Detectar y eliminar Rootkit [cerrado]
https://stackoverflow.com/questions/107017
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Cuál es la mejor forma (con suerte, gratuita o económica) de detectar y luego, si es necesario, eliminar un rootkit encontrado en su máquina?
Solución
SysInternals dejó de actualizar RootKit Revealer hace un par de años.
La única forma segura de detectar un rootkit es realizar una comparación fuera de línea de los archivos instalados y los metadatos del sistema de archivos a partir de una lista confiable de archivos conocidos y sus parámetros.Obviamente, debes confiar en la máquina desde la que realizas la comparación.
En la mayoría de las situaciones, utilizar un CDROM de arranque para ejecutar un escáner de virus es suficiente para la mayoría de las personas.
De lo contrario, puede comenzar con una instalación nueva de lo que sea, iniciarlo desde un CDROM, conectar una unidad externa, ejecutar un script en Perl para buscar y recopilar parámetros (tamaño, md5, sha1) y luego almacenar los parámetros.
Para comprobarlo, ejecute un script en Perl para buscar y recopilar parámetros, luego compárelos con los almacenados.
Además, necesitaría un script en Perl para actualizar los parámetros almacenados después de una actualización del sistema.
--Edit-Actualización de esto para reflejar las técnicas disponibles.Si obtiene una copia de cualquier CD de rescate de arranque (como Trinity o RescueCD) con una copia actualizada del programa "chntpasswd", podrá explorar y editar el registro de Windows sin conexión.
Junto con una copia de la lista de inicio de castlecops.com, debería poder rastrear los puntos de ejecución más comunes para los rootkits más comunes.Y siempre realice un seguimiento de los archivos de sus controladores y de cuáles son las buenas versiones.
Con ese nivel de control, su mayor problema será el lío de espaguetis que quedará en su registro después de eliminar el rootkit y los troyanos.Generalmente.
- Editar- y también hay herramientas de Windows.Pero describí las herramientas con las que estoy familiarizado, que son gratuitas y están mejor documentadas.
Otros consejos
Revelador de rootkits de SysInternals
Recuerda que puedes nunca confíes una máquina comprometida.Puede pensar que encontró todos los signos de un rootkit, pero es posible que el atacante haya creado puertas traseras en otros lugares.Puertas traseras no estándar que las herramientas que utiliza no detectarán.Como regla general, debes reinstalar una máquina comprometida. desde cero.
