Новости:

Обо всех проблемах и неточностях на форуме
можно сообщить на адрес [email protected]
LEM

Главное меню

Руткиты

Автор ABS, 19-12-2014, 09:16:46

0 Пользователи и 1 гость просматривают эту тему.

ABS

ЛЕМ напиши про это дело. Что такое Где живет Что делает Чем ловится Чем лечится и тд А?

LEM

Сложная тема. Руткит проникает на самый высший уровень, грузится раньше системы и может делать все, что захочет, имея над системой полный контроль. Выбить умный руткит из под самой системы - ОЧЕНЬ сложно. Так его может выбить только еще более умный руткит или программа, ведущая себя как руткит.

Как лечить ? Зная, какой именно руткит проник - можно лечить специальной утилитой, если такая уже написана. В этом случае я бы рекомендовал бесплатные специальные утилиты от Касперского.

Например, от известного семейства руткитов Rootkit.Win32.TDSS лучше всего использовать утилиту Касперского Kaspersky TDSSKiller.

Как лечить иначе ? Грузиться с загрузочного диска или флэшки, и пытаться его найти и выкусить. Лично я лечу именно так, исследуя системные файлы и все места, куда бы вирус мог впариться. Конкретных инструкций нет, мне обычно помогают только опыт и чутье...

ABS

а признаки поведения.И какие еще средства кроме касперских утилит.?

LEM

Цитата: ABS от 20-12-2014, 03:56:01
а признаки поведения.И какие еще средства кроме касперских утилит.?

Признаков может не быть вообще, руткиты маскируются и даже имитируют "нормальное" состояние системы. Например, антивирус проверяет проблемную область, запрашивая систему. Система проверяет это на низком уровне. Руткит видит все запросы и подставляет системе нужную информацию, а при необходимости - корректирует ее ответ уже после проверки. В итоге антивирус получает ответ, что все хорошо. Лишь если антивирус в обход системы полезет сам на низкий уровень - только тогда он может получить правильную информацию, и то не факт.

Некоторые руткиты перекрывают доступ к определенному системному функционалу, типа диспетчер задач, редактор реестра и т.д.

Могут быть утечки памяти, ресурсов и тормоза системы в целом - некоторые руткиты не просто сидят в системе, а еще и выполняют определенные им задачи. Например, это может быть и рассылка спама при появлении подключения к интернету (признак - постоянный трафик, даже если ничего не скачивается пользователем). Тут правда не стоит пугаться сразу - трафик может создавать сама система или какие-то программы при скачивании своих обновлений. Но если этот трафик идет постоянно - это сигнал насторожиться. Если руткит ведет постоянный контроль и перехват слишком многих функций - это может вызвать общие тормоза системы, т.к. ресурсами железа ей придется делиться с руткитом.

Чем можно еще воспользоваться для проверки ? В первую очередь рекомендую Autoruns и Process Explorer. Первая утилита может показать что-то левое, что стартует вместе с системой, но тут нужен опыт и знания, чтобы понять - что нужно, а что явно "левое". Иногда вирусы сами выдают себя, называя свои тела яркими смешными названиями, которые точно бросятся в глаза. Но в большинстве случаев тела вирусов называют близкими к системным именами, иногда даже точно так же, меняя лишь 1-2 буквы в названии. Я сам для маскировки программ так делал, меняя английскую букву "с" на русскую "с" и называя процесс "svсhost". Оригинальный такой процесс важен в системе, его используют многие программы. Но левый процесс с подобным именем вряд ли кто заметит. И тут может помочь вторая названная мною утилита - она покажет все активные процессы, в том числе и информацию о них, включая путь размещения, визуальную встроенную иконку, автора, подписи. Но иногда руткит приклеивается к нормальным процессам (говоря иначе - встраивается), тогда его найти гораздо сложнее. В этом случае можно пытаться искать по используемым DLL, и выходить на процессы, к которым они приклеились. Оттуда их можно прибивать (не сами процессы, а именно используемые DLL).

Стоит знать, что умные руткиты используют напарников - у вируса не одно тело, а два отдельных. Если первое видит, что прибили второе - оно его восстановит, и наоборот. Процесс слежения друг за другом в этом случае идет постоянно, и убить обоих одновременно бывает невозможно.

Как же все-таки вылечиться ? Загружаться с LiveCD или флэшки, и разбирать систему. Иногда тело вируса можно найти в системных местах по странному имени или по дате создания. Но тут конечно поможет только опыт.

ABS

А что есть из готовых решений кроме касперского?

LEM

Цитата: ABS от 21-12-2014, 09:39:22
А что есть из готовых решений кроме касперского?

К сожалению ничего полезного больше не встречал...

ABS


LEM

Цитата: ABS от 21-12-2014, 18:45:51
А это как тебе?
http://www.gmer.net/

Видел, но не пробовал. Пробуйте, удачи !

BFDA

Цитировать
В первую очередь рекомендую Autoruns и Process Explorer. Первая утилита может показать что-то левое, что стартует вместе с системой, но тут нужен опыт и знания, чтобы понять - что нужно, а что явно "левое".

К сожалению руткиты не видны в этих замечательных программах :)
У них вообще может не быть файлов на диске, живут в альтернативных потоках, что типа имя.dll.2 и никто из файловых менеджеров их не видит :) Некоторые руткиты типа TDSS, вообще создают собственных файловые системы, куда пихают все нужное для работы и все утащенное.

Пожалуй лучше Касперского никто с ними не справляется.


LEM

Цитата: BFDA от 04-02-2015, 23:27:49
Цитировать
В первую очередь рекомендую Autoruns и Process Explorer. Первая утилита может показать что-то левое, что стартует вместе с системой, но тут нужен опыт и знания, чтобы понять - что нужно, а что явно "левое".

К сожалению руткиты не видны в этих замечательных программах :)

Я нахожу. Наверно просто надо уметь пользоваться.

ЦитироватьПожалуй лучше Касперского никто с ними не справляется.

Были бы мозги - с загрузочного диска многие вирусы убираются голыми руками без использования антивирусов. И именно с помощью указанных программ дочищаются.

Полным исключением будут только файловые вирусы, их без антивирусов точно не вычистить.

BFDA

Цитировать
Я нахожу. Наверно просто надо уметь пользоваться.

Нет, то что видно и находится обычные вирусы и черви, TDSS, например, никогда не увидишь.

Цитировать
Были бы мозги - с загрузочного диска многие вирусы убираются голыми руками без использования антивирусов. И именно с помощью указанных программ дочищаются.

Ну не скажи, кто умеет сканировать альтернативные потоки? Вроде LiveCD ни у DrWeb, ни у Касперского этого не могут.

Цитировать
Например, от известного семейства руткитов Rootkit.Win32.TDSS лучше всего использовать утилиту Касперского Kaspersky TDSSKiller.

Вот, приходим у тому что нужно пользоваться спец утилитами, они действительно неплохи.

Кстати, есть еще бесплатная штука, McAfee Stinger, иногда помогает
http://www.mcafee.com/us/downloads/free-tools/stinger.aspx