», нажав клавишу Windows + R.
- Введите wf.msc в поле и нажмите Enter.
В окне «Брандмауэр Windows и расширенная безопасность» выделите «Брандмауэр защитника Windows в режиме повышенной безопасности на локальном компьютере» в меню слева. В дальнем правом меню в разделе «Действия» нажмите «Свойства».
В новом диалоговом окне перейдите на вкладку «Личный профиль» и выберите «Настроить», которую можно найти в разделе «Ведение журнала».
Новое окно позволит вам выбрать размер файла журнала, который вы хотите записать, куда вы хотите отправить файл и регистрировать ли только отброшенные пакеты, успешное соединение или оба.
- Отброшенные пакеты — это пакеты, которые брандмауэр Windows заблокировал от вашего имени.
- По умолчанию в записях журнала брандмауэра Windows хранятся только последние 4 МБ данных, и их можно найти в% SystemRoot% System32 LogFiles Firewall Pfirewall.log
- Имейте в виду, что увеличение предельного размера использования данных для журналов может повлиять на производительность вашего компьютера.
- Нажмите ОК, когда закончите.
- Затем повторите те же действия, которые вы только что выполнили на вкладке «Личный профиль», только на этот раз на вкладке «Публичный профиль».
- Теперь будут создаваться журналы как для публичных, так и для частных соединений. Вы можете просматривать файлы в текстовом редакторе, таком как Блокнот, или импортировать их в электронную таблицу.
- Теперь вы можете экспортировать файлы журналов в программу синтаксического анализа базы данных, такую как IP Traffic Spy, чтобы фильтровать и сортировать трафик для легкой идентификации.
Следите за чем-то необычным в файлах журналов. Даже малейшая системная ошибка может указывать на заражение руткитом. Нечто похожее на чрезмерное использование ЦП или пропускной способности, когда вы не запускаете ничего слишком требовательного или вообще, может быть главной подсказкой.
Настя и сборник весёлых историй
Настя и сборник весёлых историй
Ранее мы уже обсуждали, что такое руткиты и как вы можете заразиться. Теперь посмотрим, как от них защититься.
У меня может быть руткит, как мне от него избавиться?
Если вы подозреваете, что заражены, вы можете сделать несколько шагов. Сначала запустите регулярную проверку на вирусы. Самые простые из них можно удалить с помощью самых современных антивирусных программ. Сканирование может выполняться в безопасном или обычном режиме, однако настоящие руткиты могут не отображаться легко. Лучшим вариантом является использование специализированных детекторов руткитов, подобных приведенным ниже.
1. TREND MICRO ROOTKIT БАСТЕР
Trend Micro создает небольшой, но мощный Rootkit Buster, который сканирует системные папки вашего компьютера и основные загрузочные записи (MBR) на наличие руткитов. Это позволяет выполнять выборочное сканирование целевых объектов в разных местах, таких как ключи реестра и файловые потоки.
2. SOPHOS ANTI-ROOTKIT
Sophos делает которое является простым, но мощным инструментом как для новых, так и для опытных пользователей. Он предоставляет графический интерфейс пользователя и интерфейс командной строки, который позволяет выборочную работу. Сканер проверяет найденные записи с записями в своей базе данных и предоставляет подробную информацию о них. Это также доступно для большого разнообразия платформ.
3. MICROSOFT ROOTKIT REVEALER
Microsoft также выпускает свой Rootkit Revealer, который использует продвинутую тактику, такую как изменение имен, чтобы умные руткиты не распознавали сканирование и скрывали его. Однако он не включает интерфейс командной строки, такой как Sophos anti-rootkit.
Лучше всего, если они запускаются, когда компьютер отключен от всех сетей. Более сложный вариант — запустить загрузочный диск / диск, который запустит ваш компьютер независимо и позволит вам сканировать жесткие диски и загрузочные записи.
Если у вас нет другой альтернативы, тогда может потребоваться формат и переустановка вашей операционной системы. Это не повлияет на компьютеры с зараженным BIOS; однако такие инфекции редки и не могут быть купированы обычными средствами. Они могут быть удалены только экспертами.
Так как же защитить свой компьютер?
Говорят, что унция профилактики лучше, чем фунт лечения. Само собой разумеется, что все обычные методы защиты компьютера от вирусов должны практиковаться в любом случае, но, кроме того, пользователь может предпринять следующие шаги:
- Устанавливайте программное обеспечение только из надежных источников. Для пользователя должны быть установлены несущественные программы, чтобы они не имели доступа к системным пространствам.
- Сильный брандмауэр будет мешать внешнему злоумышленнику использовать зараженный компьютер.
- Регулярное сканирование компьютера обеспечит устранение любых проблем в зародыше.
Руткиты будут по-прежнему представлять угрозу с распространением интернета во все уголки мира. Немного безопасных вычислений и знаний сохранит ваше вооружение.
Мы в обязуемся делиться всеми знаниями, которые у нас есть в области компьютерной безопасности, и снова и снова мы будем публиковать такие статьи, чтобы познакомить вас с опасностями компьютерных вычислений в сетевом мире и тем, как они защищают ваши данные и файлы. Продолжай читать!
Бесплатное программное обеспечение для удаления руткитов, которое сканирует, обнаруживает и удаляет руткит, который скрыт на вашем Компьютер Windows с использованием усовершенствованной технологии обнаружения руткитов.
Загрузка Avast Browser Cleanup Tool, Toolbar Cleaner, Ask Toolbar Remover Tool, AdwCleaner для удаления, удалить и удалить панель инструментов из Windows.
Quick Heal BOT Removal Tool обнаруживает и удаляет заражения Botnet с компьютера Windows. Он был разработан в сотрудничестве с правительством Индии.
Антируткит-истерия
Другая сторона истории с руткитами – антируткит-истерия. К середине 2006 г. все крупные производители антивирусов осознали необходимость реагировать на новую угрозу. Реагировали по-разному. Одни доработали технологии продуктов так, чтобы получать доступ к скрытым объектам в процессе обычного антивирусного сканирования. Другие выпускали отдельные антируткит-утилиты. Третьи делали нечто среднее – встраивали отдельную функцию антируткит-сканирования в интерфейс антивирусного продукта. Никто из поздно проснувшихся особенно не преуспел – все лишь догоняли уже ушедший поезд.
В связи с этой гонкой из крупных антивирусных производителей стоит отметить разве что F-Secure: их антируткит-утилита была одной из первых после Rootkit Revealer от Sysinternals. Она умела искать только скрытые процессы, зато основывалась на proof-of-concept-технологии.