什麼是最好的(希望免費或廉價)的方式來檢測,然後,如果有必要,刪除在您的機器上找到的rootkit?檢測並刪除Rootkit
2
A
回答
4
Sysinternals的一對夫婦幾年前停止更新Rootkit啓示。
檢測Rootkit的唯一可靠方法是從已知文件的可信列表及其參數對已安裝文件和文件系統元數據進行脫機比較。顯然,你需要信任你正在運行比較的機器。
在大多數情況下,對於大多數人來說,使用啓動光驅運行病毒掃描程序是有用的。否則,您可以從全新安裝開始,從cdrom啓動它,附加外部驅動器,運行perl腳本以查找和收集參數(大小,md5,sha1),然後存儲參數。
要檢查,運行perl腳本來查找和收集參數,然後將它們與存儲的參數進行比較。
此外,你需要一個Perl腳本來更新系統更新後的存儲參數。
- 編輯 - 更新此項以反映可用技術。如果您獲得了任何可啓動救援cd(例如trinity或rescuecd)的副本以及程序「chntpasswd」的最新副本,則可以離線瀏覽和編輯Windows註冊表。
加上來自castlecops.com的啓動列表副本,您應該能夠找到最常見的rootkit的最常見運行點。並且始終跟蹤您的驅動程序文件以及好的版本。
有了這樣的控制級別,你最大的問題就是在你刪除rootkit和特洛伊木馬程序後,你的註冊表被遺留下來的意大利麪條混亂。通常。
- 編輯 - 也有窗口工具。但是我描述了我熟悉的工具,以及那些免費且更好記錄的工具。
2
Rootkit revealer Sysinternals公司的
2
請記住,您可以絕不信任受損機器。您可能認爲您發現了Rootkit的所有跡象,但攻擊者可能在其他地方創建了後門。您使用的工具的非標準後門將無法檢測到。作爲一項規則,您應該從頭重新安裝受感染的機器。
相關問題
- 1. 刪除並檢測Tinyscrollbar
- 2. 檢測backspace並刪除「輸入」事件?
- 3. 檢測某些列並刪除這些
- 4. 檢測並刪除損壞的PDF
- 5. UITextView檢測字符刪除
- 6. JmDNS設備刪除檢測
- 7. 檢測組件的刪除
- 8. 文件刪除檢測
- 9. 檢測模型刪除
- 10. 識別Android rootkit
- 11. 防rootkit SSDT
- 12. 檢測並刪除python中的鎖定文件
- 13. 如何檢測並刪除rapidminer中的噪音?
- 14. 檢測哪些值已添加並從陣列中刪除
- 15. NSArray:檢測並刪除不存在的對象(文件)
- 16. 如何檢測線路中斷並刪除一切換行符
- 17. 如何在JavaScript中檢測並刪除無效的Unicode序列
- 18. 如何檢測並刪除空的XML標籤?
- 19. 如何檢測並刪除字符串中不需要的行?
- 20. 如何檢測並刪除一個句子的網址?
- 21. 用perl檢測並刪除PDF文件中的空白頁
- 22. 如何檢測並刪除Fabric的空閒連接?
- 23. 如何檢測我的網站是在iframe並刪除iframe?
- 24. 使用gstreamer檢測並刪除音頻文件中的沉默
- 25. 檢測身體/臉部並刪除背景
- 26. 檢測並刪除JavaScript對象字面尾隨逗號
- 27. 檢測並從Java中刪除一系列顏色BufferedImage
- 28. 動態CRM檢測,如果刪除消息是級聯刪除
- 29. 如何檢測刪除所有者時刪除子變形
- 30. 如何檢測空間是否已被刪除或刪除
如果評論「belongs-on-serverfault」意味着它與編程無關,我想這是相對的,因爲我在下面描述了一種編寫程序來檢測rootkit的方法。 – Chris 2009-06-29 22:24:36