Ad image
Internet Maker

Polowanie na duchy, czyli jak zdemaskować rootkita

Tomasz Galanciak
Tomasz Galanciak
6 minut(y) czytania

Batalia o bezpieczny system wchodzi w kolejny etap zmagań. Programy antywirusowe i inne narzędzia do odpluskwiania komputera na razie dość dobrze radzą sobie z eliminowaniem zagrożeń, jednak w sukurs tym ostatnim przychodzi coraz częściej nowa groźna generacja szkodników – rootkity.

Rootkit, czyli modyfikator jądra systemu, sam w sobie nie musi być nawet kolejnym wirusem czy programem szpiegującym komputer (patrz ramka z definicją). Wystarczy, że taki intruz odpowiednio zainfekuje jądro systemu operacyjnego i ukryje pewne procesy przed aplikacjami ochronnymi i okiem administratora systemu.

Zaatakowany takim modułem system robi wrażenie w pełni zabezpieczonego, choć w istocie może po cichu wykonywać w tle jakieś niezatwierdzone przez użytkownika operacje.

Do tej pory celem rootkitów były głównie serwery i uniksowe systemy operacyjne. Powoli ich obszar zainteresowań przenosi się także na system Windows i komputery domowe. Jak na razie tylko nieliczne programy antywirusowe radzą sobie z wykrywaniem i usuwaniem tego typu infekcji. Jeśli zatem nasz \”dyżurny ochraniacz\” nie jest wyposażony w odpowiednie funkcje, warto skorzystać z programów, których specjalnością jest polowanie na rootkity.

Gmer

Gmer

http://www.gmer.net
Status: freeware
Ocena: 4/6

  • polska wersja językowa
  • prosta obsługa
  • brak opcji usuwających rootkity

Krajowy przedstawiciel tej klasy oprogramowania. Gmer nie wymaga instalacji. Można go konfigurować zarówno z poziomu interfejsu graficznego, jak i pliku tekstowego – gmer.ini.

Program koncentruje swe działania głównie na wyszukiwaniu różnych newralgicznych zasobów systemu, które mogły ulec zmodyfikowaniu przez rootkity; zaliczają się do nich ukryte procesy, pliki, klucze rejestru, sterowniki, wywołania systemowe, przerwania, moduły kontrolujące działania innych urządzeń.

Gmer może także aktywnie monitorować niektóre systemowe procesy i zasoby (połączenia TCP/IP, pliki, rejestry), a następnie ostrzegać i/lub blokować ich działania. W programie zintegrowano kilka bezpośrednich przekierowań do internetowych skanerów antywirusowych.

Rootkit Revealer

Rootkit Revealer

http://www.sysinternals.com
Status: freeware
Ocena: 3/6

  • szybka i prosta obsługa
  • brak opcji usuwających rootkity

Prosty anglojęzyczny program do skanowania systemu pod kątem obecności podejrzanych i ukrytych elementów – kluczy w rejestrze lub plików, które mogą, choć nie muszą, być wynikiem działania jakiegoś rootkita. Opcje konfiguracyjne ograniczają się do wyboru zakresu skanowania i możliwości zapisania wyników.

Ewentualnym sprawdzaniem/usuwaniem wskazanych przez program zasobów trzeba się zająć samodzielnie. Program nie wymaga instalacji i według deklaracji może działać na platformach NT4, W2K i XP.

SpyCatcher Express

SpyCatcher Express

http://www.tenebril.com
Status: freeware
Ocena: 5/6

  • zintegrowany system zabezpieczeń
  • niewielkie możliwości konfiguracji
  • brak opcji usuwających rootkity

Program do wszechstronnego monitorowania i wyłapywania szkodliwego oprogramowania spyware, adware, trojanów, keyloggerów, malware itp.

SpyCather jako jeden z pierwszych wziął na cel także obserwacje niskopoziomowych procedur wywoływanych przez rootkity i zaoferował funkcje ich śledzenia i blokowania w razie potrzeby. Związane z tym funkcje ograniczają się do włączenia bądź wyłączenia kontroli, a także podglądu raportów (logów) z przeprowadzonych działań prewencyjnych.

Program potrafi automatycznie uaktualniać sygnatury, oferować różne (domyślne i zdefiniowane) poziomy zabezpieczeń, przeprowadzać analizy w wytypowanym przez użytkownika czasie (terminarz), a także pomagać w konfiguracji (dostępny specjalny kreator).

UnHackMe

UnHackMe

http://greatis.com/unhackme/
Status: shareware
Ocena: 4/6

  • wykrywanie i usuwanie rootkitów
  • wbudowany monitor procesów
  • ryzyko uszkodzenia systemu

Komercyjny program, który potrafi znaleźć i usunąć z komputera niewidzialne dla innych antywirusów trojany i rootkity. Na żądanie wykonuje skanowanie systemu, po czym pokazuje użytkownikowi podejrzane procesy (jeśli takie znajdzie) i proponuje ich usunięcie, a następnie restart komputera.

UnHackMe wyposażony jest w aktywny monitor, który z określoną częstotliwością może na bieżąco skanować system (Uwaga! lepiej go jednak nie uaktywniać, gdyż może być później problem z uruchomieniem systemu). Program jest jeszcze mało stabilny i mniej doświadczeni użytkownicy nie powinni go instalować (obsługa i konfiguracja tylko z poziomu konta administratora).

RootKit Hook Analyzer

RootKit Hook Analyzer

http://www.resplendence.com
Status: freeware
Ocena: 4/6

  • szybka i prosta obsługa
  • brak opcji usuwających rootkity

Program ogranicza swe działania do weryfikacji potencjalnych zagrożeń. Skanuje system, po czym analizuje działające procesy i podświetla te, które prawdopodobnie są wynikiem działania jakiegoś intruza.

Każda wartość jest przy tym szczegółowo opisana, tak aby z poziomu systemowych narzędzi można ją było łatwo zlokalizować i usunąć – domyślna nazwa procesu, adres/ścieżka, rozmiar, producent, opis.

Rootkit – dekonspiracja

\”Rootkit\” to ogólny termin określający zarówno specjalnie spreparowane aplikacje, jak i różne mechanizmy i techniki ingerencji w jądro systemu operacyjnego. Wynikiem działań rootkita jest maskowanie własnych lub innych niebezpiecznych procedur zainspirowanych przez wirusy i aplikacje szpiegowskie przed zainstalowanym w systemie oprogramowaniem zabezpieczającym. Rootkity można podzielić z grubsza na cztery kategorie:

  • Persistent – najpopularniejszy typ rootkita. Uruchamia się automatycznie z systemem operacyjnym. Kod lub program, który się aktywuje, jest przechowany na dysku lub w rejestrze komputera. Działający pod jego osłoną program konfiguruje się samodzielnie za każdym razem i działa w tle systemu, nie ujawniając przy tym swej obecności na liście aktywnych procesów.
  • Memory-Based – rootkit rezydujący jedynie w pamięci podręcznej komputera. Aby się go, pozbyć wystarczy zresetować komputer.
  • User-mode – rootkit, który przechwytuje polecenia systemowe trybu API (Application Programming Interface) i zmienia nazwy oraz inne procedury odpowiedzialne za identyfikowanie zadań i aplikacji. Dzięki temu programy zabezpieczające mogą nie zauważyć obecności na dysku groźnych aplikacji.
  • Kernel-mode – najgroźniejszy rootkit, który potrafi manipulować strukturą danych w samym jądrze systemu. Usuwając z listy aktywnych procesów informacje o swoim istnieniu, staje się praktycznie niewykrywalny.

Więcej szczegółowych informacji na temat rootkitów, jak i metod ich wykrywania można znaleźć w internecie:

Inne programy do wykrywania rootkitów:

Może cię także zainteresować

Warsztat freelancera

Jak wygląda i czym jest mobilny e-commerce

Komentarze i oceny na stronie WWW

HTML czy XHTML cz.3

Jak zbudowano splittheatom.com

Podziel się tym artykułem
Poprzedni artykuł CoreEditor 1.0
Następny artykuł HTML – tabele

Ostatnie newsy

Nowości dla graczy i twórców – szybkie i pojemne rozwiązania pamięci masowej
Newsy
OPPO Find X8 Pro debiutuje w Polsce
Newsy
COS prezentuje kolekcję kapsułową, inspirowaną twórczością Chrisa Peraniego
Newsy
Sony wprowadza drugą generację flagowego pełnoklatkowego korpusu Alpha: α1 II
Newsy