루트킷 감지 및 제거 [닫기]

Question

컴퓨터에서 발견된 루트킷을 탐지하고 필요한 경우 제거하는 가장 좋은(무료 또는 저렴한) 방법은 무엇입니까?

Answer 1

SysInternals는 몇 년 전에 RootKit Revealer 업데이트를 중단했습니다.

루트킷을 탐지하는 유일한 확실한 방법은 알려진 파일 및 해당 매개변수의 신뢰할 수 있는 목록에서 설치된 파일과 파일 시스템 메타데이터를 오프라인으로 비교하는 것입니다.당연히 비교를 실행하는 컴퓨터를 신뢰해야 합니다.

대부분의 상황에서는 부팅 CDROM을 사용하여 바이러스 스캐너를 실행하는 것이 대부분의 사람들에게 효과적입니다.

그렇지 않으면 무엇이든 새로 설치하여 시작하고, CDROM에서 부팅하고, 외부 드라이브를 연결하고, Perl 스크립트를 실행하여 매개변수(크기, md5, sha1)를 찾아 수집한 다음 매개변수를 저장할 수 있습니다.

확인하려면 Perl 스크립트를 실행하여 매개변수를 찾아 수집한 다음 저장된 매개변수와 비교하세요.

또한 시스템 업데이트 후 저장된 매개변수를 업데이트하려면 Perl 스크립트가 필요합니다.

-EDIT- 이용 가능한 기술을 반영하도록 이것을 업데이트합니다."chntpasswd" 프로그램의 최신 복사본이 포함된 부팅 가능한 복구 CD(예: trinity 또는rescuecd)의 복사본을 얻으면 오프라인에서 Windows 레지스트리를 검색하고 편집할 수 있습니다.

castlecops.com의 시작 목록 사본과 함께 가장 일반적인 루트킷에 대한 가장 일반적인 실행 지점을 추적할 수 있습니다.그리고 항상 드라이버 파일과 좋은 버전이 무엇인지 추적하십시오.

이러한 수준의 제어를 사용하면 가장 큰 문제는 루트킷과 트로이 목마를 삭제한 후 레지스트리가 엉망이 되는 것입니다.대개.

- 편집- Windows 도구도 있습니다.그러나 나는 나에게 익숙하고 무료이며 더 잘 문서화되어 있는 도구에 대해 설명했습니다.

Answer 2

루트킷 공개자 SysInternals에서

Answer 3

당신이 할 수 있다는 것을 기억하십시오 믿지마 손상된 기계.루트킷의 모든 징후를 찾았다고 생각할 수도 있지만 공격자가 다른 위치에 백도어를 만들었을 수도 있습니다.사용하는 도구가 탐지하지 못하는 비표준 백도어.일반적으로 손상된 시스템을 다시 설치해야 합니다. 기스로부터.