Как защититься от руткитов
Rootkit-средство — это набор программных инструментов, которые устанавливает нарушитель на компьютер-жертву, причем жертва обычно ничего об этом не подозревает. Обычно хакерам удается установить rootkit-средства, используя слабости «незалатанных» (unpatched) компьютерных систем, или даже полностью укрепленных систем, на которых работают потенциально уязвимые службы (такие как Microsoft Exchange, SQL Server или Active Directory) без защиты программного или аппаратного межсетевого фильтра (firewall). Rootkit-средства являются особенно коварными, потому что проектируются так, чтобы об их инсталляции на компьютер пользователя, тот ничего не знал. Методы, которые использует rootkit-средство, чтобы скрыть себя от пользователя могут также сделать его необнаружимым традиционными методами, например, антивирусными или даже антишпионскими утилитами.
Сканирование компьютера на наличие rootkit-средств
Одним из лучших инструментов обнаружения rootkit-средств является RootkitRevealer компании Sysinternals. Эта утилита может работать как с графическим интерфейсом, так и из командной строки. Учетная запись пользователя, которая используется для работы с RootkitRevealer, должна иметь, как минимум, следующий уровень полномочий:
- создание резервных копий каталогов и файлов;
- загрузка драйверов;
- выполнение задач обслуживания тома (Windows ХР и более поздние версии).
Необходимо запускать RootkitRevealer GUI с локальной консоли. Из него можно выполнять сканирование локального компьютера. По умолчанию установлены следующие необязательные (optional) параметры сканирования:
- Hide NTFS Metadata Files (Скрывать файлы метаданных NTFS). Этот параметр указывает программе RootkitRevealer, что не нужно выводить стандартные файлы метаданных NTFS, так как эти файлы являются по умолчанию скрытыми от Windows API.
- Scan Registry (Сканировать реестр). Этот параметр информирует Rootkit-Revealer, о том, что необходимо, кроме файловой системы, просканировать реестр на наличие любых аномалий.
Для выполнения сканирования локального жесткого диска, просто щелкните по File | Scan.