ルートキットの検出と削除 [終了]

Question

マシン上で見つかったルートキットを検出し、必要に応じて削除するための最良の (できれば無料または安価な) 方法は何ですか?

Answer 1

SysInternals は数年前に RootKit Revealer の更新を停止しました。

ルートキットを検出する唯一の確実な方法は、既知のファイルとそのパラメータの信頼できるリストから、インストールされているファイルとファイルシステムのメタデータをオフラインで比較することです。明らかに、比較を実行しているマシンを信頼する必要があります。

ほとんどの場合、ブート CDROM を使用してウイルス スキャナを実行すれば、ほとんどの人にとってうまくいきます。

それ以外の場合は、何かを新規インストールして CDROM から起動し、外部ドライブを接続し、Perl スクリプトを実行してパラメータ (サイズ、md5、sha1) を検索して収集し、パラメータを保存することができます。

確認するには、Perl スクリプトを実行してパラメータを検索および収集し、保存されているパラメータと比較します。

また、システムの更新後に保存されたパラメータを更新するには、Perl スクリプトが必要です。

-edit--これを更新して利用可能な手法を反映します。プログラム「chntpasswd」の最新コピーが含まれるブート可能なレスキュー CD (trinity やrescuecd など) のコピーを入手すると、Windows レジストリをオフラインで参照および編集できます。

Castlecops.com からのスタートアップ リストのコピーと組み合わせると、最も一般的なルートキットの最も一般的な実行ポイントを追跡できるはずです。また、ドライバー ファイルと適切なバージョンも常に追跡してください。

このレベルの制御では、最大の問題は、ルートキットとトロイの木馬を削除した後にレジストリがスパゲッティ状に残ることになります。いつもの。

- 編集 - また、Windowsツールもあります。ただし、私が使い慣れた、無料で文書化されているツールについて説明しました。

Answer 2

ルートキット暴露者 SysInternals より

Answer 3

できることを覚えておいてください 信頼することはありません 侵害されたマシン。ルートキットの兆候をすべて見つけたと思っているかもしれませんが、攻撃者は他の場所にバックドアを作成している可能性があります。使用するツールでは検出できない非標準のバックドア。原則として、侵害されたマシンは再インストールする必要があります ゼロから。