專家訪談:如何檢測和防御rootkit威脅

下一頁 1 2 

　　 

微軟計劃經理、作者和rootkit權威Kurt Dillard在網絡直播活動期間回答了觀眾有關檢測和刪除Windows中的rootkits的問題。

問:Rootkits無所不在:實際中受到間諜軟件和病毒感染的系統有多大比例是由Rootkits引起的?

Dillard:我很高興你問我這個特別的問題，因為有些閱讀我的有關Rootkits指南的文章或者看到我的有關Rootkits問題的網絡直播的人可能會錯誤地以為Rootkits無處不在。甚至微軟內部的人有時候也認為，每次系統出現奇怪的現象都是Rootkits在作祟?，F實是，雖然我對Rootkits著迷，但是，在黑客攻破的計算機中很少見到Rootkits。我們見到Rootkits的次數似乎是越來越少了，而這類惡意軟件現在確實很少見了。這種趨勢是幸運的，但是，安全軟件廠商正在為它們的工具增加更有效地對付Rootkits的功能。例如，微軟的惡意軟件清除工具就能夠檢測和清除各種各樣的Rootkits。這個軟件每個月升級一次。

問:你如何知道一臺計算機是否是被一個Rootkits攻破的?

Dillard:這是我在網絡直播中談的要點，也是我為SearchWindowsSecurity.com網站撰寫的一系列文章的要點:沒有簡單的方法知道這個原因。安全產品廠商正在改善它們的檢測工具。但是，要檢測被Rootkits攻破的計算機仍是很困難的。

問:我不能確認我家的計算機是否正在運行一個用戶Rootkits。但是，當我關閉我的筆記本電腦時，我看到一個稱作“hiddenshell”的對話框，筆記本電腦并沒有關閉。我記不起來這個文件的擴展名了。這是不是表明存在一個Rootkits?

Dillard:可能不是。但是，在我本人沒有看到這個系統之前，我不能給你肯定的答復。由于我不能為訪問這個網站的網友提供技術支持，我想你最好與微軟免費的在線技術支持部門聯系一下，以便消除消費者對可能出現的惡意軟件感染的擔心。

問:備份文件中的Rootkits:當一臺電腦系統遇到嚴重的穩定性問題時，標準的做法是為消費者備份重要的數據文件，并設法恢復這個系統。這個備份數據有可能包含Rootkits本身的隱含文件嗎?我主要是說應用程序數據文件和我的文檔等文件。

Dillard:有這種可能性。被病毒感染的系統也會出現同樣的情況，最近的備份也可能會包含病毒的拷貝。因此在系統恢復之后和重新開始使用數據之前，你必須要用反間諜軟件和殺毒軟件對備份的數據進行掃描。

問:處理rootkits的方法:如果理解的正確，你的建議是采取三個步驟檢測和刪除rootkits:1.縮小暴露范圍(不要以管理員的權限運行);2.監視行為(查找異常行為，特別是rootkits的行為);3.修復外部操作系統。這有些過于簡單了。不過，這是準確的評估方法嗎?

Dillard:你說的不錯。你極大地簡化了這些事情。我同意你的意見。

問:映射網絡以便發現rootkits:如果我映射一個被攻破的計算機的網絡硬盤，我會看到隱含的文件嗎?

Dillard:使用“HackerDefender”軟件可以看到網絡上的隱含文件。我認為，rootkit作者也可能隱藏連接到網絡的計算機中的文件。

問:掃描rootkit文件的名稱:如果rootkit隱藏其在注冊表中的注冊值和文件名等信息，有沒有辦法利用這個文件名的一部分信息搜索rootkit的信息?

Dillard:沒有辦法。至少使用任何內置的工具都不行。

問:檢測HackerDefender:在你提到的HackerDefender的例子中，你說這個軟件隱藏了以具體字符開頭的可執行文件，我的理解對嗎?如果我的理解是對的，我是否可以手工制作一個以這些字符開頭的可執行文件，并把這個文件放在可疑的目錄中，如果在查看目錄的命令“DIR”列表中沒有出現這個文件名，是不是有理由認為可能存在HackerDefender?

Dillard:這是一個很有趣的想法。如果HackerDefender的INI文件配置為使用通配符，這種做法可能會有效。然而，我不知道這是不是一種可行的方法，因為你必須幸運地猜測出rootkit在使用什么字符串。

原文轉自：http://www.kjueaiud.com