2008-09-20 67 views
2

什麼是最好的(希望免費或廉價)的方式來檢測,然後,如果有必要,刪除在您的機器上找到的rootkit?檢測並刪除Rootkit

+0

如果評論「belongs-on-serverfault」意味着它與編程無關,我想這是相對的,因爲我在下面描述了一種編寫程序來檢測rootkit的方法。 – Chris 2009-06-29 22:24:36

回答

4

Sysinternals的一對夫婦幾年前停止更新Rootkit啓示。

檢測Rootkit的唯一可靠方法是從已知文件的可信列表及其參數對已安裝文件和文件系統元數據進行脫機比較。顯然,你需要信任你正在運行比較的機器。

在大多數情況下,對於大多數人來說,使用啓動光驅運行病毒掃描程序是有用的。否則,您可以從全新安裝開始,從cdrom啓動它,附加外部驅動器,運行perl腳本以查找和收集參數(大小,md5,sha1),然後存儲參數。

要檢查,運行perl腳本來查找和收集參數,然後將它們與存儲的參數進行比較。

此外,你需要一個Perl腳本來更新系統更新後的存儲參數。

- 編輯 - 更新此項以反映可用技術。如果您獲得了任何可啓動救援cd(例如trinity或rescuecd)的副本以及程序「chntpasswd」的最新副本,則可以離線瀏覽和編輯Windows註冊表。

加上來自castlecops.com的啓動列表副本,您應該能夠找到最常見的rootkit的最常見運行點。並且始終跟蹤您的驅動程序文件以及好的版本。

有了這樣的控制級別,你最大的問題就是在你刪除rootkit和特洛伊木馬程序後,你的註冊表被遺留下來的意大利麪條混亂。通常。

- 編輯 - 也有窗口工具。但是我描述了我熟悉的工具,以及那些免費且更好記錄的工具。

2

Rootkit revealer Sysinternals公司的

+0

謝謝。試着去嘗試一下。只要閱讀這些根基工具包的東西,以及它的可怕的東西。 – Taptronic 2008-09-20 04:02:07

+0

沒問題。如果你沒有看到SysInternals工具,我可以強烈推薦它們。 Autoruns和ProcessExplorer(也是由SysInternals)也可能對您的目的有用。 – Ash 2008-09-20 04:09:09

+0

我正在細讀他們。好東西! – Taptronic 2008-09-20 04:17:01

2

請記住,您可以絕不信任受損機器。您可能認爲您發現了Rootkit的所有跡象,但攻擊者可能在其他地方創建了後門。您使用的工具的非標準後門將無法檢測到。作爲一項規則,您應該從頭重新安裝受感染的機器