Ang pinakamahusay na libreng pag-alis ng rootkit, pagtuklas at mga programa ng scanner

rootkit virus

Ano ang rootkit malware?

Ang isang rootkit ay isang partikular na bastos na piraso ng malware na hindi kumikilos tulad ng iyong tipikal na virus. Ang mga Rootkits ay nagpasok ng kanilang sarili sa mismong puso ng operating system; karaniwang sa o sa ilalim ng antas ng kernel. Napakahirap nitong makita ang mga ito at kung minsan imposible na alisin. Ang mga partikular na programa ng antivirus ay nagdadalubhasa sa pagtuklas at pagtanggal ng mga rootkits. Sa ibaba nakalista namin ang limang pinakamahusay na mga programa ng anti-rootkit.

Ang ilang mga background sa kung bakit ang mga rootkits ay napakasama

Sa pagtakbo ng isang araw marahil ay gumagamit ka ng maraming iba’t ibang mga programa sa iyong computer. Ang iba’t ibang klase ng mga programa ay nangangailangan ng iba’t ibang mga pahintulot upang magawa ang kanilang trabaho. Ang puso ng operating system, ang kernel, ay kailangang magkaroon ng ganap na kontrol sa bawat piraso ng hardware at software sa computer upang magawa ang trabaho nito. Sa kabilang banda, ang mga aplikasyon na direktang nakikipag-ugnay sa amin ang mga tao, tulad ng mga tagaproseso ng salita at mga browser sa web, ay nangangailangan ng kaunting kontrol upang gawin ang kanilang trabaho. Malinaw na, ang iba’t ibang mga antas ng control ay inilalarawan sa modelo ng proteksyon singsing sa lahat ng makapangyarihang kernel na naninirahan sa Ring Zero at mga pantay na aplikasyon ng tao sa mga panlabas na singsing. Karaniwang mai-install ng mga Rootkits ang kanilang mga sarili sa Ring Zero at sa gayon ay magmana ng pinakamataas na antas ng pag-access na posible.

proteksyon singsing

Ang mga Rootkits ay napangalanan dahil ang unang mga rootkits na naka-target sa Unix-like operating system. Ang pinaka-pribilehiyo ng gumagamit sa mga system na ito ay pinangalanang ugat, ang ergo isang rootkit ay isang application na nagbibigay ng pag-access sa ugat sa system. Ang pangalan ay natigil anuman ang operating system at ngayon kahit na ang mga rootkit ng Windows ay nagdadala ng pangalang iyon sa kabila ng pagkakaroon ng gayong gumagamit ng ugat sa system.

Habang may mga halimbawa ng kapaki-pakinabang, o hindi bababa sa benign, rootkits, sa pangkalahatan ay itinuturing nilang malisyoso. Kapag na-install, ang isang rootkit ay may kakayahang baguhin ang halos lahat ng aspeto ng operating system at upang ganap na maitago ang pagkakaroon nito mula sa karamihan sa mga programang antivirus. Ang mga kernel rootkits ay lubos na mahirap makita at kung minsan ang tanging paraan upang matiyak na malinis ang computer ay ang ganap na muling mai-install ang operating system. Ang muling pag-install ay hindi pa rin makakatulong laban sa mas malabo na mga rootkit ng firmware na maaaring manirahan sa isang system ng BIOS at mabuhay ang mga muling pagbabalik ng operating system.

Mga uri ng Rootkit

Mga kernel rootkits

Ang mga kernel rootkits ay nagpapatakbo sa Ring Zero at na-injected sa kernel. Sa pagsasagawa, nangangahulugan ito ng mga module ng kernel para sa Linux, macOS at iba pang mga operating system na katulad ng Unix, at mga Dynamic Link Libraries (DLL) para sa mga Windows system. Tumatakbo sila sa parehong antas at pustura ng seguridad bilang kernel mismo, na ginagawang halos imposible silang makita o matanggal kung napansin.

Mga rootkits ng puwang ng gumagamit

Ang mga bahagi ng operating system na mai-access ng mga programa na ginagamit mo sa iyong araw ay kolektibong tinutukoy bilang puwang ng gumagamit o lupain ng gumagamit. Ang mga salitang ito ay nangangahulugang nangangahulugan na ang mga memorya at file na lugar ay hindi mapakinabangan at maaaring ma-access ng mga aplikasyon ang mga bagay na walang pagkakaroon ng isang mataas na antas ng pahintulot.

Sa pamamagitan ng kahulugan, ang mga rootkits na nagpapatakbo sa espasyo ng gumagamit ay walang pag-access sa kernel kaya’t sila ay may kawalan sa pag-iwas sa pagtuklas. Ang mga rootkits ng puwang ng gumagamit ay karaniwang naka-target sa mga tukoy na aplikasyon. Kapag tumatakbo ang application na iyon, ang rootkit ay naka-patch sa lehitimong aplikasyon sa memorya ng puwang ng gumagamit at nag-hijack ang operasyon nito. Ang ganitong uri ng rootkit ay mas madaling i-deploy, ngunit mas madaling makita at mas madaling kapitan ng pagbibigay ng sarili sa pamamagitan ng pagdudulot ng mga pag-crash ng system.

Mga Bootkits

Ito ang mga rootkits na maaaring mai-boot. Ang operating system ng iyong computer ay maaaring mai-boot, kung hindi man ay hindi magagawang magsimula ang computer. Ang isang tipikal na rootkit ay naglo-load mismo sa pagkakasunud-sunod ng operating system boot. Ang isang bootkit ay hindi nangangailangan ng isang operating system na gawin iyon para dito dahil ang bootkit ay maaaring i-boot ang lahat, at pagkatapos ay mai-load ang operating system pagkatapos nito.

Ang isang karaniwang layunin ng mga bootkits ay ang pag-alis ng mga bagay tulad ng digital na pag-verify ng lagda sa mga module ng kernel. Binibigyan nito ang kakayahan ng attacker na stealthily load ang mga nabagong module at file sa panahon ng proseso ng boot, na nagbibigay ng pag-access sa makina.

Mga rootkit ng firmware

Ang firmware ay ang termino para sa isang bagay na nasa pagitan ng hardware at software. Ang Hardware ay isang bagay na kailangang maging pisikal na bolted sa isang computer, samantalang ang software ay code lamang na ipinakilala sa computer, tulad ng isang word processor. Ang firmware ay hardware, karaniwang isang maliit na tilad, na may kakayahang magkaroon ng software na nai-load dito. Hindi tulad ng normal na pag-install ng software na nagdaragdag lamang ng code sa computer, ang pag-update ng firmware software sa pangkalahatan ay nagsasangkot ng pagpapalit ng buong code ng code sa chip sa isang nahulog na swoop na may isang proseso na kilala bilang kumikislap.

Ang ganitong uri ng rootkit ay karaniwang nakikita sa mga BIOS ng computer o mga aparato na tiyak na layunin tulad ng mga router at mobile phone. Dahil ang rootkit ay naninirahan sa firmware, ang pag-format ng hard drive ng computer at muling pag-install ng operating system ay walang epekto at hindi tatanggalin ang rootkit.

Saan nanggaling ang mga rootkit?

Ang mga Rootkits ay karaniwang naka-install ng mga nakakahamak na pag-atake sa pamamagitan ng parehong mga karaniwang vectors tulad ng anumang malware. Ang Phishing ay nananatiling isang matagumpay na paraan upang linlangin ang mga gumagamit sa pag-install ng mga rootkits. Kahit na ang mga gumagamit ay sasabihan na pahintulutan ang pag-install ng rootkit, marami sa atin ang naging manhid sa palagiang mga senyas at papayagan ito.

Sa mga pambihirang kaso, ang isang kagalang-galang kumpanya ay maaaring magsama ng isang rootkit sa sarili nitong software. Sa isang malawak na nai-publish na serye ng mga kahila-hilakbot na desisyon noong 2005, kasama ng Sony BMG ang isang rootkit sa mga CD nito upang maiwasan ang pagkopya. Iyon ay humantong sa pagkawala ng isang multi-milyong dolyar na demanda ng aksyon sa klase dahil sa likas na mga insecurities na ang rootkit na nilalaman sa itaas at lampas sa nilalayon nitong layunin bilang isang Digital Rights Management (DRM) na tool.

5 libreng pag-alis ng rootkit, pagtuklas at mga programa ng scanner

Mayroong ilang mga programa na anti-rookit na naka-target sa isang tiyak na rootkit tulad ng TDSSKiller ng Kaspersky, ngunit makikipag-ugnayan kami sa mas pangkalahatang mga detektor ng rootkit. Kung ikaw ay nasa hindi maikakait na posisyon na nahawaan na ng isang kinilala na rootkit, maaari kang maghanap upang makita kung ang isang nagtitinda ng antivirus ay may isang tiyak na tool para sa rootkit na iyon.

chkrootkit (Suriin ang Rootkit)

Mga kalamangan: Maaaring magpatakbo ng post-impeksyon
Cons: Walang suporta sa Windows.
Mga suportadong OSes: Linux, FreeBSD, OpenBSD, NetBSD, Solaris, HP-UX, Tru64, BSDI, at macOS

Ang “Suriin Rootkit” (chkrootkit) ay isang bukas na source rootkit detector na matagal nang matagal. Ang kasalukuyang bersyon bilang ng artikulong ito ay pinakawalan noong Mayo ng 2017 at maaaring makita ang 69 iba’t ibang mga rootkits.

Kakailanganin mo ang isang tag-araw na tagapamahala ng system upang matukoy ang output ng chkrootkit. Gayundin, totoo sa pangalan nito, sinusuri lamang ng chkrootkit ang mga rootkits; hindi ito matanggal sa kanila. Sinusuri nito ang iyong mga file ng system para sa mga karaniwang palatandaan ng mga rootkits tulad ng:

Kamakailan lamang na tinanggal ang mga file ng log

Ang mga file ng log ay mahusay na tool para sa pagsusuri sa nangyari sa isang system. Gayunpaman, dahil ang isang rootkit ay may kakayahang baguhin ang anumang file ng system na nangangahulugang mayroon itong kakayahang baguhin ang mga nilalaman ng log file o tanggalin ang mga log. Sinusubukan ng chkrootkit na makita kung ang iba’t ibang mga mahalagang file ng pag-log na nagtala ng mga logins tulad ng wtmp at utmp ay nabago o binago kamakailan lamang.

Estado ng mga interface ng network

Ang TCP / IP networking ay mahalagang pumasa sa mga packet sa buong internet. Sa bawat yugto ng paglalakbay, ang bawat packet ay hinarap sa alinman sa isang internet protocol (IP) address, o isang address ng lokal na media access control (MAC). Ang mga ruta sa internet o iba pang mga network ay gumagamit ng isang IP address ng isang destinasyon ng packet upang makuha ito sa tamang network. Kapag dumating ang packet sa network ng patutunguhan, ang MAC address ay ginagamit para sa pangwakas na paghahatid sa tamang network card, o network interface controller (NIC).

ifconfig

Sa normal na operasyon, tatanggapin lamang ng isang NIC ang mga packet na nakatuon sa sarili nitong MAC address, o broadcast traffic, at itatapon nito ang anumang iba pang mga packet. Posible na maglagay ng isang interface ng network sa promiscuous mode na nangangahulugang tatanggap ng interface ng network ang lahat ng mga packet anuman ang tinutukoy ng packet ng NIC.

Ang promiscuous mode ay karaniwang ginagamit lamang sa pagsusuri sa network upang maisagawa ang packet sniffing o iba pang uri ng inspeksyon ng trapiko. Hindi pangkaraniwan para sa isang NIC na gumana ng ganoong paraan sa pang-araw-araw na operasyon. Ang chkrootkit ay makakakita kung ang alinman sa mga network card sa system ay tumatakbo sa promiscuous mode.

Loadable na mga tropa ng module ng kernel (mga tropa ng LKM)

Tulad ng nasaklaw nang mas maaga sa artikulong ito, ang pinakamahirap na uri ng mga rootkits na makita at malinis ay ang mga rootkits module ng kernel. Nagpapatakbo sila sa pinakamababang antas ng computer sa Ring Zero. Ang mga rootkit na ito ay may parehong mataas na antas ng mga pahintulot bilang kernel ng operating system mismo. Ang chkrootkit ay may kakayahang makita ang ganitong uri ng rootkit.

rkhunter (Rootkit Hunter)

rkhunter-tseke
Mga kalamangan: Mature na produkto
Cons: Kailangang mai-install pre-impeksyon
Mga suportadong OSes: Ang katulad na operating system tulad ng Linux

Mula sa rkhunter README: “Ang Rootkit Hunter ay isang host-based, passive, post-insidente, path-based tool.” Iyon ay isang bibig, ngunit marami itong sinasabi sa amin.

Ito ay batay sa host nangangahulugan na ito ay dinisenyo upang i-scan ang host na naka-install sa, sa halip na mga malayuang host sa ibang lugar sa network.

Post-insidente nangangahulugan na wala itong ginawa upang patigasin ang system laban sa impeksyon sa rootkit. Malalaman lamang nito kung nangyari ang isang pag-atake o nangyayari.

Pangunahing nakita ng rkhunter ang mga rootkits sa pamamagitan ng paghahanap ng hindi kilalang mga pagbabago sa mga makabuluhang file. Bago ito makilala ang mga pagbabago, kailangang malaman kung ano ang dapat magmukhang lahat ng mga file na iyon kapag malinis na. Kaya’t kritikal na ang rkhunter ay mai-install sa isang malinis na sistema upang matukoy nito ang isang malinis na baseline na gagamitin para sa kasunod na mga pag-scan. Ang pagpapatakbo ng rkhunter sa isang naapektuhan na sistema ay magiging limitado sa paggamit dahil hindi ito magkakaroon ng kumpletong pagtingin sa kung ano ang dapat magmukhang malinis na sistema.

rkhunter-check-2

Karamihan sa mga programang antivirus ay gumagamit ng mga heuristik, na nangangahulugang naghahanap sila ng mga bagay na mukhang mga virus, kahit na hindi ito partikular na kinikilala ang bawat virus. ang rkhunter ay walang kakayahang maghanap ng mga bagay na tulad ng rootkit; ito ay batay sa landas ibig sabihin maaari lamang itong maghanap para sa mga rootkits na alam na nito.

OSSEC

ossec-logo
Mga kalamangan: Mature software na may isang malaking base ng gumagamit. Maaaring magamit ang post-impeksyon
Cons: Nakamit sa mga advanced na gumagamit; kumpletong sistema ng pagtuklas ng host ng panghihimasok kaysa sa isang pag-scan ng rootkit
Mga suportadong OS: Linux, BSD, Solaris, macOS, AIX (ahente), HP-UX (ahente), Windows XP, 2003 server, Vista, 2008 server, 2012 server (ahente)

Ang OSSEC ay isang Host Intrusion Detection System (HIDS) na itinatag bilang isang Open Source project. Ito ay nakuha ng Third Brigade, Inc. na kung saan ay nakuha ng Trend Micro. Ang uso ay ang kasalukuyang may-ari at ang OSSEC ay nananatiling Libre / Libre Open Source Software (FLOSS).

Ang pangunahing arkitektura ay isang manager ng OSSEC na naka-install sa isang Unix-tulad ng sentral na server na pagkatapos ay nakikipag-usap sa mga malalayong ahente sa mga target na system. Ito ay arkitektura ng ahente na nagpapahintulot sa OSSEC na suportahan ang tulad ng isang malawak na hanay ng mga operating system. Bilang karagdagan, ang ilang mga aparato tulad ng mga router at firewall ay maaaring magamit na walang kahulugan na nangangahulugang walang kinakailangang software na mai-install sa kanila dahil sila ay likas na nagtataglay ng kakayahang makipag-usap nang direkta sa manager ng OSSEC.

Ang pagtuklas ng root ng OSSEC ay isang halo ng pagsusuri batay sa file at iba pang mga pagsubok sa buong sistema. Ang ilan sa mga bagay na tseke ng OSSEC ay:

  • mga interface ng network sa promiscuous mode na hindi iniulat tulad ng iba pang mga tool tulad ng netstat.
  • port na hindi iniulat na ginagamit, ngunit ang OSSEC ay hindi nakagapos.
  • paghahambing ng output ng mga tool na nagpapakilala sa pid sa output ng mga tool ng antas ng system tulad ng ps.
  • pagtuklas ng mga kahina-hinalang o nakatagong mga file.

GMER

gmer anti rootkit

Mga kalamangan: Maaari alisin ang ilang mga rootkits sa halip na pagtuklas lamang. Maaaring magamit ang post-impeksyon.
Cons: Windows lang
Mga suportadong OS: Windows XP / VISTA / 7/8/10

Ang GMER ay isang rootkit detector at remover na tumatakbo sa Windows XP / VISTA / 7/8/10. Ito ay sa paligid mula noong 2006 at ang kasalukuyang bersyon ay sumusuporta sa 64-bit na Windows 10. Ito ay nilikha ng isang programista na nagngangalang Przemysław Gmerek, na nagbibigay sa amin ng isang pahiwatig tungkol sa pinagmulan ng pangalan nito.

Hindi tulad ng chkrootkit at rkhunter, hindi lamang matukoy ng GMER ang mga rootkits, ngunit alisin din ang ilan sa mga ito. Mayroong isang bersyon ng GMER na isinama sa Avast! antivirus software na nagbibigay ng magandang proteksyon sa buong paligid para sa parehong mga virus at impeksyon sa rootkit.

Ang GMER ay hindi kailangang magkaroon ng anumang espesyal na kaalaman sa system na ini-scan nito. Nangangahulugan ito na maaari itong maging isang post-event scan at tuklasin ang mga rootkits kahit na wala ito sa system bago ang impeksyon sa rootkit.

Sa halip na ihambing ang mga file o landas upang makita ang mga rootkits, ang GMER ay nakatuon sa Windows-sentrik na mga artifact tulad ng mga nakatagong proseso, nakatagong mga serbisyo, at binagong mga module. Naghahanap din ito para sa mga kawit na mga nakakahamak na aplikasyon na nakadikit ang kanilang mga sarili sa mga lehitimong proseso upang maitago ang kanilang pag-iral.

Bukas na Source Tripwire

tripwire-logo

Cons: Kailangang mai-install at inisyal na pre-impeksyon
Mga kalamangan: Produktong mature na may isang malaking base ng gumagamit
Mga suportadong OS: Mga sistema na nakabase sa Linux

Ang Open Source Tripwire ay isang host na batay sa sistema ng pag-aapektuhan ng panghihimasok (mga bata). Ang kaibahan dito ay inihambing sa isang sistema ng pag-iwas sa panghihimasok sa network (NIDS). Sinusuri ng Tripwire ang system ng file ng lokal na computer at ikinukumpara ang mga file nito sa isang kilalang, mahusay na hanay ng mga file.

Tulad ng rkhunter, dapat na mai-install ang Tripwire sa isang malinis na sistema bago ang anumang posibleng impeksyon. Pagkatapos ay ini-scan nito ang file system at lumilikha ng hashes o iba pang pagkilala ng impormasyon tungkol sa mga file sa system na iyon. Kasunod na mga pag-scan ng Tripwire ay maaaring pumili ng mga pagbabago sa mga file na iyon at alerto ang mga tagapangasiwa ng mga system ng mga pagbabagong iyon.

Mayroong dalawang bersyon ng Tripwire; ang mga komersyal na produkto mula sa Tripwire, Inc. at ang bersyon ng Open Source na orihinal na ibinigay ng Tripwire, Inc. noong 2000. Ang komersyal na bersyon ay nag-aalok ng isang mas malawak na hanay ng mga produkto kasama ang hardening, pag-uulat, at suporta para sa mga operating system na hindi Linux.

Habang ang Tripwire ay hindi isang detektor ng rootkit bawat se, makakakita ito ng aktibidad ng rootkit na nakakaapekto at nagbago ng mga file sa system. Wala itong kakayahang alisin ang mga rootkits, o kahit na sabihin nang may katiyakan kung mayroon bang isang rootkit. Kailangang bigyang kahulugan ng isang bihasang tagapangasiwa ang mga resulta ng pag-scan upang matukoy kung ang anumang pagkilos ay kailangang gawin.

Pagprotekta sa iyong mga system

Tandaan na ang isang rootkit ay malware. Ito ay talagang masamang malware, ngunit ito pa rin ang malware. Ang pinakamahusay na mga kasanayan na maprotektahan ang iyong system mula sa anumang uri ng virus ay pupunta sa mahabang paraan upang maprotektahan ang iyong mga system laban sa mga rootkits.

  • Tiyaking ang mga gumagamit ay may hindi bababa sa halaga ng mga pahintulot na kailangan nila upang gawin ang kanilang trabaho
  • Turuan ang mga gumagamit kung paano maiwasan ang maging mga biktima ng phishing
  • Isaalang-alang ang hindi paganahin ang USB at CD drive upang maiwasan ang mga taong nagdadala ng malware mula sa bahay
  • Tiyaking tumatakbo ang antivirus sa lahat ng mga system at napapanahon
  • Gumamit ng isang firewall upang ihinto ang hindi hinihinging trapiko mula sa pagpasok o paglabas ng iyong system

Bilang karagdagan sa mga pangkalahatang hakbang, ang proteksyon ng rootkit ay nangangailangan ng isang aktibong tindig. Mag-install ng isang detektor ng rootkit ngayon, simulan ito, at patakbuhin ito ng hindi bababa sa araw-araw kung hindi mas madalas. Bagaman totoo na kung ang isang sistema ay nahawahan ng rootkit na ang sistema ay marahil basura, ang mas nakakainis na sitwasyon ay ang isang rootkit ay nabubuhay sa iyong mga system nang mga buwan o taon nang hindi mo alam. Ang mga Rootkits ay maaaring tahimik na maipadala ang iyong mahalagang data sa labas ng site nang walang bakas na nangyayari hanggang sa mabasa mo ito sa umaga ng papel. Kung nagtatalaga ka ng isang detektor ng rootkit naninindigan ka ng isang magandang pagkakataon na maalertuhan na ito ay nangyayari sa lalong madaling panahon.

Pribilehiyo singsing Hertzsprung sa Ingles Wikipedia

Maaari mo ring gustoAntivirusFake antivirus – ano ito, kung ano ang ginagawa nito at kung paano mapawi ang bantaAntivirusIs Free Antivirus Software Magandang Sapat? -based na aparato

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me