Parhaat ilmaiset rootkit-poisto-, tunnistus- ja skanneriohjelmat
Mikä on rootkit-haittaohjelma?
Rootkit on erityisen ilkeä haittaohjelma, joka ei toimi kuten tyypillinen virus. Rootkit-ohjelmistot asettuvat käyttöjärjestelmän ytimeen; yleensä ytimen tasolla tai sen alapuolella. Tämä tekee niistä erittäin vaikea havaita ja joskus mahdotonta poistaa. Tietyt virustorjuntaohjelmat ovat erikoistuneet rootkit-pakettien havaitsemiseen ja poistamiseen. Alla luetellaan viisi parasta anti-rootkit-ohjelmaa.
Sisältö [ piilottaa ]
- Mikä on rootkit-haittaohjelma?
- Taustaa miksi rootkitit ovat niin pahoja
- Rootkit-tyypit
- Mistä rootkitit tulevat?
- 5 ilmaista rootkit-poisto-, tunnistus- ja skanneriohjelmaa
- Suojaa järjestelmiäsi
Taustaa miksi rootkitit ovat niin pahoja
Päivän aikana käytät todennäköisesti monia erilaisia ohjelmia tietokoneellasi. Eri luokat ohjelmat tarvitsevat erilaisia käyttöoikeuksia voidakseen tehdä työnsä. Käyttöjärjestelmän sydän,ydin, tarvitsee täydellisen hallinnan jokaiseen tietokoneen laitteistoon ja ohjelmistoon voidakseen tehdä työnsä. Toisaalta sovellukset, joiden kanssa me ihmiset olemme suoraan vuorovaikutuksessa, kuten tekstinkäsittelyohjelmat ja verkkoselaimet, tarvitsevat suhteellisen vähän hallintaa tehdäkseen työnsä. Käsitteellisesti nämä eri ohjaustasot on kuvattu kuvassasuojarengasmalli, jossa on kaikkivoipa ydinRing Zeroja pelkät ihmisen sovellukset ulkorenkaissa. Rootkit-paketit asentuvat yleensä Ring Zeroon ja perivät siten korkeimman mahdollisen pääsyn.
Rootkit on saanut nimensä, koska ensimmäiset rootkitit kohdistuivat Unixin kaltaisiin käyttöjärjestelmiin. Näiden järjestelmien etuoikeutetuin käyttäjä on nimettyjuuri, eli rootkit on sovellus, joka tarjoaa pääkäyttäjän oikeudet järjestelmään. Nimi jäi kiinni käyttöjärjestelmästä riippumatta, ja nykyään jopa Windowsin rootkitissä on tämä nimi, vaikka järjestelmässä ei ole tällaista pääkäyttäjää.
Vaikka on esimerkkejä hyödyllisistä tai ainakin hyvänlaatuisista rootkit-ohjelmista, niitä pidetään yleensä haitallisina. Kun rootkit on asennettu, se pystyy muuttamaan käytännössä kaikkia käyttöjärjestelmän osia ja piilottamaan sen olemassaolon useimmilta virustorjuntaohjelmilta.Ytimen rootkititon erittäin vaikea havaita, ja joskus ainoa tapa varmistaa tietokoneen puhtaus on asentaa käyttöjärjestelmä kokonaan uudelleen. Uudelleenasennus ei silti auta vielä ilkeämpiä vastaanfirmware rootkititjotka voivat elää järjestelmän BIOSissa ja selviytyä käyttöjärjestelmän uudelleenasennuksista.
Rootkit-tyypit
Ytimen rootkitit
Ytimen rootkitit toimivat Ring Zerossa ja ne ruiskutetaan ytimeen. Käytännössä tämä tarkoittaa ydinmoduuleja Linuxille, macOS:lle ja muille Unix-tyyppisille käyttöjärjestelmille sekä Dynamic Link Libraries (DLL) -kirjastoja Windows-järjestelmille. Ne toimivat samalla tasolla ja suojausasennossa kuin itse ydin, mikä tekee niistä lähes mahdotonta havaita tai poistaa, jos ne havaitaan.
Käyttäjätilan rootkitit
Käyttöjärjestelmän osia, joihin päiväsi aikana käyttämäsi ohjelmat pääsevät, kutsutaan yhteisestikäyttäjätilaataikäyttäjän maa. Nämä termit tarkoittavat yksinkertaisesti sitä, että kyseiset muisti- ja tiedostoalueet ovat etuoikeutettomia ja sovellukset voivat käyttää niitä ilman korkeita käyttöoikeuksia.
Määritelmän mukaan rootkitillä, jotka toimivat käyttäjätilassa, ei ole ytimen pääsyä, joten ne ovat epäedullisessa asemassa havaitsemisen välttämisessä. Käyttäjätilan rootkitit on yleensä kohdistettu tiettyihin sovelluksiin. Kun tämä sovellus suoritetaan, rootkit korjaa laillisen sovelluksen käyttäjätilan muistiin ja kaappaa sen toiminnan. Tämän tyyppinen rootkit on helpompi ottaa käyttöön, mutta se on myös helpompi havaita ja alttiimpi luovuttamaan itsensä aiheuttamalla järjestelmän kaatumisia.
Bootkit
Nämä ovat rootkit-paketteja, jotka ovat käynnistyviä. Tietokoneesi käyttöjärjestelmä on käynnistettävä, muuten tietokone ei voi käynnistyä. Tyypillinen rootkit lataa itsensä käyttöjärjestelmän käynnistyksen aikana. Bootkit ei tarvitse käyttöjärjestelmää tehdäkseen sitä varten, koska bootkit voi käynnistyä kokonaan itsestään ja ladata käyttöjärjestelmän sen jälkeen.
Bootkit-ohjelmien yleinen tarkoitus on horjuttaa asioita, kuten digitaalisen allekirjoituksen vahvistaminen ydinmoduuleissa. Tämä antaa hyökkääjälle mahdollisuuden ladata piilossa muokattuja moduuleja ja tiedostoja käynnistyksen aikana, mikä mahdollistaa pääsyn koneeseen.
Laiteohjelmiston rootkitit
Laiteohjelmisto on termi jollekin, joka sijaitsee laitteiston ja ohjelmiston välissä. Laitteisto on jotain, joka on kiinnitettävä fyysisesti tietokoneeseen, kun taas ohjelmistot ovat vain koodia, joka viedään tietokoneeseen, kuten tekstinkäsittelyohjelma. Laiteohjelmisto on laitteisto, yleensä jonkinlainen siru, johon voidaan ladata ohjelmistoja. Toisin kuin tavallisessa ohjelmistoasennuksessa, joka vain lisää koodia tietokoneeseen, laiteohjelmiston päivittäminen sisältää yleensä sirun koko koodipohjan korvaamisen yhdellä iskulla prosessilla, joka tunnetaan ns.vilkkuu.
Tämän tyyppinen rootkit näkyy yleensä tietokoneiden BIOSeissa tai tarkoitukseen liittyvissä laitteissa, kuten reitittimissä ja matkapuhelimissa. Koska rootkit elää laiteohjelmistossa, tietokoneen kiintolevyn alustaminen ja käyttöjärjestelmän uudelleenasennus eivät vaikuta eikä poista rootkitiä.
Mistä rootkitit tulevat?
Haitalliset hyökkääjät asentavat rootkitit yleensä samojen yleisten vektoreiden kautta kuin kaikki haittaohjelmat. Tietojenkalastelu on edelleen erittäin onnistunut tapa huijata käyttäjiä asentamaan rootkit. Vaikka käyttäjiä kehotetaan hyväksymään rootkitin asennus, monet meistä ovat turtuneet näille jatkuville kehotteille ja sallivat sen.
Harvemmissa tapauksissa hyvämaineinen yritys voi sisällyttää rootkitin omaan ohjelmistoonsa. Vuonna 2005 laajalti julkistettuja kauheita päätöksiä Sony BMG sisälsi rootkitin CD-levyihinsä kopioimisen estämiseksi. Tämä johti useiden miljoonien dollarien ryhmäkanteen tappioon rootkitin luontaisen epävarmuuden vuoksi, joka ylitti sen käyttötarkoituksensa. Digital Rights Management (DRM) -työkalu .
5 ilmaista rootkit-poisto-, tunnistus- ja skanneriohjelmaa
Jotkut anti-rookit-ohjelmat, kuten Kasperskyn TDSSKiller, kohdistavat tiettyyn rootkit-ohjelmaan, mutta käsittelemme yleisempiä rootkit-ilmaisimia. Jos olet kadehdittavassa tilanteessa, että olet jo saanut tunnistetun rootkit-tartunnan, sinun kannattaa ehkä etsiä, onko virustorjuntatoimittajalla tietty työkalu kyseiselle rootkitille.
chkrootkit (Check Rootkit)
Plussat:Voidaan ajaa tartunnan jälkeen
Haittoja:Ei Windows-tukea.
Tuetut käyttöjärjestelmät:Linux, FreeBSD, OpenBSD, NetBSD, Solaris, HP-UX, Tru64, BSDI ja macOS
'Check Rootkit' ( chkrootkit ) on avoimen lähdekoodin rootkit-ilmaisin, joka on ollut olemassa jo pitkään. Tämän artikkelin nykyinen versio julkaistiin toukokuussa 2017, ja se pystyy havaitsemaan 69 erilaista rootkitiä.
Tarvitset kokeneen järjestelmänvalvojan chkrootkitin tulosten tulkitsemiseen. Lisäksi nimensä mukaisesti chkrootkit tarkistaa vain rootkitit; se ei voi poistaa niitä. Se tutkii järjestelmätiedostoistasi yleisiä rootkit-merkkejä, kuten:
Äskettäin poistetut lokitiedostot
Lokitiedostot ovat loistavia työkaluja järjestelmälle tapahtuneiden analysointiin. Koska rootkitillä on kuitenkin mahdollisuus muokata mitä tahansa järjestelmätiedostoa, se voi muuttaa lokitiedoston sisältöä tai poistaa lokit kokonaan. chkrootkit yrittää havaita, onko useita tärkeitä kirjautumisia tallentavia lokitiedostoja, kuten wtmp ja utmp, muutettu tai äskettäin tyhjennetty kokonaan.
Verkkoliitäntöjen tila
TCP/IP-verkko käytännössä välittää paketteja ympäri Internetiä. Matkan jokaisessa vaiheessa jokainen paketti osoitetaan joko IP (Internet Protocol) -osoitteeseen tai paikalliseen median pääsynhallintaosoitteeseen (MAC). Internetin tai muiden verkkojen reitittimet käyttävät paketin kohde-IP-osoitetta saadakseen sen oikeaan verkkoon. Kun paketti saapuu kohdeverkkoon, MAC-osoitetta käytetään lopulliseen toimitukseen oikealle verkkokortille taiverkkoliitäntäohjain (NIC).
Normaalin toiminnan aikana verkkokortti hyväksyy vain sen omaan MAC-osoitteeseen osoitetut paketit tai yleislähetysliikennettä ja hylkää kaikki muut paketit. On mahdollista laittaa verkkoliitäntäsiveetöntila, mikä tarkoittaa, että verkkoliitäntä hyväksyy kaikki paketit riippumatta siitä, mihin verkkokorttiin paketti on osoitettu.
Promiscuous-tilaa käytetään tyypillisesti vain verkkoanalyysin suorittamiseenpaketin nuuskimistatai muut liikennetarkastukset. Olisi epätavallista, että verkkokortti toimisi tällä tavalla päivittäisessä käytössä. chkrootkit havaitsee, toimiiko jokin järjestelmän verkkokorteista promiscuous-tilassa.
Ladattavat ydinmoduulitroijalaiset (LKM-troijalaiset)
Kuten aiemmin tässä artikkelissa käsiteltiin, vaikeimmin havaittavissa ja puhdistavissa rootkit-tyypeissä ovat ydinmoduulin rootkitit. Ne toimivat tietokoneen alimmalla tasolla Ring Zerossa. Näillä rootkitillä on samat korkeat käyttöoikeudet kuin itse käyttöjärjestelmän ytimellä. chkrootkitillä on jonkin verran kykyä havaita tämän tyyppinen rootkit.
Aiheeseen liittyvä: Etäkäyttö troijalaiset
rkhunter (Rootkit Hunter)
Plussat:Kypsä tuote
Haittoja:On asennettava esiinfektio
Tuetut käyttöjärjestelmät:Unix-tyyppinen käyttöjärjestelmä, kuten Linux
alkaen rkhunter README: 'Rootkit Hunter on isäntäpohjainen, passiivinen, tapahtuman jälkeinen polkupohjainen työkalu.'Se on suupala, mutta se kertoo meille paljon.
SenisäntäpohjainenTämä tarkoittaa, että se on suunniteltu skannaamaan isäntä, johon se on asennettu, eikä muualla verkossa olevia etäisäntiä.
Tapahtuman jälkeinentarkoittaa, että se ei koveta järjestelmää rootkit-infektiota vastaan. Se voi vain havaita, onko hyökkäys tapahtunut tai käynnissä.
rkhunter havaitsee ensisijaisesti rootkitit etsimällä tunnistamattomia muutoksia merkittävistä tiedostoista. Ennen kuin se voi tunnistaa muutokset, sen on tiedettävä, miltä kaikkien tiedostojen pitäisi näyttää, kun ne ovat puhtaita. Siksi on tärkeää, että rkhunter asennetaan puhtaaseen järjestelmään, jotta se voi määrittää puhtaan lähtötason myöhempiä skannauksia varten. Rkhunterin suorittamisesta jo tartunnan saaneessa järjestelmässä on rajoitettua käyttöä, koska sillä ei ole täydellistä näkymää siitä, miltä puhtaan järjestelmän pitäisi näyttää.
Useimmat virustorjuntaohjelmat käyttävätheuristiikkaajossain määrin, mikä tarkoittaa, että he etsivät asioita, joitanäyttää joltakinviruksia, vaikka se ei erityisesti tunnista kaikkia viruksia. rkhunterilla ei ole kykyä etsiä rootkit-kaltaisia asioita; se onpolkupohjaineneli se voi etsiä vain rootkit-tiedostoja, joista se jo tietää.
OSSEC
Plussat: Aikuinen ohjelmisto, jolla on suuri käyttäjäkunta. Voidaan käyttää tartunnan jälkeen
Haittoja: Tarkoitettu edistyneille käyttäjille; täydellinen isäntätunkeutumisen tunnistusjärjestelmä pelkän rootkit-skannerin sijaan
Tuetut käyttöjärjestelmät: Linux, BSD, Solaris, macOS, AIX (agentti), HP-UX (agentti), Windows XP, 2003-palvelin, Vista, 2008-palvelin, 2012-palvelin (agentti)
OSSEC on Host Intrusion Detection System (HIDS), joka perustettiin avoimen lähdekoodin projektiksi. Sen osti Third Brigade, Inc., jonka puolestaan osti Trend Micro. Trend on nykyinen omistaja ja OSSEC pysyy Free/Libre Open Source Software (FLOSS) -ohjelmistona.
Perusarkkitehtuuri on OSSECjohtajaasennettu Unix-tyyppiselle keskuspalvelimelle, joka sitten puhuu etäpalvelimelleagentitkohdejärjestelmissä. Juuri tämä agenttiarkkitehtuuri mahdollistaa OSSEC:n tukemisen niin monenlaisille käyttöjärjestelmille. Lisäksi voidaan käyttää joitain laitteita, kuten reitittimiä ja palomuurejaagenttitonTämä tarkoittaa, että niihin ei tarvitse asentaa ohjelmistoja, koska niillä on luonnostaan kyky keskustella suoraan OSSEC-päällikön kanssa.
OSSEC:n rootkit-tunnistus on sekoitus tiedostopohjaista analyysiä ja muita testejä koko järjestelmässä . Jotkut OSSEC:n tarkistamista asioista ovat:
- verkkoliitännät promiscuous-tilassa, joita muut työkalut, kuten netstat, eivät raportoi sellaisiksi.
- portit, joita ei ole raportoitu olevan käytössä, mutta joihin OSSEC ei voi sitoutua.
- vertaamalla pid-tunnistustyökalujen tulosta järjestelmätason työkalujen, kuten ps:n, tuottoon.
- epäilyttävien tai piilotettujen tiedostojen havaitseminen.
GMER
Plussat: Voi poistaa joitakin rootkittejä pelkän havaitsemisen sijaan. Voidaan käyttää tartunnan jälkeen.
Haittoja: Vain Windows
Tuetut käyttöjärjestelmät: Windows XP/VISTA/7/8/10
GMER on rootkit-tunnistin ja -poistaja, joka toimii Windows XP/VISTA/7/8/10 -käyttöjärjestelmässä. Se on ollut olemassa vuodesta 2006 ja nykyinen versio tukee 64-bittistä Windows 10:tä. Sen loi ohjelmoija nimeltä Przemysław Gmerek, mikä antaa meille vihjeen sen nimen alkuperästä.
Toisin kuin chkrootkit ja rkhunter, GMER ei voi vain havaita rootkittejä, vaan myös poistaa osan niistä. Avastin kanssa on integroitu GMER-versio! virustorjuntaohjelmisto, joka tarjoaa melko hyvän kokonaissuojan sekä viruksille että rootkit-infektioille.
GMER:llä ei tarvitse olla mitään erityistä tietoa järjestelmästä, jota se skannaa. Tämä tarkoittaa, että se voi olla tapahtuman jälkeinen tarkistus ja havaita rootkitit, vaikka se ei olisi ollut järjestelmässä ennen rootkit-tartuntaa.
Sen sijaan, että GMER vertaisi tiedostoja tai polkuja rootkittien havaitsemiseksi, se keskittyy Windows-keskeisiin artefakteihin, kuten piilotettuihin prosesseihin, piilotettuihin palveluihin ja muokattuihin moduuleihin. Se myös etsiikoukutjotka ovat haitallisia sovelluksia, jotka liittyvät laillisiin prosesseihin piilottaakseen olemassaolonsa.
Avoimen lähdekoodin Tripwire
Haittoja: On asennettava ja alustettava esiinfektio
Plussat: Aikuinen tuote, jolla on suuri käyttäjäkunta
Tuetut käyttöjärjestelmät: Linux-pohjaiset järjestelmät
Avoimen lähdekoodin Tripwire on aisäntäpohjainentunkeutumisen havaitsemisjärjestelmä (HIDS). Kontrastia tässä verrataan averkkoontunkeutumisen havaitsemisjärjestelmä (NIDS). Tripwire skannaa paikallisen tietokoneen tiedostojärjestelmän ja vertaa sen tiedostoja tunnettuihin, hyviin tiedostoihin.
Aivan kuten rkhunter, Tripwire on asennettava puhtaaseen järjestelmään ennen mahdollista tartuntaa. Sitten se skannaa tiedostojärjestelmän ja luo tiivisteitä tai muita tunnistetietoja kyseisessä järjestelmässä olevista tiedostoista. Seuraavat Tripwire-tarkistukset pystyvät sitten poimimaan muutokset kyseisiin tiedostoihin ja varoittamaan järjestelmänvalvojaa näistä muutoksista.
Tripwirestä on kaksi versiota; kaupalliset tuotteet Tripwire, Inc. ja Avoimen lähdekoodin versio jonka alun perin toimitti Tripwire, Inc. vuonna 2000. Kaupallinen versio tarjoaa paljon laajemman valikoiman tuotteita, mukaan lukien kovettamisen, raportoinnin ja tuen muille kuin Linux-käyttöjärjestelmille.
Vaikka Tripwire ei sinänsä ole rootkit-tunnistin, se voi havaita rootkit-toiminnan, joka vaikuttaa järjestelmän tiedostoihin ja muuttaa niitä. Sillä ei ole kykyä poistaa rootkittejä tai edes sanoa varmasti, onko rootkit olemassa. Ammattitaitoisen järjestelmänvalvojan on tulkittava skannaustulokset määrittääkseen, tarvitaanko toimenpiteitä.
Suojaa järjestelmiäsi
Muista, että rootkit on haittaohjelma. Se on todella huono haittaohjelma, mutta se on silti vain haittaohjelma. Parhaat käytännöt, jotka suojaavat järjestelmääsi kaikenlaisilta viruksilta, auttavat tehokkaasti suojaamaan järjestelmäsi myös rootkitiltä:
- Varmista, että käyttäjillä on mahdollisimman vähän käyttöoikeuksia, joita he tarvitsevat työnsä suorittamiseen
- Opeta käyttäjiä välttämään tietojenkalastelun uhreja
- Harkitse USB- ja CD-asemien poistamista käytöstä, jotta ihmiset eivät tuo haittaohjelmia kotoa
- Varmista, että virustorjunta on käynnissä kaikissa järjestelmissä ja se on ajan tasalla
- Käytä palomuuria estämään ei-toivottua liikennettä pääsemästä järjestelmään tai poistumasta siitä
Näiden yleisten vaiheiden lisäksi rootkit-suojaus vaatii ennakoivaa asennetta. Asenna rootkit-tunnistin nyt, alusta se ja käytä sitä vähintään päivittäin, ellei useammin. Vaikka on totta, että jos järjestelmä saa rootkit-tartunnan, järjestelmä on luultavasti roskaa, pahempi tilanne on, että rootkit elää järjestelmissäsi kuukausia tai vuosia tietämättäsi. Rootkit-ohjelmat voivat lähettää arvokkaat tietosi hiljaa paikan päältä ilman aavistustakaan sen tapahtumisesta, kunnes luet siitä aamulehdestä. Jos olet ottanut käyttöön rootkit-tunnistimen, sinulla on hyvät mahdollisuudet saada varoitus, niin pian kuin mahdollista.
Etuoikeus sormusHertzsprung klo Englanninkielinen Wikipedia