Erkennen und Entfernen von Rootkit [geschlossen]
https://stackoverflow.com/questions/107017
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Was die Beste ist (hoffentlich frei oder billig) Art und Weise zu erkennen und dann, falls erforderlich, ein Rootkit auf Ihrem Rechner gefunden entfernen?
Lösung
SysInternals gestoppt vor RootKit Offenbarer ein paar Jahre zu aktualisieren.
Der einzig sichere Weg, ein Rootkit zu erkennen, ist ein Offline-Vergleich der installierten Dateien und Dateisystem-Metadaten aus einer vertrauenswürdigen Liste der bekannten Dateien und deren Parameter zu tun. Natürlich müssen Sie die Maschine vertrauen Sie den Vergleich von ausgeführt werden.
In den meisten Fällen mit einem Boot-CD-ROM einem Virenscanner laufen funktioniert der Trick für die meisten Menschen.
Sie können aber mit einem frischen Start installieren von was auch immer, booten von CD-ROM, legen Sie ein externes Laufwerk, ein Perl-Skript ausführen zu finden und sammeln Parameter (Größe, MD5, SHA1), dann speichern Sie die Parameter.
ein Perl-Skript zu überprüfen, führen Parameter zu finden und zu sammeln, dann vergleichen sie mit den gespeicherten Einsen.
Auch werden Sie einen Perl-Skript benötigen gespeicherten Parameter nach einem System-Update zu aktualisieren.
- Edit-- Aktualisierung dieser verfügbaren Techniken zu reflektieren. Wenn Sie eine Kopie der bootfähigen Rettungs-CD (wie Trinität oder rescuecd) mit einer up-to-date Kopie des Programms „chntpasswd“ bekommen, werden Sie in der Lage sein, zu durchsuchen und die Windows-Registry offline bearbeiten.
mit einer Kopie der Startliste Gekoppelt von castlecops.com sollten Sie in der Lage sein, die am häufigsten Laufpunkte für die häufigsten Rootkits aufzuspüren. Und immer den Überblick über Ihre Treiberdateien und was die guten Versionen sind es auch.
Mit diesem Maß an Kontrolle, Ihr größtes Problem wird die Verwirrung von Spaghetti Ihre Registrierung in gelassen, nachdem Sie das Rootkit und Trojaner löschen. Normalerweise.
- Bearbeiten - und es gibt Windows-Tools, auch. Aber ich beschrieben die Werkzeuge, die ich mit vertraut bin, und welche frei sind und besser dokumentiert.
Andere Tipps
Rootkit revealer von SysInternals
Denken Sie daran, dass Sie vertrauen nie eine kompromittierte Maschine. Sie können denken, dass Sie alle Zeichen eines Rootkits gefunden, aber der Angreifer Backdoors haben an anderen Orten erstellt. Nicht-Standard-Backdoors, die Werkzeuge, die Sie nicht erkennen. In der Regel sollten Sie eine kompromittierte Maschine von Grund auf neu zu installieren.
