Najbolji besplatni programi za uklanjanje, otkrivanje i skeniranje rootkita

rootkit virus

Što je rootkit malware?

Rootkit je posebno jeziv dio zlonamjernog softvera koji se ne ponaša poput vašeg tipičnog virusa. Rootkiti se ubacuju u samo srce operativnog sustava; obično na ili ispod razine jezgre. Zbog toga ih je izuzetno teško otkriti, a ponekad ih je nemoguće ukloniti. Specifični antivirusni programi specijalizirani su za otkrivanje i uklanjanje rootkita. U nastavku navodimo pet najboljih anti-rootkit programa.

Neke pozadine zašto su rootkiti tako zli

U toku dana vjerojatno koristite mnogo različitih programa na računalu. Različite klase programa trebaju različita dopuštenja da bi obavljali svoj posao. Srce operacijskog sustava, kernel, mora imati apsolutnu kontrolu nad svakim dijelom hardvera i softvera na računalu da bi mogao obavljati svoj posao. S druge strane, aplikacije s kojima mi ljudi izravno komuniciramo, kao što su procesori teksta i web-preglednici, trebaju relativno malo kontrole da bi mogli obavljati svoj posao. Konceptualno, ove različite razine kontrole prikazane su u modelu zaštitnog prstena s sve snažnijim jezgrom koja živi u Ring Zero i pukim ljudskim primjenama u vanjskim prstenima. Rootkiti se obično instaliraju u Ring Zero i tako nasljeđuju najvišu moguću razinu pristupa.

zaštitni prstenovi

Rootkiti su tako nazvani jer su prvi rootkiti usmjereni na Unix operativne sustave. Najpovoljniji korisnik na ovim sustavima zove se root, ergo rootkit je aplikacija koja omogućuje korijenov pristup sustavu. Naziv se zaglavio bez obzira na operativni sustav, a danas čak i Windows rootkiti nose to ime iako u sustavu nema takvog korisnika korijena.

Iako postoje primjeri korisnih ili barem benignih rootkita, oni se obično smatraju zlonamjernima. Jednom instaliran, rootkit ima mogućnost mijenjati gotovo sve aspekte operativnog sustava i također u potpunosti sakriti svoje postojanje od većine antivirusnih programa. Kernel rootkite je izuzetno teško prepoznati i ponekad je jedini način da se računalo očisti u potpunosti ponovno instalirati operativni sustav. Ponovna instalacija još uvijek neće pomoći protiv još opasnijih rootkita firmware-a koji mogu živjeti u BIOS-u sustava i preživjeti ponovnu instalaciju operativnog sustava..

Rootkit vrste

Koreni jezgra

Korenovi jezgre djeluju na Ring Zero i ubrizgavaju se u jezgru. U praksi to znači kernel module za Linux, macOS i druge Unix operativne sustave i Dynamic Link Libraries (DLL) za Windows sustave. Oni djeluju na istoj razini i sigurnosnom držanju kao i sama jezgra, zbog čega ih je gotovo nemoguće otkriti ili ukloniti ako ih se otkrije.

Korisnički prostori rootkita

Dijelovi operativnog sustava kojima pristupaju programi koje koristite tijekom dana zajednički se nazivaju korisničkim prostorom ili korisničkim zemljištem. Ti pojmovi jednostavno znače da ta područja memorije i datoteka nisu privilegirana i aplikacije mogu pristupiti tim stvarima bez visoke razine dozvola.

Po definiciji, rootkiti koji djeluju u korisničkom prostoru nemaju pristup kernelu pa su u nepovoljnom položaju u izbjegavanju otkrivanja. Rootkiti korisničkog prostora obično su ciljani na određene aplikacije. Kada se ta aplikacija pokrene, rootkit zakrpa legitimnu aplikaciju u memoriji korisničkog prostora i otima njen rad. Ovu vrstu rootkita je lakše implementirati, ali je i lakše otkriti i skloniji je odustajanju uzrokujući pad sustava.

Bootkits

To su rootkiti koji se mogu pokretati. Operativni sustav vašeg računala može se pokrenuti, inače se računalo ne bi moglo pokrenuti. Tipični rootkit se učitava tijekom slijeda pokretanja operacijskog sustava. Bootkit ne treba operativni sustav da to učini, jer bootkit može sve pokrenuti sam, a potom učitati operativni sustav.

Zajednički je cilj pokretačkih programa subvertiranje stvari poput provjere digitalnog potpisa na modulima kernel-a. To daje napadaču mogućnost da spretno učitava izmijenjene module i datoteke tijekom postupka dizanja, pružajući pristup stroju.

Korijenski programi firmwarea

Ugrađeni softver je izraz za nešto što se nalazi između hardvera i softvera. Hardver je nešto što fizički treba učvrstiti u računalo, dok je softver samo kod koji se uvodi u računalo, kao što je program za obradu teksta. Firmware je hardver, obično čip neke vrste, koji ima mogućnost učitavanja softvera u njega. Za razliku od uobičajene instalacije softvera koja samo dodaje kôd na računalo, ažuriranje softvera općenito uključuje zamjenu cjelokupne baze koda na čipu u jednom potezu procesom koji je poznat kao bljeskanje.

Ova vrsta rootkita uobičajeno se vidi u računalnim BIOS-ovima ili posebnim uređajima kao što su usmjerivači i mobilni telefoni. Budući da rootkit živi u firmveru, formatiranje tvrdog diska računala i ponovna instalacija operativnog sustava neće imati učinka i neće ukloniti rootkit.

Odakle potječu rootkiti?

Rootkitove obično instaliraju zlonamjerni napadači kroz iste uobičajene vektore kao i bilo koji zlonamjerni softver. Krađa identiteta ostaje vrlo uspješan način za prevaru korisnika u instalaciji rootkita. Iako će se od korisnika tražiti da autoriziraju instalaciju rootkita, mnogi od nas postali su ošamućeni ovim konstantnim upitima i to će dopustiti.

U rijetkim slučajevima ugledna tvrtka može uključiti rootkit u svoj softver. U široko objavljenoj seriji strašnih odluka 2005. godine, Sony BMG je u svoje CD-ove uključio rootkit kako bi spriječio kopiranje. To je dovelo do gubitka tužbe protiv višestrukih milijuna dolara tužbe zbog urođenih nesigurnosti koje je rootkit sadržavao iznad i izvan njegove predviđene svrhe kao alata za upravljanje digitalnim pravima (DRM)..

5 besplatnih programa za uklanjanje, otkrivanje i skeniranje rootkita

Postoje neki anti-rookit programi koji ciljaju određeni rootkit kao što je Kasperskyjev TDSSKiller, ali pozabavit ćemo se s općenitijim detektorima rootkita. Ako ste u nezavidnom položaju već zaraženi identificiranim rootkitom, možda biste trebali potražiti da li dobavljač antivirusa ima specifičan alat za taj rootkit.

chkrootkit (Provjeri Rootkit)

Najbolji besplatni programi za uklanjanje, otkrivanje i skeniranje rootkita

Pros: Može se izvoditi nakon infekcije
Cons: Nema podrške za Windows.
Podržani OS: Linux, FreeBSD, OpenBSD, NetBSD, Solaris, HP-UX, Tru64, BSDI i macOS

"Check Rootkit" (chkrootkit) je detektor rootkita otvorenog koda koji postoji već duže vrijeme. Trenutna verzija ovog članka objavljena je u svibnju 2017. i može otkriti 69 različitih rootkita.

Trebat će vam iskusni administrator sustava za dešifriranje rezultata chkrootkita. Također, istinski sa svojim imenom, chkrootkit provjerava samo rootkite; ne može ih ukloniti. Ispituje vaše sistemske datoteke na uobičajene znakove rootkita kao što su:

Nedavno izbrisane datoteke dnevnika

Datoteke dnevnika odlični su alati za analizu onoga što se dogodilo sa sustavom. No, budući da rootkit ima mogućnost izmjene bilo koje sistemske datoteke što znači da ima mogućnost izmjene sadržaja datoteke dnevnika ili brisanja zapisnika. chkrootkit pokušava otkriti jesu li različite važne datoteke dnevnika koje bilježe prijave kao što su wtmp i utmp promijenjene ili nedavno potpuno izbrisane..

Stanje mrežnih sučelja

TCP / IP umrežavanje u osnovi prenosi pakete širom interneta. U svakoj fazi putovanja, svaki se paket upućuje bilo na adresu internetskog protokola (IP) ili na adresu MAC-a za kontrolu pristupa lokalnom mediju. Usmjerivači na Internetu ili drugim mrežama koriste odredišnu IP adresu paketa da bi ga prenijeli u odgovarajuću mrežu. Nakon što paket stigne u odredišnu mrežu, MAC adresa se koristi za konačnu isporuku na odgovarajuću mrežnu karticu ili regulator mrežnog sučelja (NIC).

ifconfig

Tijekom normalnog rada, NIC će prihvatiti samo pakete upućene na svoju MAC adresu ili emitirati promet i odbacit će sve ostale pakete. Moguće je staviti mrežno sučelje u promiskuitetni način, što znači da će mrežno sučelje prihvatiti sve pakete bez obzira na to koji je NIC paket upućen.

Promiskuozni način se obično koristi samo u mrežnoj analizi za obavljanje njuškanja paketa ili drugih vrsta prometa. Bilo bi neobično da NIC djeluje na taj način tijekom svakodnevnog rada. chkrootkit će otkriti da li bilo koja od mrežnih kartica u sustavu radi u promiskuitetnom načinu.

Trojani modula za učitavanje kernel (LKM trojanski)

Kao što je prethodno opisano u ovom članku, najteži tip rootkita za otkrivanje i čišćenje su rootkiti modula jezgre. Oni rade na najnižoj razini računala u Ring Zero-u. Ti rootkiti imaju istu visoku razinu dozvola kao i samo jezgro operacijskog sustava. chkrootkit ima mogućnost otkrivanja ove vrste rootkita.

rkhunter (Rootkit Hunter)

rkhunter-provjera
Pros: Zreli proizvod
Cons: Mora biti instaliran prije infekcije
Podržani OS: Unix-operativni sustav poput Linuxa

Iz rkhuntera PROČITAJ: "Rootkit Hunter je alat koji se temelji na domaćinu, pasivan, post-incident, na putu". To je puno usta, ali govori nam mnogo.

to je utemeljen na domaćinu što znači da je dizajniran za skeniranje domaćina na koji je instaliran, a ne za udaljene hostove drugdje na mreži.

Post-incident To znači da ne čini ništa na otvrdnjavanju sustava od rootkitne infekcije. Može otkriti samo ako se napad dogodio ili je u tijeku.

rkhunter prvenstveno otkriva rootkite tražeći neprepoznate promjene u značajnim datotekama. Prije nego što može prepoznati promjene, mora znati kako sve te datoteke trebaju izgledati kad su čiste. Stoga je od izuzetne važnosti da rkhunter bude instaliran na čist sustav kako bi mogao odrediti čistu početnu vrijednost koja će se koristiti za naknadno skeniranje. Trčanje rkhunter-om na već zaraženom sustavu bit će ograničene uporabe jer neće imati cjelovit prikaz kako čisti sustav treba izgledati.

rkhunter-check-2

Većina antivirusnih programa u određenoj mjeri koristi heuristiku, što znači da traže stvari koje nalikuju virusima, čak i ako posebno ne prepoznaju svaki virus. rkhunter nema sposobnost traženja stvari sličnih rootkitu; to je Put na bazi što znači da može tražiti samo rootkite o kojima već zna.

OSSEC

ossec-logo
prozodija: Zreli softver s velikom korisničkom bazom. Može se koristiti nakon infekcije
kontra: Usmjereno za napredne korisnike; potpuni sustav otkrivanja upada domaćina, a ne samo rootkit skener
Podržani OS: Linux, BSD, Solaris, macOS, AIX (agent), HP-UX (agent), Windows XP, 2003 poslužitelj, Vista, 2008 server, 2012 server (agent)

OSSEC je sustav za otkrivanje upada domaćina (HIDS) koji je osnovan kao projekt otvorenog koda. Kupio ga je Third Brigade, Inc., a zauzvrat ga je kupio Trend Micro. Trend je trenutni vlasnik i OSSEC ostaje slobodan / slobodan softver otvorenog koda (FLOSS).

Osnovna arhitektura je OSSEC upravitelj instaliran na Unix-ovom centralnom poslužitelju koji zatim razgovara s udaljenim agentima na ciljnim sustavima. To je ta agentura koja omogućuje OSSEC-u podršku tako širokog raspona operativnih sustava. Uz to, neki uređaji kao što su usmjerivači i vatrozidi mogu se koristiti bez agensa što znači da se na njih ne mora instalirati softver jer oni svojstveno imaju mogućnost direktnog razgovora s OSSEC-ovim upraviteljem.

OSSEC-ovo otkrivanje rootkita mješavina je analiza temeljenih na datotekama i drugih testova u cijelom sustavu. Neke su stvari koje OSSEC provjerava sljedeće:

  • mrežna sučelja u promiskuitetnom načinu rada, koja se kao takva ne prijavljuju drugim alatima poput netstata.
  • portovi koji se ne prijavljuju u uporabi, ali OSSEC se ne može povezati.
  • uspoređujući izlaz alata za prepoznavanje pid-a s izlazom alata na razini sustava poput ps-a.
  • otkrivanje sumnjivih ili skrivenih datoteka.

GMER

gmer anti rootkit

prozodija: Mogu se ukloniti neki rootkiti umjesto samo otkrivanja. Može se koristiti nakon infekcije.
kontra: Samo Windows
Podržani OS: Windows XP / VISTA / 7/8/10

GMER je detektor i uklanjanje rootkita koji rade na Windows XP / VISTA / 7/8/10. Traje od 2006. godine, a trenutna verzija podržava 64-bitni Windows 10. Napravio ga je programer po imenu Przemysław Gmerek, što nam daje nagovještaj podrijetla njegova imena.

Za razliku od chkrootkita i rkhuntera, GMER ne može samo otkriti rootkite, nego i ukloniti neke od njih. Postoji verzija GMER-a integrirana s Avastom! antivirusni softver koji pruža prilično dobru zaštitu od virusa i rootkita.

GMER ne mora imati nikakvo posebno znanje o sustavu koji skenira. To znači da može biti skeniranje nakon događaja i otkrivanje rootkita, čak i ako nije bilo u sustavu prije rootkitne infekcije..

Umjesto da uspoređuje datoteke ili staze za otkrivanje rootkita, GMER se koncentrira na artefakte usmjerene na sustav Windows kao što su skriveni procesi, skrivene usluge i modificirani moduli. Također traži kuke koje su zlonamjerne aplikacije koje se prikažu za zakonite procese kako bi sakrile svoje postojanje.

Tripwire s otvorenim kodom

Tripwire-logo

kontra: Treba instalirati i inicijalizirati predinfekciju
prozodija: Zreli proizvod s velikom korisničkom bazom
Podržani OS: Linux sustavi temeljeni

Open Source Tripwire je sustav za otkrivanje upada (HIDS), temeljen na domaćinima. Ovdje se razlikuje kontrast s mrežnim sustavom za otkrivanje upada (NIDS). Tripwire pregledava datotečni sustav lokalnog računala i uspoređuje njegove datoteke s poznatim dobrim setom datoteka.

Kao i rkhunter, Tripwire mora biti instaliran na čisti sustav prije moguće infekcije. Zatim skenira datotečni sustav i stvara hashe ili druge identifikacijske podatke o datotekama u tom sustavu. Naknadna skeniranja Tripwirea moći će pokupiti promjene tih datoteka i upozoriti administratora sustava na te promjene.

Postoje dvije verzije Tripwire-a; komercijalni proizvodi tvrtke Tripwire, Inc. i verzija otvorenog koda koju je izvorno isporučio Tripwire, Inc. 2000. Komercijalna verzija nudi mnogo širi spektar proizvoda, uključujući otvrdnjavanje, izvještavanje i podršku za ne-Linux operativne sustave.

Dok Tripwire sam po sebi nije detektor rootkita, može otkriti aktivnost rootkita koje utječu i mijenjaju datoteke u sustavu. Nema sposobnost uklanjanja rootkita ili čak sa sigurnošću reći postoji li rootkit. Kvalificirani administrator morat će protumačiti rezultate skeniranja kako bi utvrdio je li potrebno nešto poduzeti.

Zaštita vaših sustava

Imajte na umu da je rootkit zlonamjerni softver. To je stvarno zlonamjerni softver, ali to je još uvijek samo zlonamjerni softver. Najbolje prakse koje će zaštititi vaš sustav od bilo koje vrste virusa, bit će dug put u zaštiti vašeg sustava od rootkita:

  • Osigurajte korisnicima najmanju količinu dozvola koja im je potrebna za obavljanje svog posla
  • Educirajte korisnike kako da ne postanu žrtve krađe identiteta
  • Razmislite o onemogućivanju USB i CD pogona kako biste izbjegli da kući donose zlonamjerni softver
  • Osigurajte da se antivirusni sustav pokreće na svim sustavima i ažuriran
  • Koristite vatrozid kako biste zaustavili neželjeni promet da uđe ili izađe iz vašeg sustava

Pored tih općih koraka, zaštita rootkita zahtijeva proaktivan stav. Instalirajte detektor rootkita sada, pokrenite ga i pokrenite ga barem svakodnevno, ako ne i češće. Iako je istina da ako je sustav zaražen rootkitom taj je sustav vjerojatno smeće, još je gadnija situacija da rootkit mjesecima ili godinama živi u vašim sustavima, a da to niste znali. Rootkitovi tiho šalju vaše dragocjene podatke izvan web-mjesta bez ikakvog traga koji se događa dok o njemu ne pročitate u jutarnjem listu. Ako ste postavili rootkit detektor, postoji velika šansa da budete upozoreni, to se događa što prije.

Privilege Ring Hertzsprung na engleskoj Wikipediji

Možda će vam se svidjeti i AntivirusFake antivirusni program - što je, što radi i kako ublažiti prijetnjuAntivirus je besplatni antivirusni softver dovoljan? AntivirusWindows varalica za oporavak sustava: Obnavljanje sustava, osvježavanje, resetiranje, novo pokretanje i ponovno instaliranjeAntivirusBest besplatne i plaćene antivirusne aplikacije za Android i Android uređaji temeljeni na

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 28 = 36

Adblock
detector