Rootkit基本是由几个独立程序组成,一个典型rootkit包括:以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。特洛伊木马程序,为攻击者提供后门。 隐藏攻击者目录和进程的程序...
专家教你清除rootkit之立即行动:
Kurt Dillard:首先,将受影响的系统从网络断开是一个好主意。接下来,你需要决定你愿意投入多少时间。你愿意收集可能用来提出犯罪指控的证据吗?收集证据非常耗费时间,而且你必须要认真遵循适当的证据收集程序来做。你要确定这个事件的根源以便采取具体措施堵住被利用的任何安全漏洞吗?这也需要耗费很多时间。或者像我们大多数人一样,你没有那样多的时间,只是想尽快摆脱故障使系统恢复正常?无论你选择什么办法,我都希望你在事件发生之间制定一个具体的事件反应计划。如果你没有这个计划,你要确定写出一个适合你的机构的业务需求的书面计划。
收集能够用于法庭上的信息系统的证据需要严格的程序,把发生的一切事情都存档保存并且保护原始的数据。我建议,你应该在事件发生之前与你们机构的法律代表和一些业内专家合作制定一个计划。你要使用逐个字节拷贝的工具等软件(也就是Guidance软件公司的EnCase、AccessData公司的FTK Imager或者X-Ways软件技术公司的WinHex等工具软件),在安全的地方存储受到影响的系统,对这些工具软件创建的数据做适于法庭使用的整理工作。
找出发生问题的细节可能需要很多时间。但是,这项工作是令人着迷和有教育意义的。有一些rootkit检测工具:
·RootkitRevealer(成名的和令人尊敬的安全专家Mark Russinovich和Bryce Cogswell制作的)
·Blacklight(知名安全软件厂商F-Secure公司制作的)
·Klister(卑鄙的内核模式rootkitFU的作者制作的--你自己需要决定是否让你的网络信赖这个程序员)
这些工具都有自己独特的功能和缺陷。我喜欢使用RootkitRevealer。但是,恶意软件作者不断地更新他们的工具以便避开最新的检测应用程序,因此,我最喜欢的工具也许也不能检测出所有的恶意软件。你也许需要手工执行微软研究院2004年发布的工具软件“Strider GhostBuster”的白皮书中解释的那些程序。简言之,你要在系统启动的时候拍下系统的快照,收集每个硬盘的目录列表等信息。然后,你使用替代的操作系统启动计算机,用你在干净的操作系统中所看到的东西与被攻破的操作系统中的东西进行比较。
如果你没有时间了,在使受到影响的计算机系统脱离网络之后,你可以直接进入恢复阶段。
Lawrence Abrams:如果你发现的rootkit看起来像是与各种恶意软件捆绑在一起的普通的rootkit,那么,断开这台计算机的网络连接作为你的第一个措施应该是足够的。这将阻止其传播以及可能下载和安装更多的恶意软件。
另一方面,如果你确定那就是目标rootkit,是一个人专门攻破这台计算机并且安装的rootkit,那么,你应该按照你们的机构对付入侵的政策去做。遗憾的是,大多数公司对于这类事件没有政策。如果你可能采取法律行动的话,最低限度你要立即制作一个可在法院使用的硬盘的镜像,把原始的计算机保存起来以便在法庭上当作证据。如果你不打算采取法律行动,你就可以直接进入恢复阶段。
Kevin Beaver:我首先的建议是断开计算机的网络连接,不过,这只能在你能够承受这种损失的情况下才可以这样做(也就是说,如果这样做不影响主要的业务经营的话)。这样做有助于阻止任何恶意软件传播或者影响其它的网络计算机。第二,安装/运行我在诊断阶段提到的应用程序。你可能需要运行这些程序来监视系统的行动。然而,一旦系统受到感染,检测程序要发现异常或者正常的行为都是很困难的,如果不是不可能的话。这主要取决于具体的工具的工作情况。
专家教你清除rootkit之恢复系统:
Kurt Dillard:遗憾的是“用核打击让站点进入轨道”是最有力的恢复方法。一旦黑客攻破了你的计算机,你永远不会确定你发现并清除了每个一被修改的地方。
如果你拥有最新的备份,按下列步骤执行:
1.把硬盘从被感染的计算机中拆下来安装到另一台干净的计算机中;
2.从干净的系统备份数据;
3.删除受影响的计算机的操作系统,并且使用已知的良好的介质重新为受影响的计算机安装操作系统;
4.采取在预防措施阶段中介绍的步骤尽最大努力保证系统的安全;
5.把数据恢复到重建的计算机中;
6.使用最新的杀毒软件和反间谍软件全面扫描恢复的数据。
7.不要存储任何可执行文件。最佳方法是故意删除二进制、脚本、ActiveX控件等任何可执行文件。
Lawrence Abrams:从rootkit的影响中恢复过来是很棘手的。如果rootkit是通过普通的没有针对性的恶意软件安装的,清除这种侵犯你的计算机的恶意软件应该比恢复你的计算机还要困难。
另一方面,如果你对付的是Hacker Defender、HE4Hook、Vanquish或者FU等rootkit,那么,那就是黑客故意把这些rootkit安装到目标计算机中的。记住这个问题,你绝对想不到这些rootkit在你的计算机中安装了什么或者修改了什么。黑客也许会通过注册表修改安全设置,用黑客版本的文件替换你系统中的重要文件,或者以其它方式控制受害者的计算机或者网络。在这种情况下,我总是建议备份数据和重新安装操作系统。在你把数据复制到新安装的计算机之前,扫描一下数据,检查是否被感染。
如果重新安装计算机不是一种选择,你可以使用rootkit检测程序查找属于rootkit的文件。这类工具软件包括Blacklight、RootkitRevealer和Flister等。由于这些文件在rootkit程序之外很可能看不到,你可以使用可启动的Linux发布版软件如KNOPPIX、启动盘或者通过一个网络共享(不建议这样做)清除那些文件。
最后,如果你有资源重新安装计算机,那可能是你最佳的选择。
Kevin Beaver:如果你没有检测到任何rootkit,但是,异常的行为继续出现,你的最佳和最安全的选择是重新格式化和重新安装系统。在进行这种操作之前,你要确保备份一切必要的文件。由于目前大多数恶意软件(特别是rootkit)不感染二进制或者文本文件,这样做是很安全的。恶意软件主要感染可执行文件和操作系统以及应用程序使用的支持库文件。如果你能够清洁系统(如果发现了rootkit就很难做到),你需要经常扫描系统并且监视其它的可疑行为。再说一次,一定要使用我在诊断阶段所提到的那些工具。
网友评论