Rootkity – teorie a detekce.
libproc.a
) nahrazeny, popř. bylo využito možností modulů kernelu.
Jednoduše řečeno, rootkit je program, který se snaží zamaskovat vlastní přítomnost v PC (přítomnost souborů, změn v registru Windows…), popř. přítomnost jiných aplikací v PC (skrývají nežádnoucí aplikace). Dělí se na rootkity s modifikací „cest“ a modifikaci systémových struktur.
Jistě si říkáte jestli váš antivirus, který máte tak v oblibě, dokáže rootkit detekovat a odstranit, odpověď je ano i ne.
Vlastnostmi může rootkit připomínat trojského koně, takže není potřeba antivirový systém ani nějak přizpůsobovat detekci rootkitů. V tomto případě lze říct, že váš antivir dokáže detekovat rootkity. Může ale nastat situace, kdy rootkit již běží v systému, např. z důvodu, že prošel skrze antivirový systém, který daný exemplář rootkitu neznal, popřípadě že antivirový systém nebyl vůbec nainstalován. Pokud je rootkit opravdu kvalitní a dokáže se tak dokonale maskovat, nemusí ho antivirový systém v PC detekovat, ačkoliv ho za jiných okolností zná. V tomto případě lze říct, že váš antivir nedokáže detekovat rootkity.
Detekce Rootkitů:
Detekční Utility:
- RootkitRevealer – jeden z nejlepších, ale neumí odstraňovat, pouze detekuje. Download [ http://shaimagal.org ]
- Black light – krásně jednoduchý a rychlý. Download [ http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe ]
- Ice Sword – všestranný nástroj, od spuštených procesů až po používané knihovny. Download [ http://202.38.64.10/%7Ejfpan/download/IceSword120_en.zip ]
- Aries – použitelný pouze na Sony DRM. Download [ http://www.lavasoftusa.com/software/rootkit/ ]
- Unhack Me – kontroluje služby. Download [ http://greatis.com/unhackme/ ]
- Rk detector – ovládá se přes command line. Download [ http://www.haxorcitos.com/ficheros/RKDetectorv0.62.zip ]
- Bitdefender Rootkit Uncover – Download [ http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_antirootkit-BETA2.exe ]
- Dark Spy – Download [ https://www.rootkit.com/redirect.php?http://www.vistech.com.cn/incoming/DarkSpy_En.rar ]
- RootKit Hook Analyzer – Download [ http://www.resplendence.com/hookanalyzer ]
- Gmer – Catchme – rootkit scanner – hexdef, gromozon, vanquish… Download [ http://www.gmer.net/catchme.php ]
- Sophos Anti-Rootkit – Download [ http://www.sophos.com/support/cleaners/sarsfx.exe ]
- AVG Anti-Rootkit Beta – http://beta.grisoft.cz/beta/betarep.files/antirootkit/AVG_AntiRootkit_1.0.0.13.exe
Doufám, že se článek líbil a bude k užitku. Příští téma: oprava systému.