检测并删除Rootkit
答
Sysinternals的一对夫妇几年前停止更新Rootkit启示。
检测Rootkit的唯一可靠方法是从已知文件的可信列表及其参数对已安装文件和文件系统元数据进行脱机比较。显然,你需要信任你正在运行比较的机器。
在大多数情况下,对于大多数人来说,使用启动光驱运行病毒扫描程序是有用的。否则,您可以从全新安装开始,从cdrom启动它,附加外部驱动器,运行perl脚本以查找和收集参数(大小,md5,sha1),然后存储参数。
要检查,运行perl脚本来查找和收集参数,然后将它们与存储的参数进行比较。
此外,你需要一个Perl脚本来更新系统更新后的存储参数。
- 编辑 - 更新此项以反映可用技术。如果您获得了任何可启动救援cd(例如trinity或rescuecd)的副本以及程序“chntpasswd”的最新副本,则可以离线浏览和编辑Windows注册表。
加上来自castlecops.com的启动列表副本,您应该能够找到最常见的rootkit的最常见运行点。并且始终跟踪您的驱动程序文件以及好的版本。
有了这样的控制级别,你最大的问题就是在你删除rootkit和特洛伊木马程序后,你的注册表被遗留下来的意大利面条混乱。通常。
- 编辑 - 也有窗口工具。但是我描述了我熟悉的工具,以及那些免费且更好记录的工具。
答
请记住,您可以绝不信任受损机器。您可能认为您发现了Rootkit的所有迹象,但攻击者可能在其他地方创建了后门。您使用的工具的非标准后门将无法检测到。作为一项规则,您应该从头重新安装受感染的机器。
如果评论“belongs-on-serverfault”意味着它与编程无关,我想这是相对的,因为我在下面描述了一种编写程序来检测rootkit的方法。 – Chris 2009-06-29 22:24:36