2
Quel est le meilleur moyen de détecter et de supprimer, si nécessaire, un rootkit trouvé sur votre machine?Détecter et supprimer le Rootkit
A
Répondre
4
SysInternals plus mis à jour rootkitrevealer il y a quelques années.
La seule façon de détecter un rootkit est de faire une comparaison en ligne des fichiers installés et les métadonnées du système de fichiers à partir d'une liste de confiance des fichiers connus et leurs paramètres. De toute évidence, vous devez faire confiance à la machine à partir de laquelle vous effectuez la comparaison.
Dans la plupart des cas, l'utilisation d'un cdrom de démarrage pour exécuter un scanner de virus constitue une solution pour la plupart des utilisateurs.
Sinon, vous pouvez commencer par une nouvelle installation, démarrer à partir de cdrom, attacher un lecteur externe, lancer un script perl pour trouver et collecter les paramètres (taille, md5, sha1), puis stocker les paramètres. Pour vérifier, exécutez un script Perl pour rechercher et rassembler les paramètres, puis comparez-les aux fichiers stockés.
De plus, vous auriez besoin d'un script perl pour mettre à jour vos paramètres stockés après une mise à jour du système.
--Edit-- Mise à jour pour qu'ils reflètent les techniques disponibles. Si vous obtenez une copie de n'importe quel CD de secours bootable (tel que trinity ou rescuecd) avec une copie à jour du programme "chntpasswd", vous pourrez naviguer et éditer le registre Windows hors ligne.
Couplé avec une copie de la liste de démarrage à partir castlecops.com, vous devriez être en mesure de traquer les points d'exécution les plus courants pour les rootkits les plus courantes. Et gardez toujours une trace de vos fichiers de pilotes et de leurs bonnes versions.
Avec ce niveau de contrôle, votre plus gros problème sera le gâchis de spaghetti votre registre est laissé après avoir supprimé le rootkit et trojans. Habituellement.
- Éditer - et il y a aussi des outils Windows. Mais j'ai décrit les outils que je connais et qui sont gratuits et mieux documentés.
+2
Il est sûr de dire que si le noyau a été compromis, vous ne pouvez rien croire. Rootkit Revealer tente de * déduire * de la présence d'un rootkit en recherchant les différences entre les fichiers et les clés de registre selon Windows, selon ce que dit une analyse manuelle des structures internes de données Windows. Mais ce n'est pas infaillible; faux positifs ** et ** faux négatifs. La seule façon raisonnable de s'en débarrasser est de réinstaller. –
+0
Ce n'est pas ce que la question posée, Boyd. La question a demandé comment détecter et supprimer un rootkit. J'ai décrit certaines des conditions préalables nécessaires pour le faire. Votre commentaire n'est pas pertinent pour le sujet, ou même ma réponse. – Chris
2
Rootkit revealer de SysInternals
+0
Merci. Je vais essayer cette chose. Lis juste à propos de ces trucs de root kit et, mec, ses trucs effrayants. – Taptronic
+0
Aucun problème. Si vous n'avez pas vu les outils SysInternals avant de pouvoir les recommander fortement. Autoruns et ProcessExplorer (également par SysInternals) peuvent aussi vous être utiles. – Ash
+0
Je les lis maintenant. Jolies choses! – Taptronic
2
Rappelez-vous que vous pouvez jamais faire confiance une machine compromise. Vous pouvez penser que vous avez trouvé tous les signes d'un rootkit, mais l'attaquant peut avoir créé des backdoors dans d'autres endroits. Les portes dérobées non standard que vous utilisez ne seront pas détectées. En règle générale, vous devez réinstaller une machine compromise à partir de zéro.
+0
Je pensais ça aussi. S'ils entrent et ont placé ce rootkit, qu'ont-ils fait d'autre? Heureusement, personne n'a été trouvé ici mais sommes-nous sûrs? – Taptronic
Questions connexes
- 1. Créer nouveau et supprimer et insérer le motif
- 2. Comparer fichier et supprimer les doublons
- 3. détecter si NumLock est désactivé et le réactiver
- 4. Supprimer le colon et le convertir en nombre dans XSLT
- 5. détecter le fichier flash corrompu
- 6. Détecter le compilateur aveC#ifdef
- 7. Détecter le téléchargement dans UIWebView
- 8. Rails: dépendants et: supprimer
- 9. Supprimer le répertoire de SVN sans le supprimer du serveur
- 10. Supprimer le répertoire VSMacros80
- 11. Supprimer le bouclage SQL
- 12. UITableView Glisser pour supprimer: comment personnaliser le bouton et l'action?
- 13. requête TSQL à concaténer et de supprimer le préfixe commun
- 14. Supprimer toutes les balises HTML et le formatage (RegEx)
- 15. Détecter le type MIME en PHP
- 16. Comment détecter un périphérique sur le réseau?
- 17. Comment détecter lorsqu'une application perd le focus?
- 18. Détecter le client déconnecté avec HttpListener
- 19. détecter si le bureau est verrouillé
- 20. Détecter le serveur du programme ClickOnce?
- 21. Comment détecter le modèle d'imprimante dans Delphi?
- 22. Détecter le texte supplémentaire sur l'URL
- 23. Comment détecter le type de serveur Web
- 24. Détecter le mode débogage dans C++ géré
- 25. Détecter le lecteur PDF dans MsIE
- 26. Supprimer le retour arrière, supprimer les clés dans MaskedTextbox
- 27. Supprimer le texte de RichTextBox
- 28. Googlemaps - supprimer le marqueur précédent
- 29. Supprimer dans le menu Edition
- 30. Détecter si le segment de ligne croise le carré
Si le commentaire « appartient-sur-serverfault » signifie qu'il n'est pas la programmation liée, je suppose que ce qui est relatif, parce que je l'ai décrit ci-dessous un moyen d'écrire un programme pour détecter les rootkits. – Chris