Как обнаружить руткиты в Windows 10 (подробное руководство)
Хакеры используют руткиты для сокрытия на вашем устройстве устойчивых, казалось бы, необнаруживаемых вредоносных программ, которые будут незаметно красть данные или ресурсы, иногда в течение нескольких лет. Их также можно использовать в качестве кейлоггера, когда ваши нажатия клавиш и сообщения отслеживаются, предоставляя наблюдателю информацию о конфиденциальности.
Этот конкретный метод взлома был более актуален до 2006 года, до Microsoft Vista , требующей от поставщиков цифровой подписи всех компьютерных драйверов. Защита от исправлений ядра(Kernel Patch Protection) ( KPP ) заставила авторов вредоносных программ изменить свои методы атаки, и только недавно, в 2018 году, с операцией по мошенничеству с рекламой Zacinlo(Zacinlo ad fraud operation) , руткиты снова оказались в центре внимания.
Все руткиты, выпущенные до 2006 года, были ориентированы на операционную систему. Ситуация с Zacinlo , руткитом из семейства вредоносных программ Detrahere(Detrahere malware) , дала нам кое-что еще более опасное в виде руткита на основе прошивки. Несмотря на это(Regardless) , руткиты составляют лишь около одного процента всех вредоносных программ, выводимых ежегодно.
Тем не менее, из-за опасности, которую они могут представлять, было бы разумно понять, как работает обнаружение руткитов, которые, возможно, уже проникли в вашу систему.
Обнаружение руткитов в Windows 10 ( подробно(In-Depth) )
На самом деле Zacinlo(Zacinlo) был в игре почти шесть лет, прежде чем было обнаружено, что он нацелен на платформу Windows 10 . Компонент руткита обладал широкими возможностями настройки и защищал себя от процессов, которые считал опасными для своей функциональности, а также был способен перехватывать и расшифровывать соединения SSL .
Он будет шифровать и хранить все данные своей конфигурации в реестре Windows(Windows Registry) , а во время закрытия Windows перезаписывать себя из памяти на диск, используя другое имя, и обновлять свой ключ реестра. (Windows)Это помогло ему избежать обнаружения вашим стандартным антивирусным программным обеспечением.
Это говорит о том, что стандартного антивирусного или антивредоносного программного обеспечения недостаточно для обнаружения руткитов. Тем не менее, есть несколько программ защиты от вредоносных программ высшего уровня, которые предупредят вас о подозрении на атаку руткитов.
5 ключевых характеристик хорошего антивирусного программного обеспечения(The 5 Key Attributes Of a Good Antivirus Software)
Большинство современных антивирусных программ используют все пять известных методов обнаружения руткитов.
- Анализ на основе сигнатур(Signature-based Analysis) . Антивирусное программное обеспечение сравнивает зарегистрированные файлы с известными сигнатурами руткитов. Анализ также будет искать поведенческие модели, которые имитируют определенные действия известных руткитов, такие как агрессивное использование портов.
- Обнаружение перехвата(Interception Detection) — операционная система Windows использует таблицы указателей для запуска команд, которые, как известно, побуждают руткит действовать. Поскольку руткиты пытаются заменить или модифицировать все, что считается угрозой, это сообщит вашей системе об их присутствии.
- Сравнение данных из нескольких источников(Multi-Source Data Comparison) — руткиты(Rootkits) , пытаясь остаться незамеченными, могут изменять определенные данные, представленные при стандартной проверке. Возвращаемые результаты системных вызовов высокого и низкого уровня могут выдать наличие руткита. Программное обеспечение также может сравнивать память процесса, загруженную в ОЗУ(RAM) , с содержимым файла на жестком диске.
- Проверка целостности(Integrity Check) . Каждая системная библиотека имеет цифровую подпись, созданную в момент, когда система считалась «чистой». Хорошее программное обеспечение для обеспечения безопасности может проверять библиотеки на предмет любых изменений кода, используемого для создания цифровой подписи.
- Сравнение реестров(Registry Comparisons) . Большинство антивирусных программ проводят их по заданному расписанию. Чистый файл будет сравниваться с файлом клиента в режиме реального времени, чтобы определить, является ли клиент незапрошенным исполняемым файлом (.exe) или содержит его.
Выполнение сканирования руткитов(Performing Rootkit Scans)
Выполнение сканирования на наличие руткитов — лучшая попытка обнаружить заражение руткитами. Чаще всего вашей операционной системе нельзя доверять, чтобы она самостоятельно идентифицировала руткит, и это представляет проблему для определения его присутствия. Руткиты — мастера-шпионы, заметающие следы почти на каждом шагу и способные оставаться скрытыми на виду.
Если вы подозреваете, что на вашем компьютере произошла атака руткит-вируса, хорошей стратегией обнаружения будет выключение компьютера и выполнение сканирования из заведомо чистой системы. Надежный способ найти руткит на вашем компьютере — это анализ дампа памяти. Руткит не может скрыть инструкции, которые он дает вашей системе, поскольку он выполняет их в памяти машины.
Использование WinDbg для анализа вредоносных программ(Using WinDbg For Malware Analysis)
Microsoft Windows предоставила собственный многофункциональный инструмент отладки, который можно использовать для выполнения отладочного сканирования приложений, драйверов или самой операционной системы. Он будет отлаживать код режима ядра и пользовательского режима, помогать анализировать аварийные дампы и проверять регистры ЦП .(CPU)
Некоторые системы Windows поставляются с уже установленным WinDbg(WinDbg) . Те, у кого его нет, должны будут загрузить его из Microsoft Store . WinDbg Preview — это более современная версия WinDbg , обеспечивающая более приятные визуальные эффекты, более быстрые окна, полный набор сценариев и те же команды, расширения и рабочие процессы, что и оригинал.
Как минимум, вы можете использовать WinDbg для анализа (WinDbg)дампа(BSOD) памяти или аварийного дампа, включая синий экран (Blue Screen)смерти(Death) ( BSOD ). По результатам вы можете искать индикаторы атаки вредоносного ПО. Если вы чувствуете, что одной из ваших программ может помешать присутствие вредоносного ПО или она использует больше памяти, чем требуется, вы можете создать файл дампа и использовать WinDbg для его анализа.
Полный дамп памяти может занимать значительное место на диске, поэтому лучше выполнить дамп в режиме ядра(Kernel-Mode) или дамп малого объема памяти(Memory) . Дамп режима ядра будет содержать всю информацию об использовании памяти ядром на момент сбоя. Дамп Small Memory будет содержать основную информацию о различных системах, таких как драйверы, ядро и т. д., но по сравнению с ним он крошечный.
Небольшие дампы памяти(Memory) более полезны при анализе причин возникновения BSOD . Для обнаружения руткитов более полезной будет полная версия или версия ядра.
Создание файла дампа режима ядра(Creating A Kernel-Mode Dump File)
Файл дампа режима ядра(Kernel-Mode) можно создать тремя способами:
- Включите файл дампа из панели управления(Control Panel) , чтобы система могла аварийно завершить работу самостоятельно.
- Включите файл дампа из панели управления,(Control Panel) чтобы заставить систему аварийно завершать работу.
- Используйте инструмент отладчика, чтобы создать его для вас
Мы пойдем с выбором номер три.
Чтобы выполнить необходимый файл дампа, вам нужно всего лишь ввести следующую команду в командное(Command) окно WinDbg .
Замените FileName на подходящее имя для файла дампа и «?» с ф(f) . Убедитесь, что буква «f» написана в нижнем регистре, иначе вы создадите файл дампа другого типа.
После того, как отладчик завершит свою работу (первое сканирование займет много минут), будет создан файл дампа, и вы сможете проанализировать свои выводы.
Понимание того, что вы ищете, например использование энергозависимой памяти ( ОЗУ(RAM) ), для определения присутствия руткита, требует опыта и тестирования. Возможно, хотя и не рекомендуется для новичков, протестировать методы обнаружения вредоносных программ на работающей системе. Для этого снова потребуются опыт и глубокие знания о работе WinDbg , чтобы случайно не развернуть живой вирус в вашей системе.
Есть более безопасные и удобные для новичков способы обнаружить нашего хорошо затаившегося врага.
Дополнительные методы сканирования(Additional Scanning Methods)
Ручное обнаружение и поведенческий анализ также являются надежными методами обнаружения руткитов. Попытка обнаружить местоположение руткита может быть серьезной проблемой, поэтому вместо того, чтобы нацеливаться на сам руткит, вы можете вместо этого искать поведение, подобное руткиту.
Вы можете искать руткиты в загруженных пакетах программного обеспечения, используя параметры расширенной(Advanced) или выборочной(Custom) установки во время установки. Что вам нужно искать, так это любые незнакомые файлы, перечисленные в деталях. Эти файлы следует удалить, или вы можете выполнить быстрый поиск в Интернете любых ссылок на вредоносное программное обеспечение.
Брандмауэры и их отчеты о регистрации — невероятно эффективный способ обнаружения руткита. Программное обеспечение уведомит вас, если ваша сеть находится под пристальным вниманием, и перед установкой поместит в карантин любые нераспознаваемые или подозрительные загрузки.
Если вы подозреваете, что на вашем компьютере уже может быть руткит, вы можете погрузиться в отчеты журнала брандмауэра и найти любое необычное поведение.
Просмотр отчетов о регистрации брандмауэра(Reviewing Firewall Logging Reports)
Вы захотите просмотреть свои текущие отчеты о журналах брандмауэра, сделав приложение с открытым исходным кодом, такое как IP Traffic Spy , с возможностями фильтрации журнала брандмауэра, очень полезным инструментом. Отчеты покажут вам, что необходимо увидеть в случае атаки.
Если у вас большая сеть с автономным брандмауэром с фильтрацией исходящего трафика, IP Traffic Spy не понадобится. Вместо этого вы должны иметь возможность видеть входящие и исходящие пакеты на все устройства и рабочие станции в сети через журналы брандмауэра.
Независимо от того, находитесь ли вы дома или в малом бизнесе, вы можете использовать модем, предоставленный вашим интернет- провайдером(ISP) , или, если он у вас есть, персональный брандмауэр или маршрутизатор, чтобы получить журналы брандмауэра. Вы сможете определить трафик для каждого устройства, подключенного к той же сети.
Также может быть полезно включить файлы журнала брандмауэра(Windows Firewall Log) Windows. По умолчанию файл журнала отключен, что означает, что информация или данные не записываются.
- Чтобы создать файл журнала, откройте функцию « Выполнить(Run) », нажав клавишу Windows key + R R.
- Введите wf.msc в поле и нажмите Enter .
- В окне « Брандмауэр Windows(Windows Firewall) и дополнительная безопасность(Advanced Security) » выделите «Брандмауэр Защитника Windows с повышенной безопасностью(Advanced Security) на локальном компьютере» в меню слева. В крайнем правом меню в разделе «Действия» нажмите « Свойства(Properties) » .
- В новом диалоговом окне перейдите на вкладку «Частный профиль» и выберите « Настроить(Customize) », который можно найти в разделе «Ведение журнала».
- Новое окно позволит вам выбрать размер файла журнала для записи, куда вы хотите, чтобы файл был отправлен, и следует ли регистрировать только потерянные пакеты, успешное соединение или и то, и другое.
- Отброшенные(Dropped) пакеты — это те, которые брандмауэр Windows(Windows Firewall) заблокировал от вашего имени.
- По умолчанию записи журнала брандмауэра Windows(Windows Firewall) будут хранить только последние 4 МБ данных, и их можно найти в %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
- Имейте в виду, что увеличение ограничения размера данных для журналов может повлиять на производительность вашего компьютера.
- Нажмите OK , когда закончите.
- Затем повторите те же шаги, которые вы только что выполнили на вкладке «Частный профиль», только на этот раз на вкладке «Общий профиль».
- Журналы теперь будут генерироваться как для общедоступных, так и для частных подключений. Вы можете просмотреть файлы в текстовом редакторе, таком как Блокнот(Notepad) , или импортировать их в электронную таблицу.
- Теперь вы можете экспортировать файлы журналов в программу анализа базы данных, такую как IP Traffic Spy , для фильтрации и сортировки трафика для легкой идентификации.
Следите за чем-либо необычным в файлах журнала. Даже малейший системный сбой может указывать на заражение руткитом. Что-то вроде чрезмерного использования ЦП(CPU) или полосы пропускания, когда вы не используете ничего слишком требовательного или вообще не используете, может быть главной подсказкой.
Related posts
Download Quick Start Guide до Windows 10 от Microsoft
Как использовать Windows 10 PC - Basic Учебное пособие и советы для начинающих
Download Windows Ink Guide для Windows 10 от Microsoft
Знакомства Windows 10 Guide для Employees от Microsoft
Group Policy Settings Reference Guide для Windows 10
Руководство по диспетчеру задач Windows 10 — часть II
Reset Network Data Usage на Windows 10 [Руководство]
Полное руководство по настройкам мыши в Windows 10
Создать Keyboard Shortcut, чтобы открыть ваш любимый Website в Windows 10
Make Firefox display Media Controls на Windows 10 Lock Screen
Быстро Clear All Cache в Windows 10 [Ultimate Guide]
Step-by-Step Guide для установки FFmpeg на Windows 10
Руководство по диспетчеру задач Windows 10 — часть III
Легко запускать файлы с MyLauncher для компьютеров Windows 10
Ultimate Windows 10 WiFi Troubleshooting Guide
Руководство по диспетчеру задач Windows 10 — часть I
Как открыть файлы .aspx на компьютере Windows 10
Watch Цифровое телевидение и слушать Radio на Windows 10 с ProgDVB
Best бесплатно Barcode Scanner software для Windows 10
Не может подключиться к Xbox Live; Fix Xbox Live Networking issue в Windows 10