什么是最好的(希望是免费的或便宜的)检测方法,然后,如有必要,删除您机器上发现的 rootkit?
Optimal Solutions
问问题
1934 次
3 回答
4
SysInternals 几年前停止更新 RootKit Revealer。
检测 rootkit 的唯一可靠方法是从已知文件及其参数的受信任列表中对已安装文件和文件系统元数据进行离线比较。显然,您需要信任运行比较的机器。
在大多数情况下,对大多数人来说,使用引导 cdrom 运行病毒扫描程序就可以解决问题。
否则,您可以从全新安装开始,从 cdrom 启动,连接外部驱动器,运行 perl 脚本以查找和收集参数(大小、md5、sha1),然后存储参数。
要检查,请运行 perl 脚本来查找和收集参数,然后将它们与存储的参数进行比较。
此外,您需要一个 perl 脚本来在系统更新后更新您存储的参数。
--编辑--更新它以反映可用的技术。如果您获得带有程序“chntpasswd”的最新副本的任何可引导救援 CD(例如 trinity 或救援 CD)的副本,您将能够离线浏览和编辑 Windows 注册表。
再加上来自 castlecops.com 的启动列表副本,您应该能够找到最常见的 rootkit 的最常见的运行点。并始终跟踪您的驱动程序文件以及好的版本。
有了这种级别的控制,您最大的问题将是在您删除 rootkit 和木马后,您的注册表会变得一团糟。通常。
-- 编辑 -- 还有 windows 工具。但我描述了我熟悉的工具,这些工具是免费的,并且有更好的文档记录。
于 2008-09-20T04:31:43.693 回答
2
来自 SysInternals 的Rootkit揭示器
于 2008-09-20T03:54:40.757 回答
2
请记住,您永远不能信任受感染的机器。您可能认为您找到了 rootkit 的所有迹象,但攻击者可能在其他地方创建了后门。您使用的工具无法检测到的非标准后门。通常,您应该从头开始重新安装受感染的机器。
于 2008-09-20T08:38:37.377 回答