Jak wykryć rootkity w systemie Windows 10 (szczegółowy przewodnik)
Rootkity są wykorzystywane przez hakerów do ukrywania na urządzeniu trwałego, pozornie niewykrywalnego złośliwego oprogramowania, które po cichu kradnie dane lub zasoby, czasami przez wiele lat. Mogą być również używane w sposób keyloggera, w którym naciśnięcia klawiszy i komunikacja są monitorowane, zapewniając widzowi informacje o prywatności.
Ta konkretna metoda hakerska miała większe znaczenie przed 2006 r., przed wprowadzeniem systemu Microsoft Vista(Microsoft Vista) , który wymagał od dostawców cyfrowego podpisywania wszystkich sterowników komputerów. Kernel Patch Protection ( KPP ) spowodował, że twórcy złośliwego oprogramowania zmienili metody ataków, a dopiero w 2018 r. dzięki operacji oszustwa reklamowego Zacinlo(Zacinlo ad fraud operation) rootkity ponownie znalazły się w centrum uwagi.
Wszystkie rootkity sprzed 2006 roku były oparte na systemie operacyjnym. Sytuacja Zacinlo , rootkita z rodziny złośliwego oprogramowania Detrahere(Detrahere malware) , dała nam coś jeszcze bardziej niebezpiecznego w postaci rootkita opartego na oprogramowaniu układowym. Niezależnie od tego(Regardless) , rootkity stanowią tylko około 1% wszystkich obserwowanych corocznie szkodliwych programów.
Mimo to, ze względu na niebezpieczeństwo, jakie mogą stwarzać, rozsądnie byłoby zrozumieć, jak działa wykrywanie rootkitów, które mogły już przeniknąć do twojego systemu.
Wykrywanie rootkitów w systemie Windows 10(Windows 10) ( dogłębne(In-Depth) )
Zacinlo był w grze przez prawie sześć lat, zanim odkryto, że atakuje platformę Windows 10 . Komponent rootkita był wysoce konfigurowalny i chronił się przed procesami, które uważał za niebezpieczne dla jego funkcjonalności i był zdolny do przechwytywania i deszyfrowania komunikacji SSL .
Szyfrowałby i przechowywał wszystkie dane konfiguracyjne w rejestrze systemu Windows(Windows Registry) , a podczas zamykania systemu Windows zapisywał się ponownie z pamięci na dysk przy użyciu innej nazwy i aktualizował swój klucz rejestru. (Windows)Pomogło mu to uniknąć wykrycia przez standardowe oprogramowanie antywirusowe.
To pokazuje, że standardowe oprogramowanie antywirusowe lub chroniące przed złośliwym oprogramowaniem nie wystarcza do wykrywania rootkitów. Chociaż istnieje kilka programów antymalware najwyższego poziomu, które ostrzegają o podejrzeniu ataku rootkit.
5 kluczowych atrybutów dobrego oprogramowania antywirusowego(The 5 Key Attributes Of a Good Antivirus Software)
Większość znanych obecnie programów antywirusowych obsługuje wszystkie pięć z tych godnych uwagi metod wykrywania rootkitów.
- Analiza oparta na sygnaturach(Signature-based Analysis) — oprogramowanie antywirusowe porównuje zarejestrowane pliki ze znanymi sygnaturami rootkitów. Analiza będzie również poszukiwać wzorców zachowań, które naśladują niektóre działania operacyjne znanych rootkitów, takie jak agresywne korzystanie z portów.
- Wykrywanie przechwytywania(Interception Detection) — system operacyjny Windows wykorzystuje tabele wskaźników do uruchamiania poleceń, o których wiadomo, że zachęcają rootkita do działania. (Windows)Ponieważ rootkity próbują zastąpić lub zmodyfikować wszystko, co jest uważane za zagrożenie, oznacza to, że twój system jest informowany o ich obecności.
- Porównanie danych z wielu źródeł(Multi-Source Data Comparison) — rootkity(Rootkits) , próbując pozostać w ukryciu, mogą zmienić niektóre dane prezentowane w standardowym badaniu. Zwrócone wyniki wywołań systemowych wysokiego i niskiego poziomu mogą zdradzić obecność rootkita. Oprogramowanie może również porównywać pamięć procesu załadowaną do pamięci RAM(RAM) z zawartością pliku na dysku twardym.
- Sprawdzanie integralności(Integrity Check) — każda biblioteka systemowa posiada podpis cyfrowy, który jest tworzony w czasie, gdy system był uważany za „czysty”. Dobre oprogramowanie zabezpieczające może sprawdzać biblioteki pod kątem wszelkich zmian kodu użytego do tworzenia podpisu cyfrowego.
- Porównania rejestru(Registry Comparisons) — większość programów antywirusowych ma je zgodnie z ustalonym harmonogramem. Czysty plik zostanie porównany z plikiem klienta w czasie rzeczywistym, aby określić, czy klient jest lub zawiera niechciany plik wykonywalny (.exe).
Wykonywanie skanowania rootkitów(Performing Rootkit Scans)
Przeprowadzenie skanowania w poszukiwaniu rootkitów to najlepsza próba wykrycia infekcji rootkitami. Najczęściej twój system operacyjny nie może samodzielnie zidentyfikować rootkita i stanowi wyzwanie dla określenia jego obecności. Rootkity to mistrzowie szpiegów, którzy niemal na każdym kroku zacierają ślady i potrafią pozostać w ukryciu.
Jeśli podejrzewasz, że na twoim komputerze miał miejsce atak wirusa rootkit, dobrą strategią wykrywania jest wyłączenie komputera i wykonanie skanowania ze znanego czystego systemu. Pewnym sposobem na zlokalizowanie rootkita na twoim komputerze jest analiza zrzutu pamięci. Rootkit nie może ukryć instrukcji, które przekazuje systemowi, gdy wykonuje je w pamięci komputera.
Używanie WinDbg do analizy złośliwego oprogramowania(Using WinDbg For Malware Analysis)
Microsoft Windows dostarczył własne wielofunkcyjne narzędzie do debugowania, które może być używane do wykonywania skanowań debugujących w aplikacjach, sterownikach lub samym systemie operacyjnym. Będzie debugować kod trybu jądra i trybu użytkownika, pomaga analizować zrzuty awaryjne i badać rejestry procesora .(CPU)
Niektóre systemy Windows będą dostarczane z pakietem WinDbg . Te bez oprogramowania będą musiały pobrać go ze sklepu Microsoft Store(Microsoft Store) . WinDbg Preview to nowocześniejsza wersja WinDbg , zapewniająca przyjemniejsze dla oka wizualizacje, szybsze okna, pełne skrypty oraz te same polecenia, rozszerzenia i przepływy pracy, co oryginał.
Jako minimum możesz użyć WinDbg do analizy zrzutu pamięci lub awarii, w tym niebieskiego ekranu (Blue Screen)śmierci(Death) ( BSOD ) . Na podstawie wyników możesz szukać wskaźników ataku złośliwego oprogramowania. Jeśli uważasz, że jeden z twoich programów może być utrudniony przez obecność złośliwego oprogramowania lub zużywa więcej pamięci niż jest to wymagane, możesz utworzyć plik zrzutu i użyć WinDbg , aby go przeanalizować.
Kompletny zrzut pamięci może zająć znaczną ilość miejsca na dysku, więc zamiast tego może być lepiej wykonać zrzut w trybie jądra(Kernel-Mode) lub zrzut małej pamięci . (Memory)Zrzut w trybie jądra będzie zawierał wszystkie informacje o wykorzystaniu pamięci przez jądro w momencie awarii. Zrzut małej pamięci(Memory) będzie zawierał podstawowe informacje o różnych systemach, takich jak sterowniki, jądro i inne, ale jest mały w porównaniu.
Małe zrzuty pamięci(Memory) są bardziej przydatne w analizie przyczyn wystąpienia BSOD . Do wykrywania rootkitów bardziej pomocna będzie pełna wersja lub wersja jądra.
Tworzenie pliku zrzutu w trybie jądra(Creating A Kernel-Mode Dump File)
Plik zrzutu trybu jądra(Kernel-Mode) można utworzyć na trzy sposoby:
- Włącz plik zrzutu z Panelu sterowania(Control Panel) , aby system mógł sam się zawiesić
- Włącz plik zrzutu z Panelu sterowania(Control Panel) , aby wymusić awarię systemu
- Użyj narzędzia do debugowania, aby utworzyć je dla siebie
Pojedziemy z wyborem numer trzy.
Aby wykonać niezbędny plik zrzutu, wystarczy wprowadzić następujące polecenie w oknie poleceń (Command)WinDbg .
Zastąp FileName odpowiednią nazwą pliku zrzutu i znakiem „?” z f . Upewnij się, że „f” jest małymi literami, w przeciwnym razie utworzysz inny rodzaj pliku zrzutu.
Po uruchomieniu debuggera (pierwsze skanowanie zajmie sporo minut), zostanie utworzony plik zrzutu i będziesz mógł przeanalizować swoje wyniki.
Zrozumienie tego, czego szukasz, na przykład użycia pamięci ulotnej ( RAM ), w celu określenia obecności rootkita, wymaga doświadczenia i testów. Możliwe jest, choć nie jest to zalecane dla nowicjuszy, przetestowanie technik wykrywania złośliwego oprogramowania na aktywnym systemie. Aby to zrobić, ponownie będziesz potrzebować specjalistycznej wiedzy i dogłębnej wiedzy na temat działania WinDbg , aby przypadkowo nie wdrożyć żywego wirusa do twojego systemu.
Istnieją bezpieczniejsze, bardziej przyjazne dla początkujących sposoby na wykrycie naszego dobrze ukrytego wroga.
Dodatkowe metody skanowania(Additional Scanning Methods)
Ręczne wykrywanie i analiza behawioralna to również niezawodne metody wykrywania rootkitów. Próba odkrycia lokalizacji rootkita może być poważnym problemem, więc zamiast kierować się na sam rootkit, możesz zamiast tego szukać zachowań podobnych do rootkita.
Możesz szukać rootkitów w pobranych pakietach oprogramowania, korzystając z opcji instalacji Zaawansowanej(Advanced) lub Własnej(Custom) podczas instalacji. Musisz poszukać wszelkich nieznanych plików wymienionych w szczegółach. Pliki te należy wyrzucić lub można szybko wyszukać w Internecie wszelkie odniesienia do złośliwego oprogramowania.
Zapory sieciowe i raporty z ich rejestrowania to niezwykle skuteczny sposób na wykrycie rootkita. Oprogramowanie powiadomi Cię, jeśli Twoja sieć jest sprawdzana, i przed instalacją powinno poddać kwarantannie wszelkie nierozpoznawalne lub podejrzane pliki do pobrania.
Jeśli podejrzewasz, że rootkit może już być na twoim komputerze, możesz zagłębić się w raporty rejestrowania zapory i poszukać wszelkich nietypowych zachowań.
Przeglądanie raportów rejestrowania zapory(Reviewing Firewall Logging Reports)
Będziesz chciał przejrzeć swoje bieżące raporty rejestrowania zapory, dzięki czemu aplikacja typu open source, taka jak IP Traffic Spy , z funkcjami filtrowania dzienników zapory, będzie bardzo przydatnym narzędziem. Raporty pokażą Ci, co należy zobaczyć w przypadku ataku.
Jeśli masz dużą sieć z samodzielną zaporą sieciową filtrującą ruch wychodzący, Szpieg ruchu IP(IP Traffic Spy) nie będzie potrzebny. Zamiast tego powinieneś być w stanie zobaczyć pakiety przychodzące i wychodzące do wszystkich urządzeń i stacji roboczych w sieci za pośrednictwem dzienników zapory.
Niezależnie od tego, czy pracujesz w domu, czy w małej firmie, możesz użyć modemu dostarczonego przez dostawcę usług internetowych(ISP) lub, jeśli masz taki, osobistej zapory lub routera, aby wyświetlić dzienniki zapory. Będziesz mógł zidentyfikować ruch dla każdego urządzenia podłączonego do tej samej sieci.
Korzystne może być również włączenie plików dziennika zapory systemu Windows(Windows Firewall Log) . Domyślnie plik dziennika jest wyłączony, co oznacza, że nie są zapisywane żadne informacje ani dane.
- Aby utworzyć plik dziennika, otwórz funkcję Uruchom(Run) , naciskając Windows key + R .
- Wpisz wf.msc w polu i naciśnij Enter .
- W oknie Zapora systemu Windows(Windows Firewall) i zabezpieczenia zaawansowane(Advanced Security) zaznacz opcję „Zapora systemu Windows Defender z zabezpieczeniami zaawansowanymi(Advanced Security) na komputerze lokalnym” w menu po lewej stronie. W menu po prawej stronie w sekcji „Działania” kliknij Właściwości(Properties) .
- W nowym oknie dialogowym przejdź do zakładki „Profil prywatny” i wybierz Dostosuj(Customize) , którą można znaleźć w sekcji „Logowanie”.
- Nowe okno pozwoli Ci wybrać, jak duży plik dziennika ma zostać zapisany, gdzie chcesz go wysłać i czy rejestrować tylko odrzucone pakiety, udane połączenie lub jedno i drugie.
- Odrzucone(Dropped) pakiety to te, które Zapora systemu Windows(Windows Firewall) zablokowała w Twoim imieniu.
- Domyślnie wpisy dziennika Zapory systemu Windows(Windows Firewall) przechowują tylko ostatnie 4 MB danych i można je znaleźć w %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
- Pamiętaj, że zwiększenie limitu rozmiaru na wykorzystanie danych w dziennikach może wpłynąć na wydajność komputera.
- Po zakończeniu naciśnij OK .
- Następnie powtórz te same kroki, które właśnie wykonałeś w zakładce "Profil prywatny", tylko tym razem w zakładce "Profil publiczny".
- Logi będą teraz generowane zarówno dla połączeń publicznych, jak i prywatnych. Możesz przeglądać pliki w edytorze tekstu, takim jak Notatnik(Notepad) , lub importować je do arkusza kalkulacyjnego.
- Możesz teraz eksportować pliki dzienników do programu parsera bazy danych, takiego jak IP Traffic Spy , aby filtrować i sortować ruch w celu łatwej identyfikacji.
Miej oko na wszystko, co nietypowe w plikach dziennika. Nawet najmniejsza awaria systemu może wskazywać na infekcję rootkitem. Coś w stylu nadmiernego wykorzystania procesora(CPU) lub przepustowości, gdy nie używasz niczego zbyt wymagającego lub w ogóle, może być główną wskazówką.
Related posts
Pobierz przewodniki Windows 10 dla początkujących od Microsoft
Jak korzystać z komputera z systemem Windows 10 — samouczek podstawowy i wskazówki dla początkujących
Pobierz przewodnik po atramentach systemu Windows dla systemu Windows 10 od firmy Microsoft
Pobierz przewodniki Windows 10 dla początkujących od Microsoft
Przewodnik po ustawieniach zasad grupy dla systemu Windows 10
Wyłącz ekran blokady w systemie Windows 10 [PRZEWODNIK]
Przewodnik po Menedżerze zadań Windows 10 – część I
Nie można połączyć się z usługą Xbox Live; Napraw problem z siecią Xbox Live w systemie Windows 10
Pobierz przewodniki Windows 10 dla początkujących od Microsoft
Jak otworzyć pliki .aspx na komputerze z systemem Windows 10
Łatwe uruchamianie plików za pomocą myLauncher na komputery z systemem Windows 10
Jak edytować plik Hosts w systemie Windows 10 [PRZEWODNIK]
Jak zainstalować NumPy za pomocą PIP w systemie Windows 10?
Wyłącz ekran dotykowy w systemie Windows 10 [PRZEWODNIK]
Przewodnik OTT dotyczący kopii zapasowych, obrazów systemu i odzyskiwania w systemie Windows 10
Skróty klawiaturowe w systemie Windows 10: najlepszy przewodnik
Co to jest pakiet aktywacyjny w systemie Windows 10?
3 najlepsze aplikacje Reddit dla systemu Windows 10, które są dostępne w Sklepie Windows
Co to jest funkcja Control Flow Guard w systemie Windows 10 — jak ją włączyć lub wyłączyć?
Spraw, aby Firefox wyświetlał sterowanie multimediami na ekranie blokady systemu Windows 10