マシン上で見つかったルートキットを検出し、必要に応じて削除するための最良の (できれば無料または安価な) 方法は何ですか?
1934 次
3 に答える
4
SysInternals は、数年前に RootKit Revealer の更新を停止しました。
ルートキットを確実に検出する唯一の方法は、既知のファイルとそのパラメータの信頼できるリストから、インストールされたファイルとファイル システム メタデータをオフラインで比較することです。明らかに、比較を実行しているマシンを信頼する必要があります。
ほとんどの場合、ブート cdrom を使用してウィルス スキャナを実行するとうまくいきます。
それ以外の場合は、何かの新規インストールから開始し、cdrom から起動し、外部ドライブを接続し、perl スクリプトを実行してパラメーター (サイズ、md5、sha1) を見つけて収集し、パラメーターを保存します。
確認するには、perl スクリプトを実行してパラメーターを見つけて収集し、保存されているパラメーターと比較します。
また、システムの更新後に保存されたパラメーターを更新するには、perl スクリプトが必要です。
--編集-- 利用可能な技術を反映するためにこれを更新します。プログラム「chntpasswd」の最新のコピーを含む起動可能なレスキュー CD (trinity やrescuecd など) のコピーを取得すると、Windows レジストリをオフラインで参照および編集できるようになります。
Castlecops.com からのスタートアップ リストのコピーと組み合わせると、最も一般的なルートキットの最も一般的な実行ポイントを突き止めることができるはずです。また、常にドライバー ファイルと適切なバージョンを追跡してください。
そのレベルの制御では、最大の問題は、ルートキットとトロイの木馬を削除した後、レジストリが混乱したままになることです。いつもの。
-- 編集 -- Windows ツールもあります。しかし、私が使い慣れていて、無料でより適切に文書化されているツールについて説明しました。
于 2008-09-20T04:31:43.693 に答える
2
SysInternals のルートキットリビーラー
于 2008-09-20T03:54:40.757 に答える
2
侵害されたマシンは決して信頼できないことに注意してください。ルートキットのすべての兆候を見つけたと思うかもしれませんが、攻撃者は別の場所にバックドアを作成した可能性があります。使用するツールでは検出されない標準外のバックドア。原則として、侵害されたマシンを最初から再インストールする必要があります。
于 2008-09-20T08:38:37.377 に答える