Виявлення і видалення руткітів

    109

    Rootkit – це додаток, яке приховує наявність загрози в системі методом перехоплення системних функцій (Windows API). Може приховувати себе, запускати процеси, файли і ключі реєстру. Для виявлення руткітів найчастіше використовується перехресна перевірка, в якій ми порівнюємо список файлів в каталозі, повертається API операційної системи і зчитаний безпосередньо з файлової системи. У справній системі обидва результату повинні бути ідентичними, записи, наявні у другому списку і не повернуті API, ймовірно, приховані руткітам.

    Примітка. Для отримання поточних інструкцій та допомоги з видалення шкідливих програм див. Форум www.fixitpc.pl.

    Підготовка системи перед скануванням
    запуск додатків, перерахованих нижче, може зіткнутися з іншими додатками, що використовують низькорівневий доступ / подібний руткиту. Це проявляється у припиненні роботи програми, негайне відключення або екрану смерті (BSOD). Тому перед запуском ми відключаємо всі запущені програми, в тому числі антивірусні програми / програми безпеки брандмауера. Однак найважливіше – відключити / видалити програми, эмулирующие віртуальні диски:

    Підручник: відключення і видалення драйвера SPTD віртуальних дисків

    Це програмне забезпечення використовує драйвер, який працює в руткіт-подібній техніці, і фальсифікує результати роботи. >>> Припускає зараження, коли воно зникло, і затемнює зображення, коли воно дійсно існує.

    Gmer

    Ліцензія: безкоштовно
    Платформа: Windows NT4 / 2000 / XP / Vista / 7 32-розрядна

    опис
    Польське авторське додаток для виявлення руткітів. Вікно програми розділене на декілька вкладок:

    • Процеси : дозволяє переглядати і редагувати процеси – закриття (процес Kill), закриття всіх, залишаючи тільки одну систему і необхідне для Gmer (Kill all), перезавантаження комп’ютера (перезавантаження), команда «Виконати», перегляд бібліотек
    • Модулі : попередній перегляд завантажених модулів
    • Сервіси : дозволяє переглядати і редагувати сервіси, наприклад, змінювати тип запуску
    • Файли : браузер файлів на диску, дозволяє видалити / перемістити / вбити файл
    • Реєстр : браузер реєстру, дозволяє експортувати / модифікувати

    СХОЖІ СТАТТІВід цього автора