RootkitRevealer - поиск руткитов

Как защититься от руткитов

Rootkit-средство — это набор программных инст­рументов, которые устанавливает нарушитель на компьютер-жертву, причем жертва обычно ничего об этом не подозревает. Обычно хакерам удается устано­вить rootkit-средства, используя слабости «незалатанных» (unpatched) компьютерных систем, или даже полностью укрепленных систем, на которых рабо­тают потенциально уязвимые службы (такие как Microsoft Exchange, SQL Server или Active Directory) без защиты программного или аппаратного меж­сетевого фильтра (firewall). Rootkit-средства являются особенно коварными, потому что проектируются так, чтобы об их инсталляции на компьютер поль­зователя, тот ничего не знал. Методы, которые использует rootkit-средство, чтобы скрыть себя от пользователя могут также сделать его необнаружимым традиционными методами, например, антивирусными или даже антишпион­скими утилитами.

Сканирование компьютера на наличие rootkit-средств

Одним из лучших инструментов обнаружения rootkit-средств является RootkitRevealer компании Sysinternals. Эта утилита может работать как с графическим интерфейсом, так и из командной строки. Учетная запись пользова­теля, которая используется для работы с RootkitRevealer, должна иметь, как минимум, следующий уровень полномочий:

  • создание резервных копий каталогов и файлов;
  • загрузка драйверов;
  • выполнение задач обслуживания тома (Windows ХР и более поздние версии).

Необходимо запускать RootkitRevealer GUI с локальной консоли. Из него можно выполнять сканирование локального компьютера. По умолчанию ус­тановлены следующие необязательные (optional) параметры сканирования:

  • Hide NTFS Metadata Files (Скрывать файлы метаданных NTFS). Этот параметр указывает программе RootkitRevealer, что не нужно выводить стандартные файлы метаданных NTFS, так как эти файлы являются по умолчанию скрытыми от Windows API.
  • Scan Registry (Сканировать реестр). Этот параметр информирует Rootkit-Revealer, о том, что необходимо, кроме файловой системы, просканиро­вать реестр на наличие любых аномалий.

Для выполнения сканирования локального жесткого диска, просто щелк­ните по File | Scan.

RootkitRevealer

2016  Командная строка Windows  
top Яндекс.Метрика