Rootkits bruges af hackere til at skjule vedvarende, tilsyneladende uopdagelig malware inde i din enhed, som i det stille vil stjæle data eller ressourcer, nogle gange i løbet af flere år. De kan også bruges på keylogger-måde, hvor dine tastetryk og kommunikation overvåges og giver tilskueren oplysninger om privatlivets fred.  

Denne særlige hackingmetode var mere relevant før 2006, før Microsoft Vista krævede, at leverandører digitalt signerede alle computerdrivere. Kernel Patch Protection^{(Kernel Patch Protection)} ( KPP ) fik malware-forfattere til at ændre deres angrebsmetoder, og først for nylig fra 2018 med Zacinlo-annoncebedrageri-operationen^{(Zacinlo ad fraud operation)} kom rootkits igen i søgelyset.

Rootkittene fra før 2006 var alle specifikt operativsystembaserede. Zacinlo -^(Zacinlo) situationen, et rootkit fra Detrahere malware- familien, gav os noget endnu mere farligt i form af et firmware-baseret rootkit. Uanset hvad^(Regardless) er rootkits kun omkring én procent af al malware-output, der ses årligt. 

Alligevel, på grund af den fare, de kan udgøre, ville det være klogt at forstå, hvordan detektion af rootkits, der muligvis allerede er infiltreret dit system, fungerer.

Registrering af rootkits i Windows 10 ( dybdegående^(In-Depth) )

Zacinlo havde faktisk været i spil i næsten seks år, før han blev opdaget målrettet mod Windows 10 -platformen. Rootkit-komponenten var meget konfigurerbar og beskyttede sig selv mod processer, den anså for farlige for dens funktionalitet, og var i stand til at opsnappe og dekryptere SSL- kommunikation.

Det ville kryptere og gemme alle sine konfigurationsdata i Windows-registreringsdatabasen^{(Windows Registry)} og, mens Windows lukkede ned, omskrive sig selv fra hukommelse til disk ved hjælp af et andet navn og opdatere sin registreringsnøgle. Dette hjalp det med at undgå opdagelse af din standard antivirussoftware.

Dette viser, at en standard antivirus- eller antimalware-software ikke er nok til at opdage rootkits. Selvom der er et par antimalware-programmer på højeste niveau, der vil advare dig om mistanke om et rootkit-angreb. 

De 5 nøgleegenskaber ved en god antivirussoftware^{(The 5 Key Attributes Of a Good Antivirus Software)}

De fleste af de fremtrædende antivirusprogrammer i dag vil udføre alle fem af disse bemærkelsesværdige metoder til at detektere rootkits.

• Signaturbaseret analyse^{(Signature-based Analysis)} – Antivirussoftwaren vil sammenligne loggede filer med kendte signaturer af rootkits. Analysen vil også lede efter adfærdsmønstre, der efterligner visse driftsaktiviteter af kendte rootkits, såsom aggressiv portbrug.
• Interception Detection - Windows -operativsystemet anvender pointer-tabeller til at køre kommandoer, der vides at bede et rootkit om at handle. Da rootkits forsøger at erstatte eller ændre noget, der betragtes som en trussel, vil dette tippe dit system til deres tilstedeværelse.
• Multi-Source Data Comparison – Rootkits , i deres forsøg på at forblive skjult, kan ændre visse data præsenteret i en standardundersøgelse. De returnerede resultater af systemkald på højt og lavt niveau kan give væk tilstedeværelsen af ​​et rootkit. Softwaren kan også sammenligne proceshukommelsen indlæst i RAM'en^(RAM) med indholdet af filen på harddisken.
• Integritetstjek^{(Integrity Check)} – Ethvert systembibliotek besidder en digital signatur, der er oprettet på det tidspunkt, hvor systemet blev betragtet som "rent". God sikkerhedssoftware kan tjekke bibliotekerne for enhver ændring af koden, der bruges til at oprette den digitale signatur.
• Registry Comparisons – De fleste antivirussoftwareprogrammer har disse på en forudindstillet tidsplan. En ren fil vil blive sammenlignet med en klientfil i realtid for at afgøre, om klienten er eller indeholder en uønsket eksekverbar (.exe).

Udførelse af Rootkit-scanninger^{(Performing Rootkit Scans)}

At udføre en rootkit-scanning er det bedste forsøg på at opdage rootkit-infektion. Oftest kan dit operativsystem ikke være tillid til at identificere et rootkit på egen hånd, og det er en udfordring at bestemme dets tilstedeværelse. Rootkits er mesterspioner, der dækker deres spor ved næsten hver tur og er i stand til at forblive skjult i almindeligt syn.

Hvis du har mistanke om, at et rootkit-virusangreb har fundet sted på din maskine, ville en god strategi til detektion være at slukke for computeren og udføre scanningen fra et kendt rent system. En sikker måde at lokalisere et rootkit på din maskine er gennem en hukommelsesdumpanalyse. Et rootkit kan ikke skjule de instruktioner, det giver dit system, da det udfører dem i maskinens hukommelse.

Brug af WinDbg til Malware-analyse^{(Using WinDbg For Malware Analysis)}

Microsoft Windows har leveret sit eget multifunktionelle fejlfindingsværktøj, der kan bruges til at udføre fejlfindingsscanninger på applikationer, drivere eller selve operativsystemet. Det vil fejlsøge kernetilstands- og brugertilstandskode, hjælpe med at analysere crash-dumps og undersøge CPU- registrene.

Nogle Windows - systemer kommer med WinDbg allerede bundtet i. De uden skal downloade det fra Microsoft Store . WinDbg Preview er den mere moderne version af WinDbg , der giver lettere for øjnene visuals, hurtigere vinduer, komplet scripting og de samme kommandoer, udvidelser og arbejdsgange som originalen.

Som minimum kan du bruge WinDbg til at analysere en hukommelse eller et crash-dump, inklusive en Blue Screen Of Death ( BSOD ). Fra resultaterne kan du se efter indikatorer for et malwareangreb. Hvis du føler, at et af dine programmer kan være hindret af tilstedeværelsen af ​​malware, eller bruger mere hukommelse end nødvendigt, kan du oprette en dumpfil og bruge WinDbg til at analysere den.

Et komplet hukommelsesdump kan optage betydelig diskplads, så det kan være bedre at udføre en Kernel-Mode dump eller Small Memory dump i stedet. En Kernel-Mode dump vil indeholde alle oplysninger om hukommelsesbrug fra kernen på tidspunktet for nedbruddet. En lille hukommelsesdump^(Memory) vil indeholde grundlæggende oplysninger om forskellige systemer som drivere, kernen og mere, men er lille i sammenligning.

Små hukommelsesdumps^(Memory) er mere nyttige til at analysere, hvorfor en BSOD er ​​opstået. For at finde rootkits vil en komplet version eller kerneversion være mere nyttig.

Oprettelse af en Kernel-Mode Dump-fil^{(Creating A Kernel-Mode Dump File)}

En Kernel-Mode dump-fil kan oprettes på tre måder:

• Aktiver dumpfilen fra Kontrolpanel^{(Control Panel)} for at lade systemet gå ned af sig selv
• Aktiver dumpfilen fra Kontrolpanel^{(Control Panel)} for at tvinge systemet til at gå ned
• Brug et debugger-værktøj til at oprette et til dig

Vi går med valg nummer tre. 

For at udføre den nødvendige dump-fil behøver du kun at indtaste følgende kommando i kommandovinduet^(Command) i WinDbg .

Erstat Filnavn^(FileName) med et passende navn til dumpfilen og "?" med et f . Sørg for, at "f" er lille, ellers vil du oprette en anden slags dump-fil.

Når debuggeren har kørt sit forløb (den første scanning vil tage betydelige minutter), vil en dumpfil være blevet oprettet, og du vil være i stand til at analysere dine resultater.

At forstå, hvad det er, du leder efter, såsom brug af flygtig hukommelse ( RAM ), for at bestemme tilstedeværelsen af ​​et rootkit, kræver erfaring og test. Det er muligt, selvom det ikke anbefales for en nybegynder, at teste malware-opdagende teknikker på et live system. For at gøre dette vil det igen kræve ekspertise og dybdegående viden om WinDbg 's funktion for ikke ved et uheld at implementere en levende virus i dit system.

Der er sikrere, mere begyndervenlige måder at afsløre vores godt skjulte fjende på.

Yderligere scanningsmetoder^{(Additional Scanning Methods)}

Manuel detektion og adfærdsanalyse er også pålidelige metoder til at detektere rootkits. Forsøg på at opdage placeringen af ​​et rootkit kan være en stor smerte, så i stedet for at målrette mod selve rootkit, kan du i stedet lede efter rootkit-lignende adfærd.

Du kan søge efter rootkits i downloadede softwarepakker ved at bruge avancerede^(Advanced) eller brugerdefinerede^(Custom) installationsmuligheder under installationen. Det, du skal kigge efter, er ukendte filer, der er angivet i detaljerne. Disse filer bør kasseres, eller du kan lave en hurtig søgning online efter eventuelle referencer til skadelig software.

Firewalls og deres logningsrapporter er en utrolig effektiv måde at opdage et rootkit på. Softwaren vil give dig besked, hvis dit netværk er under kontrol, og bør sætte alle uigenkendelige eller mistænkelige downloads i karantæne før installation. 

Hvis du har mistanke om, at der allerede er et rootkit på din maskine, kan du dykke ned i firewall-logningsrapporterne og se efter noget ud over den sædvanlige adfærd.

Gennemgang af Firewall-logningsrapporter^{(Reviewing Firewall Logging Reports)}

Du får lyst til at gennemgå dine nuværende firewall-logningsrapporter, hvilket gør et open source-program som IP Traffic Spy med firewalllogfiltreringsfunktioner til et meget nyttigt værktøj. Rapporterne vil vise dig, hvad der er nødvendigt at se, hvis et angreb skulle opstå. 

Hvis du har et stort netværk med en selvstændig udgangsfiltreringsfirewall, vil IP Traffic Spy ikke være nødvendig. I stedet bør du være i stand til at se de indgående og udgående pakker til alle enheder og arbejdsstationer på netværket via firewall-logfilerne.

Uanset om du er i et hjem eller en lille virksomhed, kan du bruge modemet fra din internetudbyder^(ISP) eller, hvis du ejer en, en personlig firewall eller router til at hente firewall-logfilerne. Du vil være i stand til at identificere trafikken for hver enhed, der er tilsluttet det samme netværk. 

Det kan også være en fordel at aktivere Windows Firewall-^{(Windows Firewall Log)} logfiler. Som standard er logfilen deaktiveret, hvilket betyder, at der ikke skrives nogen information eller data.

• For at oprette en logfil skal du åbne funktionen Kør^(Run) ved at trykke på Windows key + R .
• Skriv wf.msc i boksen og tryk på Enter .

• I vinduet Windows Firewall og Advanced Security skal du fremhæve "Windows Defender Firewall med avanceret sikkerhed^{(Advanced Security)} på lokal computer" i menuen til venstre. Klik på Egenskaber^(Properties) i menuen yderst til højre under "Handlinger" .

• I det nye dialogvindue skal du navigere til fanen "Privat profil" og vælge Tilpas^(Customize) , som kan findes i sektionen "Logføring".

• Det nye vindue giver dig mulighed for at vælge, hvor stor en logfil du vil skrive, hvor du vil have filen sendt, og om du kun vil logge mistede pakker, vellykket forbindelse eller begge dele.

• Tabte^(Dropped) pakker er dem, som Windows Firewall har blokeret på dine vegne.
• Som standard vil Windows Firewall -logposter kun gemme de sidste 4 MB data og kan findes i %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Husk, at en forøgelse af størrelsesgrænsen for dataforbrug til logfiler kan påvirke din computers ydeevne.
• Tryk på OK^(OK) , når du er færdig.
• Gentag derefter de samme trin, som du lige har gennemgået på fanen "Privat profil", kun denne gang på fanen "Offentlig profil".
  • Logs vil nu blive genereret til både offentlige og private forbindelser. Du kan se filerne i en teksteditor som Notesblok^(Notepad) eller importere dem til et regneark.
  • Du kan nu eksportere logfilerne til et databaseparserprogram som IP Traffic Spy for at filtrere og sortere trafikken for nem identifikation.

Hold øje med noget ud over det sædvanlige i logfilerne. Selv den mindste systemfejl kan indikere en rootkit-infektion. Noget i retning af overdreven CPU- eller båndbreddeforbrug, når du ikke kører noget for krævende eller overhovedet, kan være et vigtigt fingerpeg.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are used by hackers to hide persistent, seemіngly undeteсtable malware within your device that will silently steal dаta or resources, sometimes over the cоurse of multiple yearѕ. They can also be used in keуlogger fashion where your keystrokes and communications are surveіlled providing the onlooker with privacy information.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Download Windows 10-vejledninger til begyndere fra Microsoft

• Sådan bruger du Windows 10 PC - Grundlæggende vejledning og tips til begyndere

• Download Windows Ink Guide til Windows 10 fra Microsoft

• Download Windows 10-vejledninger til begyndere fra Microsoft

• Referencevejledning til gruppepolitikindstillinger for Windows 10

• Bedste gratis stregkodescannersoftware til Windows 10

• Sådan bruger du Network Sniffer Tool PktMon.exe i Windows 10

• HDG Ultimate Guide til at tage skærmbilleder i Windows 10

• Sådan redigeres værtsfilen i Windows 10 [GUIDE]

• Skjul værktøjslinjer-indstillingen i proceslinjens kontekstmenu i Windows 10

• Deaktiver berøringsskærm i Windows 10 [GUIDE]

• Få Firefox til at vise mediekontroller på Windows 10 låseskærm

• Hvad er Control Flow Guard i Windows 10 - Sådan slår du den til eller fra

• Kan ikke oprette forbindelse til Xbox Live; Løs Xbox Live Networking-problem i Windows 10

• Download Windows 10-vejledninger til begyndere fra Microsoft

• Vejledning til Windows 10 Task Manager – Del I

• Windows 10 Tastaturgenveje: Den ultimative guide

• Se digitalt tv og lyt til radio på Windows 10 med ProgDVB

• Ryd hurtigt al cache i Windows 10 [Den ultimative guide]

• Sådan slettes Win Setup-filer i Windows 10 [GUIDE]