64-bit Windows 7'de rootkit bulmanın bir yolu var mı


3

İş yerindeydim ve oldukça kötü amaçlı bir kötü amaçlı yazılım bulaşması hakkında yardım masası çağrısı aldım ve kendi bilgisayarım hakkında düşünmeye başladı.

Günlük dizüstü bilgisayarımda Windows 7 64-bit RC1 kullanıyorum. Kendisini güncel tutmak için iyi bir iş yapan ESET NOD32 antivirüs programını çalıştırıyorum. UAC'yi asla kapatmam.

Ayrıca bilgisayar uzmanıyım, bu yüzden haydut görünen bir pencerede Tamam'ı tıklatmama konusunda çok iyi bir fikrim var.

Bütün bunlar, temiz olduğumu sandığım ama emin olmak istediğimden emin olmak istedim, bu yüzden güvenli moddayım ve indirdiğim ve kötü amaçlı yazılımdan koruma için kullanılan MalwareBytes aracını kullanarak hızlı bir tarama yaptım. Yalnızca sildiğim tuhaf bir kayıt defteri girdisi buldu. Dosya veya klasör sorunu bulunamadı. İstediği gibi temizliği tamamlamak için yeniden başlattım. Buna şaşırdım, çünkü bütün bunlar bir kayıt defteri girişini temizlemekti.

Evet, başka bir şey de, WinPatrol’un BillP Studio’su

Normal olarak yeniden başlattıktan sonra WinPatrol, beklediğim ve izin verdiğim yeni program MalwareBytes hakkında uyardı. Ama benim sürprizim için ayrıca userinit kurulumunu / kurulumunu onaylamamı sağladı (dll ya da exe olup olmadığını hatırlayamıyorum) ancak program bilgisi, bu başlangıç ​​ekranını pencerelere sunan dosyaydı. İzin verdim ama beni korudu.

Son bir şey. Ayrıca root kit revealer ve IceSword kullanmaya çalıştım, böylece makinemde rootkit taraması yapabildim ve ikisi de çalışmayacak ve 64 bit işletim sistemi kullandığım için eminim.

Sorularım işte burada:

  1. MalwareBytes kullanarak bir tarama yaptıktan sonra userinit'in "yeniden yerleştirilmesi" veya "yeniden yerleştirilmesi" normal mi? Değilse, neden bu dosya için izinlere izin verildi?

  2. 64-bit Windows sisteminin rootkit taraması yapmanın bilinen / önerilen bir yolu var mı?

  3. Makinemin rootkit problemi olması muhtemel OLABİLİR MİDİR, çünkü 64-bit işletim sistemi olarak çalışıyorum. Bir rootkit'in 64 bitlik bir işlem olarak çalışması gerekmeyecek ve şu anda rootkitlerin daha küçük bir hedef kitle olduğu için 64 bit'i hedeflemek için yazılmaması muhtemel değil mi? Risk yüzey alanım aslında daha mı az?

Şimdiden teşekkürler.

Seth


Gerisi hakkında bilgi, ancak # 3 ile ilgili: Hayır. Henüz farketmediyseniz Windows 64-bit, 32-bit işlemlerin çalışmasını destekler.
Eddins

Windows 7'nin sahip olduğu iddia edilen yeni güvenlik hakkında daha fazla şey duymak istiyorum. Bu konuda katı bilgisi olan var mı? Şimdiye kadar duyduğum tek şey, daha iyi olduğu ve Windows savunucusunun artık virüsleri de kapsadığı.
Sakamoto Kazuma

Bekçi, 32 bit programlar çalıştırabileceğiniz doğru. Ama 32-bit sürücüleri çalıştıramazsınız. 64 bit 64 bit sürücü gerektirir. Ve sorunun amacı, DÜŞÜNECEĞİMDİR - ama emin değilim, bu yüzden soruyorum - bir rootkit'in uygulama düzeyinde destek / izinlerden ziyade sürücü düzeyinde destek / izinlere ihtiyaç duyacağından emin değilim.
Seth Spearman

Bu iyi bir nokta Seth. Bir çekirdek rootkit'in gerçekten bir sürücüye ihtiyacı olacak. Dahası, çekirdeğin belirli kısımlarını değiştirmeye eğilmek durumunda, 64-bit sürümleri göz önünde bulundurularak tasarlanması veya Win 64-bit altında çökmesi gerekir. Bununla birlikte, bunun da söylenmesi gerekir, bunun için bir aygıt sürücüsüne ihtiyaç duyulmayan başka tür kök setleri ( en.wikipedia.org/wiki/Rootkit#Types ) vardır. Ve ... tüm aygıt sürücülerinin 64 bit işletim sistemleri için özel olarak tasarlanması gerekmez.
Cüce,

Yanıtlar:


0

Combofix'i 64bit Vista'da düzenli olarak başarıyla kullanıyorum. Deneyimlerime göre, 64bit, uygulamanın yapıp yapmadığından bağımsız olarak sistem işlemlerinden yararlanıyor. Vista 64'ün% 100 rootkit ücretsiz olduğu konusunda hemfikir olmasam da, 64bit işletim sisteminde rootkit almak çok daha zor. Donanım üreticilerinin 64 bitlik sürücüler için sürücü yapması zor, bir süredir çok fazla 64 bitlik kök seti göreceğimizi sanmıyorum. Ve eğer 64 bitden nefret ederseniz buna alışırsınız, ister ister ister istemeseniz, 4 gb ram eskimiş olur. Bunu yaparken 64bit gerekli olacaktır.



0

64-bit Windows sisteminin rootkit taraması yapmanın bilinen / önerilen bir yolu var mı?

Bunun için güvendiğim sadece iki program var: ComboFix ve ardından RegDelNull .

Ancak ComboFix 64bit desteği konusunda emin değilim. Ancak, kullanmadan önce bir geri yükleme noktası oluşturursanız, bir şeyler ters gittiğinde geri yüklemek için Kurtarma Konsolu'nu kullanabilmelisiniz.

Fakat burada 2 puan verme gereği duyuyorum:

1. 64-bit çılgınlığı
Neden işletim sisteminizin 64-bit versiyonlarını kullanmakta ısrarın olduğunu henüz anlamadım. Tüm pratik nedenlerden ötürü, bunu yaparken 0'a yakın avantaj var. 64 bit işletim sistemi yalnızca yeni işlemci özelliklerini ve adres alanını kullanan 64 bit uygulamalar genel kullanıma sunulduğunda kullanışlıdır. Durum böyle değil. Çok az sayıda uygulama 64 bit doğrudur ve bu olanlar yalnızca uyumluluk nedenlerinden ötürü geçerlidir. Çoğunlukla bu uygulamalar, bu özelliklerin hiçbiri için bir faydası yoktur. Ardından, şimdi gördüğünüz gibi, 64 bitin altında iyi çalışmayabilecek özel bir yazılım elde etmeye çalışırken başınız belaya giriyor.

2. Yöntemler
Kök seti kontrolü yapmanın kesin bir yolu yoktur. Combofix bile kesinlikle diğer ya da daha yeni rootkitlerin bozulmadan geçmesine izin verecek olan kendi metodolojisini benimser. Bununla birlikte, seçtiğiniz araçlarınız her zaman kurtarma konsolu veya bu rootkitlerin çoğunun çalışmayacağı güvenli modda önyükleme olacaktır.

Bununla birlikte, birkaç güvenlik duvarı ürünü, sistem düzeyinde bilgi istemi görmenizi sağlayacak olan sistemde bilgi güvenliği sağlar ( örneğin Comodo'yu düşünüyorum ), bilgisayarınızda meydana gelen birçok değişikliği bildirmenizi sağlar.

Ayrıca, UAC'yi en üst düzeyde etkinleştirmiş olmanız ve yönetici olmayan bir hesaptan çalıştırmanız gerekir. UAC bunun için inşa edilmiştir ve Windows makinelerimizi ayrıcalıklı bir hesap altında çalıştırmamak için artık hiçbir bahane yoktur. Hiçbir rootkit hiçbir zaman bunu atlayamaz, bu aslında onları aramak için endişelenmenize gerek olmadığı anlamına gelir.

Makinemin rootkit problemi olması muhtemel OLABİLİR MİDİR, çünkü 64-bit işletim sistemi olarak çalışıyorum. Bir rootkit'in 64 bitlik bir işlem olarak çalışması gerekmeyecek ve şu anda rootkitlerin daha küçük bir hedef kitle olduğu için 64 bit'i hedeflemek için yazılmaması muhtemel değil mi? Risk yüzey alanım aslında daha mı az?

Ne yazık ki hayır. Belirtildiği gibi, 64 bit sistemler 32 bit uygulamaların herhangi bir düzeyde çalışmasına izin verir . Fakat dikkat! Belirli bir koruma seviyesi eklersiniz, çünkü rootkitler 64-bit işletim sistemi altında başarısız olabilir, birçok nedenden dolayı; açıklanamayan ya da olmayan diğer pek çok 32-bit uygulama ile aynı şekilde 64-bit işletim sistemi altında da başarısız olma eğilimindedir. Kök setleri böceklere karşı bağışıklık kazanmaz. Ama bu konuda.

Bununla birlikte, bazı rootkit'lerin özellikle 64-bit sistemleri hedeflemeye başlama olasılığı da var. Yani gerçekten hiçbir yerde daha güvenli değilsin.


1
Bir bilgisayarda 3 GB'den daha fazla kullanmak istiyorsanız, bugün gönderilen birçok bilgisayarın sağlandığı 64 bit gerekir.
Sanjay Sheth

Ve henüz hiçbir 32 bit sofwtare eklenmiş adres alanından faydalanmıyor ve neredeyse hiç 64 bit yazılım gerektirmiyor. Benim meselem, Sanjay. Mühendislik, Bilimsel ve muhtemelen Film alanlarındaki çok özel yazılımların dışında şu anda kullanmadığınız bir yazılım var.
Cüce,

Sanallaştırma?
Bender

İşlemci adres alanından bağımsızdır. 32 bit işlemciler de donanım sanallaştırması sunuyor
Bir Cüce,

Evet, ama hafıza çabucak azalıyor.
Bender
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.