Најбољи бесплатни програми за уклањање, откривање и скенирање рооткита

рооткит вирус

Шта је рооткит малваре?

Рооткит је посебно гадан комад злонамерног софтвера који се не понаша попут вашег типичног вируса. Рооткити се убацују у само срце оперативног система; обично на или испод нивоа кернела. Због тога их је изузетно тешко открити, а понекад и немогуће уклонити. Специфични антивирусни програми специјализовани су за откривање и уклањање рооткита. У наставку наводимо пет најбољих анти-рооткит програма.

Неке позадине зашто су рооткити тако зли

У току дана вероватно користите много различитих програма на рачунару. Различите класе програма требају различита одобрења да би обављале свој посао. Срце оперативног система, кернел, мора имати апсолутну контролу над сваким делом хардвера и софтвера у рачунару како би могао да обавља свој посао. Са друге стране, апликацијама с којима ми људи директно комуницирамо, попут процесора текста и веб прегледача, потребна је релативно мала контрола да би радили свој посао. Концептуално, ови различити нивои контроле приказани су у моделу заштитног прстена са свемоћним кернелом који живи у Ринг Зеро и пуким људским примењивањима у спољним прстенима. Рооткити се обично инсталирају у Ринг Зеро и тако наслеђују највиши могући ниво приступа.

заштитни прстенови

Рооткити су тако названи зато што су први рооткити циљали Уник оперативне системе. Најпривилегиранији корисник на овим системима се зове роот, ерго рооткит је апликација која пружа роот приступ систему. Име се заглавило без обзира на оперативни систем и данас чак и Виндовс рооткити носе то име упркос томе што у систему нема таквог роот корисника.

Иако постоје примери корисних или барем бенигних рооткита, они се обично сматрају злоћудним. Једном инсталиран, рооткит има могућност да измени готово сваки аспект оперативног система и да у потпуности сакрије своје постојање од већине антивирусних програма. Кернел роотките је изузетно тешко открити и понекад је једини начин да се рачунар очисти у потпуности да поново инсталирате оперативни систем. Поновна инсталација још увек неће помоћи против још безобзирнијих рооткита фирмваре-а који могу да живе у системском БИОС-у и опстану након поновног инсталирања оперативног система..

Рооткит типови

Кернел рооткити

Коренови кернела делују на Ринг Зеро и убризгавају се у језгро. У пракси то значи кернел модуле за Линук, мацОС и друге Уник-ове оперативне системе и Динамиц Линк Либрариес (ДЛЛ-ове) за Виндовс системе. Они раде на истом нивоу и безбедносном држању као и само језгро, због чега их је готово немогуће открити или уклонити ако су откривени.

Рооткити корисничког простора

Делови оперативног система којима приступају програми које користите током дана заједно се називају корисничким простором или корисничким земљиштем. Ти појмови једноставно значе да та подручја меморије и датотека нису привилегована и апликације могу приступити тим стварима без високог нивоа дозвола.

По дефиницији, рооткити који раде у корисничком простору немају приступ кернелу па су у неповољном положају у избегавању детекције. Рооткити корисничког простора обично су циљани на одређене апликације. Када се та апликација покрене, рооткит закрпа легитимну апликацију у меморији корисничког простора и отима њен рад. Ову врсту рооткита је лакше имплементирати, али је и лакше открити и склонији је одустајању узрокујући пад сустава.

Бооткитс

Ово су рооткити који се могу покретати. Оперативни систем рачунара је стартован, иначе се рачунар не би могао покренути. Типични рооткит се учитава током секвенце покретања оперативног система. Бооткит-у није потребан оперативни систем да би то урадио јер бооткит може све покренути сам, а потом учитати оперативни систем.

Заједнички циљ бооткита је субвертирати ствари попут верификације дигиталног потписа на модулима кернел-а. То омогућава нападачу могућност да спречава модификоване модуле и датотеке током процеса дизања, пружајући приступ машини.

Рооткити фирмваре-а

Фирмваре је израз за нешто што се налази између хардвера и софтвера. Хардвер је нешто што физички треба учврстити у рачунар, док је софтвер само код који се уноси у рачунар, као што је процесор текста. Фирмваре је хардвер, обично чип неке врсте, који има могућност да се у њега учита софтвер. За разлику од уобичајене инсталације софтвера која само додаје код рачунару, ажурирање софтвера софтвера обично укључује замену целокупне базе кода на чипу једним потезом процесом који је познат као трептање.

Ова врста рооткита обично се види у рачунарским БИОС-овима или посебним уређајима као што су рутери и мобилни телефони. Будући да рооткит живи у фирмверу, форматирање хард диска рачунара и поновна инсталација оперативног система неће имати ефекта и неће уклонити рооткит.

Одакле долазе рооткити?

Рооткитове обично инсталирају злонамјерни нападачи кроз исте уобичајене векторе као и било који злонамерни софтвер. Лажно представљање остаје веома успешан начин за превару корисника у инсталирању рооткита. Иако ће од корисника бити затражено да одобре инсталацију рооткита, многи од нас су постали уморни од ових константних упута и то ће дозволити.

У ретким случајевима угледна компанија може укључити рооткит у свој софтвер. У широко објављеној серији страшних одлука 2005. године, Сони БМГ је у своје ЦД-ове укључио рооткит да спречи копирање. То је довело до губитка тужбе за тужбу класе од више милиона долара због урођених несигурности које је рооткит садржавао изнад и изван његове предвиђене сврхе као алата за управљање дигиталним правима (ДРМ)..

5 бесплатних програма за уклањање, откривање и скенирање рооткита

Постоје неки анти-роокит програми који циљају одређени рооткит као што је Касперскијев ТДССКиллер, али бавит ћемо се опћенитијим детекторима рооткита. Ако сте у незавидном положају да сте већ заражени идентификованим рооткитом, можда бисте желели да претражите да ли добављач антивируса има специфичан алат за тај рооткит.

цхкрооткит (Провјери Рооткит)

Најбољи бесплатни програми за уклањање, откривање и скенирање рооткита

Прос: Може се изводити после инфекције
Против: Нема подршке за Виндовс.
Подржани ОС: Линук, ФрееБСД, ОпенБСД, НетБСД, Соларис, ХП-УКС, Тру64, БСДИ и мацОС

"Цхецк Рооткит" (цхкрооткит) је детектор рооткита отвореног кода који постоји већ дуже време. Тренутна верзија овог чланка објављена је у мају 2017. и може открити 69 различитих рооткита.

Требат ће вам искусни администратор система за дешифровање резултата цхкрооткита. Такође, тачно свом имену, цхкрооткит проверава само роотките; не може их уклонити Испитује ваше системске датотеке на уобичајене знакове рооткита као што су:

Недавно избрисане датотеке дневника

Датотеке дневника су сјајне алатке за анализу онога што се десило систему. Међутим, будући да рооткит има могућност измене било које системске датотеке што значи да има могућност измене садржаја датотеке дневника или брисања дневника уопште. цхкрооткит покушава открити да ли су различите важне датотеке дневника које биљеже пријаве као што су втмп и утмп измијењене или недавно потпуно обрисане..

Стање мрежних интерфејса

ТЦП / ИП умрежавање у основи преноси пакете широм интернета. У свакој фази путовања, сваки пакет се адресира или на Интернет протокол (ИП) адресу или на локалну МАЦ адресу контроле приступа. Рутери на Интернету или другим мрежама користе одредишну ИП адресу пакета да би је пребацили у одговарајућу мрежу. Једном када пакет стигне у одредишну мрежу, МАЦ адреса се користи за коначну испоруку на одговарајућу мрежну картицу или регулатор мрежног интерфејса (НИЦ).

ифцонфиг

У току нормалног рада, НИЦ ће прихватати само пакете упућене на своју МАЦ адресу или емитује саобраћај и одбациће све остале пакете. Могуће је постављање мрежног интерфејса у промискуитетни режим, што значи да ће мрежни интерфејс прихватити све пакете без обзира на који НИЦ је пакет упућен.

Промискуални режим се обично користи само у мрежној анализи за обављање њушкања пакета или других врста саобраћајних прегледа. Било би необично да НИЦ ради на тај начин током свакодневног рада. цхкрооткит ће открити да ли било која од мрежних картица у систему ради у промискуитетном режиму.

Тројани модула за учитавање кернел модула (ЛКМ тројани)

Као што је претходно описано у овом чланку, најтежи тип рооткита за откривање и чишћење су рооткити модула језгре. Они раде на најнижем нивоу рачунара у Ринг Зеро-у. Ови рооткити имају исти висок ниво дозвола као и само језгро оперативног система. цхкрооткит има могућност откривања ове врсте рооткита.

ркхунтер (Рооткит Хунтер)

ркхунтер-цхецк
Прос: Зрели производ
Против: Мора да се инсталира пре инфекције
Подржани ОС: Уник оперативни систем као што је Линук

Из ркхунтера ПРОЧИТАЈ: "Рооткит Хунтер је алат који се заснива на домаћину, пасиван, пост-инцидент, на путу". То је пуно уста, али говори нам много.

Његово хост базиран што значи да је дизајниран за скенирање домаћина на који је инсталиран, а не за удаљене хостове другдје на мрежи.

Пост-инцидент значи да не чини ништа да очврсне систем против рооткит инфекције. Може открити само ако се напад догодио или је у току.

ркхунтер примарно открива роотките тражећи непрепознате промене у значајним датотекама. Пре него што може да препозна промене, мора знати како све те датотеке треба да изгледају када су чисте. Стога је критично да се ркхунтер инсталира на чист систем како би се могао одредити чист основни ниво који ће се користити за накнадно скенирање. Покретање ркхунтер-а на већ зараженом систему ће бити ограничене употребе, јер неће имати комплетан приказ како чисти систем треба да изгледа.

ркхунтер-цхецк-2

Већина антивирусних програма у одређеној мери користи хеуристику, што значи да траже ствари које наликују вирусима, чак и ако посебно не препознају сваки вирус. ркхунтер нема способност да тражи ствари сличне рооткиту; То је заснована на путу што значи да може тражити само роотките о којима већ зна.

ОССЕЦ

оссец-лого
Прос: Зрели софтвер са великом корисничком базом. Може се користити после инфекције
Цонс: Усмерено на напредне кориснике; Комплетан систем за откривање упада домаћина, а не само рооткит скенер
Подржани ОС: Линук, БСД, Соларис, мацОС, АИКС (агент), ХП-УКС (агент), Виндовс КСП, 2003 сервер, Виста, 2008 сервер, 2012 сервер (агент)

ОССЕЦ је систем за откривање упада домаћина (ХИДС) који је основан као пројекат отвореног кода. Купила га је Трећа бригада, Инц. коју је заузврат купио Тренд Мицро. Тренд је тренутни власник и ОССЕЦ остаје слободан / слободан софтвер отвореног кода (ФЛОСС).

Основна архитектура је ОССЕЦ менаџер инсталиран на централном серверу сличном Уник-у који затим разговара са удаљеним агентима на циљним системима. Управо та агентска архитектура омогућава ОССЕЦ-у да подржава тако широк спектар оперативних система. Поред тога, неки уређаји попут рутера и фиревалл-а могу се употребљавати без агенса што значи да се на њих не мора инсталирати софтвер јер они сами по себи имају способност директног разговора са ОССЕЦ менаџером.

Откривање рооткита ОССЕЦ-а је комбинација анализе засноване на датотекама и других тестова у целом систему. Неке ствари које ОССЕЦ проверава су:

  • мрежне интерфејсе у промискуитетном режиму који се као такви не пријављују другим алатима попут нетстата.
  • портови који се не пријављују у употреби, али ОССЕЦ се не може повезати.
  • упоређујући излаз алата за идентификацију пид-а са излазом алата на нивоу система као што је пс.
  • откривање сумњивих или скривених датотека.

ГМЕР

гмер анти рооткит

Прос: Може да уклони неке роотките уместо само откривања. Може се користити после инфекције.
Цонс: Само за Виндовс
Подржани ОС: Виндовс КСП / ВИСТА / 7/8/10

ГМЕР је детектор и уклањање рооткита који раде на Виндовс КСП / ВИСТА / 7/8/10. Постоји од 2006. године, а тренутна верзија подржава 64-битни Виндовс 10. Направио га је програмер по имену Прземисłав Гмерек, што нам даје наговештај о пореклу његовог имена.

За разлику од цхкрооткита и ркхунтера, ГМЕР не може само да открије роотките, већ и да уклони неке од њих. Постоји верзија ГМЕР-а интегрисана с Аваст-ом! антивирусни софтвер који пружа прилично добру заштиту од вируса и рооткита.

ГМЕР не мора да има посебно знање о систему који скенира. То значи да може бити скенирање након догађаја и откривање рооткита, чак и ако није било у систему пре инфекције рооткитом..

Уместо да упоређује датотеке или стазе за откривање рооткита, ГМЕР се концентрише на артефакте усредсређене на Виндовс као што су скривени процеси, скривени сервиси и модификовани модули. Такође тражи куке које су злонамерне апликације које се прикажу за законите процесе како би сакриле своје постојање.

Опен Соурце Трипвире

трипвире-лого

Цонс: Потребно је инсталирати и иницијализирати прединфекцију
Прос: Зрели производ са великом корисничком базом
Подржани ОС: Линук-ов систем

Опен Соурце Трипвире је систем за детекцију упада који се заснива на домаћинима (ХИДС). Овде је контраст упоређен са мрежним системом за детекцију упада (НИДС). Трипвире скенира датотечни систем локалног рачунара и упоређује његове датотеке са познатим, добрим сетом датотека.

Као и ркхунтер, Трипвире мора бити инсталиран на чист систем пре могуће инфекције. Затим скенира датотечни систем и ствара хешеве или друге идентификационе информације о датотекама у том систему. Накнадна скенирања Трипвире-а тада могу покупити промене тих датотека и упозорити системског администратора на те промене.

Постоје две верзије Трипвире-а; комерцијалне производе компаније Трипвире, Инц. и верзију отвореног кода коју је изворно обезбедио Трипвире, Инц. 2000. Комерцијална верзија нуди много шири спектар производа, укључујући каљење, извештавање и подршку за не-Линук оперативне системе.

Док Трипвире сам по себи није детектор рооткита, може открити активност рооткита која утиче и мења датотеке на систему. Нема могућност уклањања рооткита или чак са сигурношћу рећи да ли постоји рооткит. Квалификовани администратор мораће да протумачи резултате скенирања како би утврдио да ли је потребно нешто предузети.

Заштита ваших система

Имајте на уму да је рооткит малваре. То је стварно лош злонамјерни софтвер, али то је још увек само малвер. Најбоље праксе које ће заштитити ваш систем од било које врсте вируса, такође ће ићи дуг пут у заштити система од рооткита:

  • Осигурајте да корисници имају најмање дозвола за обављање свог посла
  • Едуцирајте кориснике како да не постану жртве крађе идентитета
  • Размислите о онемогућавању УСБ и ЦД драјвова како бисте избегли људе да кући доносе злонамерни софтвер
  • Осигурајте да се антивирус покреће на свим системима и да је ажуриран
  • Користите заштитни зид да зауставите нежељени саобраћај да уђе или изађе из система

Поред тих општих корака, заштита рооткита захтева проактиван став. Инсталирајте детектор рооткита одмах, иницирајте га и покрените га најмање свакодневно, ако не и чешће. Иако је тачно да ако се систем зарази рооткитом, тај систем је вероватно смеће, још гаднија ситуација је да рооткит месецима или годинама живи на вашим системима, а да ви то не знате. Рооткитови могу тихо послати ваше драгоцене податке ван локације, а да се притом не деси док о њима не прочитате у јутарњем листу. Ако сте поставили рооткит детектор, имате велику шансу да будете упозорени, то се дешава што пре.

Привилеге Ринг Хертзспрунг на енглеској Википедији

Можда ће вам се свидети и АнтивирусФаке антивирус - шта је, шта ради и како умањити претњуАнтивирус Бесплатни антивирусни софтвер довољно добар? АнтивирусВиндовс варалица за опоравак система: Обнављање система, освежавање, ресетовање, ново покретање и поновна инсталацијаАнтивирусБест бесплатне и плаћене антивирусне апликације за Андроид и Андроид уређаји засновани на

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 3 = 6

Adblock
detector