恶意rootkit工具清理五要诀

日期: 2010-11-15 来源:TechTarget中国

  作为一种软件,rootkit可以连接并进入计算机的同时,向用户和管理员隐藏它存在的迹象。尽管rootkit本身可能是无害的,但隐藏的软件或进程却几乎都是存在问题的。和病毒不同,rootkit可以获得计算机的管理权限。Rootkit就是病毒中的万人迷,可以带来最严重的损害和威胁。处理rootkit时遇到的最大问题就是,一旦系统被入侵,就很难防范检测和清除,因为它们的主要目的就是制造混乱。

  但是,这并不意味着你一定要被rootkit摆布。你可以制定防范措施,在它们出现的时间予以阻止。更妙的是,你可以在出现的第一个地方将它们清除。

  1、对系统进行保护

  你并不需要随时关注所有事情。当然,这也不意味着你需要放弃保护措施。在安装新Linux系统时,首先要做的就是安装rkhunter。它是一个非常有效的rootkit防御工具。如果你使用的不是Linux操作系统,就需要选择AVG anti rootkit或ComboFix之类工具来完成相关任务。 

  2、关注各种细微的迹象

  尽管rootkit不会主动暴露出可以让你发现的微小痕迹,但总是有办法做到这一点的。如果接收到来自不同对象的通知,宣称你正在发送大量垃圾邮件的话,就很可能存在一个隐藏的rootkit,让系统成为僵尸网络的组成部分。如果你的服务器属于网络服务器,在发现奇怪的重定向操作时间,就可能已经中毒了。对于UNIX和类UNIX系统,可以查看可执行文件的版本或者目录结构的变化情况。如果你使用来说来说ls/usr/bin或ls/usr/sbin命令进行查看时,发现正常应用似乎出现命名错误的话,就很有可能是受到rootkit的攻击。当然,最简单的检测方法就是定期运行rkhunter。

  3、清除它

  如果发现系统已经被感染的话,那首先要做的就是关闭这台机器!然后,移出驱动器,安装在另一台机器(最好是非Windows系统)上,并将数据拷贝出来。这是因为存在重新安装操作系统的可能,所以,要确保数据不受到影响。而且,启动和运行受到感染的系统,只会带来更大的损害,尤其是在垃圾邮件机器人或类似软件运行的情况下。

  4、千万不要忘记Tripwire

  数据完整性监控工具Tripwire可以用来对给定的配置系统/目录里的文件变化进行监控。而rootkit的一项主要工作就是掩饰恶意软件的存在。通常情况下,它们会采用重命名文件或文件夹或安装类似名称的文件/文件夹的方式。使用诸如Tripwire之类的工具,你可以马上发现这种行为。在这里至关重要的是,在安装完操作系统后,你应该马上安装Tripwire。否则的话,rootkit可能已经安装到系统里了,Tripwire的实际效果就会大受影响。

  5、进行内存转存处理

  这是一种更具挑战性的方法,它是可以使用私有工具或代码的专家最喜欢的选择。你可以对可能或确认受到感染的内核(甚至全部)内存进行强制转存,以捕捉rootkit可能进行的任何活动。内存转存操作的结果可以用调试工具来进行分析。在分析过程中,rootkit不能混淆其工作,并会被检测出来。当然,这样的话,你将不得不清除数据并重新安装。

  坚持预防为主

  Rootkit带来的危害是非常严重的。因此,最好的办法是安装安全工具,防止系统被感染。而rootkit最大的问题是,它们造成的危害需要你清除数据和重新安装系统。所以,我们必须积极行动起来,采取一些办法来进行预防。

   原文出处:http://security.zdnet.com.cn/security_zone/2010/1115/1940133.shtml

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。