Wykrywanie i usuwanie narzędzi hakerskich - rootkitów.pdf - Bezpieczeństwo PC-ta - onelly

Wykrywanie i usuwanie narzędzi hakerskich – rootkitów

SOFTWARE

rootkity

Rootkity służą hakerom do ukrywania obecności

wirusów, trojanów i innych złośliwych kodów w systemie.

Podpowiadamy, jak usunąć to maskowanie.

CD 6/2006

Grupa: UZUPEŁNIENIA

Rootkit Revealer 1.7

Program do ujawniania zaszytych

w systemie rootkitów.

 Podstawowe informacje

Rootkity same nie są złośliwym

oprogramowaniem. Nie wyrządzają

szkód, nie kasują danych. Można je

unieszkodliwić, ale trzeba pamiętać,

że program tego typu nie jest ce-

lem samym w sobie – służy on do

ukrycia w systemie innych narzędzi.

I zwykle ukrywanymi aplikacjami

są już charakterystyczne narzędzia

agresora, czyli różnego rodzaju tro-

jany, wirusy i inne złośliwości. Tak

więc wyłączenie rootkita powoduje,

że potencjalny włamywacz nadal coś

robi na twoim komputerze, choć

już nie w ukryciu. Należy więc po

wyłączeniu rootkita dokładnie prze-

szukać system za pomocą skanera

antywirusowego i programu wy-

szukującego spyware – nawet jeśli

wcześniej nic nie zostało znalezione,

teraz szansa na odkrycie złośliwego

kodu jest bardzo duża.

Narzędzia do walki

z rootkitami

Rootkity w systemie możemy wy-

szukiwać i usuwać za pomocą spe-

cjalnych programów, które przepro-

wadzają szczegółową analizę syste-

mu, porównując np. zawartość dys-

ku twardego z zawartością pamięci

RAM (w której znajdują się urucho-

mione programy). Wynik takiego

porównania może wskazywać na

to, że jakieś dane (pliki, programy,

uruchomione procesy itp.) zostały

ukryte przed użytkownikiem. Aby

takie porównanie dawało wiarygod-

ne wyniki, należy pamiętać o tym,

żeby skanować system podczas jego

bezczynności – pozwala to uniknąć

fałszywych alarmów.

Zanim usuniesz rootkita

Do usuwania rootkita polecamy pro-

sty w obsłudze i skuteczny w de-

tekcji rootkitów program: Rootkit

Revealer . W dalszej części przed-

stawiamy, jak się nim posługiwać.

Przedtem jednak podajemy kilka

istotnych informacji. Przede wszyst-

kim to, że Rootkit Revealer potra-

ﬁ wykryć rootkita, ale nie usunie

go i – co ważne – nie usunie także

programów, które mogą być przez

niego ukrywane.

Zatem jeżeli wykryjesz na swo-

im komputerze rootkita, jedną

z prostszych metod usunięcia za-

równo jego, jak i programów, które

są „zamaskowane” jest skorzystanie

z dostępnej w Windows XP kon-

soli odzyskiwania . Za pomocą tej

konsoli skutecznie usuniesz root-

kita, dzięki czemu ujawnisz to, co

ukryte. Jeśli ukryty był złośliwy kod,

to usuniesz go za pomocą dowolne-

go programu antywirusowego.

Przedstawiamy, w jaki sposób za pomocą pro-

gramu Rootkit Revealer ujawnić działającego

w systemie rootkita. Następnie pokażemy, jak

usunąć rootkita, posługując się konsolą odzy-

skiwania Windows XP.

Wykrywanie rootkita

1 Uruchom program Rootkit Revealer i w oknie

3 Jeśli na komputerze masz zainstalowanych

kilka systemów Windows XP, w konsoli

zostanie wyświetlona ich lista – podaj numer

systemu, który chcesz „ratować”.

4 Podaj hasło administratora do systemu

co będzie widoczne w oknie Rootkit Revealera

po przeprowadzeniu skanowania.

Rootkit Revealer pozwoli co prawda wykryć

rootkita w systemie, ale nie daje możliwości jego

usunięcia.

Unieszkodliwianie rootkita

1 Uruchom komputer z instalacyjnej płyty

– w Windows XP Professional jest ono ta-

kie, jak ustawiłeś podczas instalacji, zaś w wer-

sji Home hasło jest domyślnie puste (tylko na-

ciśnij [Enter] ).

5 Za pomocą polecenia listsvc możesz wy-

programu kliknij przycisk .

2 Przykładowo, w wyniku przeprowadzone-

go testowo skanowania uzyskaliśmy wy-

niki w postaci listy wpisów do rejestru, usług

oraz plików, w których widoczna jest nazwa

Hacker Defender to jeden z najpopularniejszych,

ogólnie dostępnych rootkitów do Windows. Za-

chęcamy do zapoznania się z tym narzędziem

– można je pobrać ze strony http://hxdef.

czweb.org , zabawa jest całkowicie bezpiecz-

na, gdyż Hacker Defender nie jest złośliwym

oprogramowaniem – służy jedynie do ukry-

wania przed użytkownikiem innych aplikacji,

usług czy plików.

3 Program pozwala przećwiczyć metody wy-

CD z systemem Windows XP, tak jakbyś

chciał zainstalować system od nowa.

2 W oknie:

świetlić listę usług – znajdziesz tam usługi

Hacker Defendera.

6 Poleceniami disable HackerDefender100

oraz disable HackerDefenderDrv100 zatrzy-

masz dwie usługi programu. Zostanie wyświe-

tlony komunikat:

odzyskiwania – komputer uruchomi się

ponownie, a dotychczas ukryty kod zostanie

ujawniony, dlatego zalecamy gruntowne prze-

skanowanie systemu dowolnym programem an-

tywirusowym. Wystarczający może być także

skaner online.

krywania rootkitów. Jeśli narzędzie to dzia-

wciśnij klawisz [R], dzięki czemu zostaniesz prze-

niesiony do konsoli odzyskiwania (działa ona

w trybie tekstowym).

PC Format 6/2006

Jak zwalczać

 Jak chronić się przed rootkitami

ła w systemie, pojawią się dwie usługi:

7 Za pomocą komendy exit opuść konsolę

Wykrywanie i usuwanie narzędzi hakerskich - rootkitów.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: