Sådan finder du rootkits i Windows 10 (dybdegående vejledning)

Rootkits bruges af hackere til at skjule vedvarende, tilsyneladende uopdagelig malware inde i din enhed, som i det stille vil stjæle data eller ressourcer, nogle gange i løbet af flere år. De kan også bruges på keylogger-måde, hvor dine tastetryk og kommunikation overvåges og giver tilskueren oplysninger om privatlivets fred.  

Denne særlige hackingmetode var mere relevant før 2006, før Microsoft Vista krævede, at leverandører digitalt signerede alle computerdrivere. Kernel Patch Protection(Kernel Patch Protection) ( KPP ) fik malware-forfattere til at ændre deres angrebsmetoder, og først for nylig fra 2018 med Zacinlo-annoncebedrageri-operationen(Zacinlo ad fraud operation) kom rootkits igen i søgelyset.

Rootkittene fra før 2006 var alle specifikt operativsystembaserede. Zacinlo -(Zacinlo) situationen, et rootkit fra Detrahere malware- familien, gav os noget endnu mere farligt i form af et firmware-baseret rootkit. Uanset hvad(Regardless) er rootkits kun omkring én procent af al malware-output, der ses årligt. 

Alligevel, på grund af den fare, de kan udgøre, ville det være klogt at forstå, hvordan detektion af rootkits, der muligvis allerede er infiltreret dit system, fungerer.

Registrering af rootkits i Windows 10 ( dybdegående(In-Depth) )

Zacinlo havde faktisk været i spil i næsten seks år, før han blev opdaget målrettet mod Windows 10 -platformen. Rootkit-komponenten var meget konfigurerbar og beskyttede sig selv mod processer, den anså for farlige for dens funktionalitet, og var i stand til at opsnappe og dekryptere SSL- kommunikation.

Det ville kryptere og gemme alle sine konfigurationsdata i Windows-registreringsdatabasen(Windows Registry) og, mens Windows lukkede ned, omskrive sig selv fra hukommelse til disk ved hjælp af et andet navn og opdatere sin registreringsnøgle. Dette hjalp det med at undgå opdagelse af din standard antivirussoftware.

Dette viser, at en standard antivirus- eller antimalware-software ikke er nok til at opdage rootkits. Selvom der er et par antimalware-programmer på højeste niveau, der vil advare dig om mistanke om et rootkit-angreb. 

De 5 nøgleegenskaber ved en god antivirussoftware(The 5 Key Attributes Of a Good Antivirus Software)

De fleste af de fremtrædende antivirusprogrammer i dag vil udføre alle fem af disse bemærkelsesværdige metoder til at detektere rootkits.

  • Signaturbaseret analyse(Signature-based Analysis) – Antivirussoftwaren vil sammenligne loggede filer med kendte signaturer af rootkits. Analysen vil også lede efter adfærdsmønstre, der efterligner visse driftsaktiviteter af kendte rootkits, såsom aggressiv portbrug.
  • Interception Detection - Windows -operativsystemet anvender pointer-tabeller til at køre kommandoer, der vides at bede et rootkit om at handle. Da rootkits forsøger at erstatte eller ændre noget, der betragtes som en trussel, vil dette tippe dit system til deres tilstedeværelse.
  • Multi-Source Data ComparisonRootkits , i deres forsøg på at forblive skjult, kan ændre visse data præsenteret i en standardundersøgelse. De returnerede resultater af systemkald på højt og lavt niveau kan give væk tilstedeværelsen af ​​et rootkit. Softwaren kan også sammenligne proceshukommelsen indlæst i RAM'en(RAM) med indholdet af filen på harddisken.
  • Integritetstjek(Integrity Check) – Ethvert systembibliotek besidder en digital signatur, der er oprettet på det tidspunkt, hvor systemet blev betragtet som "rent". God sikkerhedssoftware kan tjekke bibliotekerne for enhver ændring af koden, der bruges til at oprette den digitale signatur.
  • Registry Comparisons – De fleste antivirussoftwareprogrammer har disse på en forudindstillet tidsplan. En ren fil vil blive sammenlignet med en klientfil i realtid for at afgøre, om klienten er eller indeholder en uønsket eksekverbar (.exe).

Udførelse af Rootkit-scanninger(Performing Rootkit Scans)

At udføre en rootkit-scanning er det bedste forsøg på at opdage rootkit-infektion. Oftest kan dit operativsystem ikke være tillid til at identificere et rootkit på egen hånd, og det er en udfordring at bestemme dets tilstedeværelse. Rootkits er mesterspioner, der dækker deres spor ved næsten hver tur og er i stand til at forblive skjult i almindeligt syn.

Hvis du har mistanke om, at et rootkit-virusangreb har fundet sted på din maskine, ville en god strategi til detektion være at slukke for computeren og udføre scanningen fra et kendt rent system. En sikker måde at lokalisere et rootkit på din maskine er gennem en hukommelsesdumpanalyse. Et rootkit kan ikke skjule de instruktioner, det giver dit system, da det udfører dem i maskinens hukommelse.

Brug af WinDbg til Malware-analyse(Using WinDbg For Malware Analysis)

Microsoft Windows har leveret sit eget multifunktionelle fejlfindingsværktøj, der kan bruges til at udføre fejlfindingsscanninger på applikationer, drivere eller selve operativsystemet. Det vil fejlsøge kernetilstands- og brugertilstandskode, hjælpe med at analysere crash-dumps og undersøge CPU- registrene.

Nogle Windows - systemer kommer med WinDbg allerede bundtet i. De uden skal downloade det fra Microsoft Store . WinDbg Preview er den mere moderne version af WinDbg , der giver lettere for øjnene visuals, hurtigere vinduer, komplet scripting og de samme kommandoer, udvidelser og arbejdsgange som originalen.

Som minimum kan du bruge WinDbg til at analysere en hukommelse eller et crash-dump, inklusive en Blue Screen Of Death ( BSOD ). Fra resultaterne kan du se efter indikatorer for et malwareangreb. Hvis du føler, at et af dine programmer kan være hindret af tilstedeværelsen af ​​malware, eller bruger mere hukommelse end nødvendigt, kan du oprette en dumpfil og bruge WinDbg til at analysere den.

Et komplet hukommelsesdump kan optage betydelig diskplads, så det kan være bedre at udføre en Kernel-Mode dump eller Small Memory dump i stedet. En Kernel-Mode dump vil indeholde alle oplysninger om hukommelsesbrug fra kernen på tidspunktet for nedbruddet. En lille hukommelsesdump(Memory) vil indeholde grundlæggende oplysninger om forskellige systemer som drivere, kernen og mere, men er lille i sammenligning.

Små hukommelsesdumps(Memory) er mere nyttige til at analysere, hvorfor en BSOD er ​​opstået. For at finde rootkits vil en komplet version eller kerneversion være mere nyttig.

Oprettelse af en Kernel-Mode Dump-fil(Creating A Kernel-Mode Dump File)

En Kernel-Mode dump-fil kan oprettes på tre måder:

  • Aktiver dumpfilen fra Kontrolpanel(Control Panel) for at lade systemet gå ned af sig selv
  • Aktiver dumpfilen fra Kontrolpanel(Control Panel) for at tvinge systemet til at gå ned
  • Brug et debugger-værktøj til at oprette et til dig

Vi går med valg nummer tre. 

For at udføre den nødvendige dump-fil behøver du kun at indtaste følgende kommando i kommandovinduet(Command) i WinDbg .

Erstat Filnavn(FileName) med et passende navn til dumpfilen og "?" med et f . Sørg for, at "f" er lille, ellers vil du oprette en anden slags dump-fil.

Når debuggeren har kørt sit forløb (den første scanning vil tage betydelige minutter), vil en dumpfil være blevet oprettet, og du vil være i stand til at analysere dine resultater.

At forstå, hvad det er, du leder efter, såsom brug af flygtig hukommelse ( RAM ), for at bestemme tilstedeværelsen af ​​et rootkit, kræver erfaring og test. Det er muligt, selvom det ikke anbefales for en nybegynder, at teste malware-opdagende teknikker på et live system. For at gøre dette vil det igen kræve ekspertise og dybdegående viden om WinDbg 's funktion for ikke ved et uheld at implementere en levende virus i dit system.

Der er sikrere, mere begyndervenlige måder at afsløre vores godt skjulte fjende på.

Yderligere scanningsmetoder(Additional Scanning Methods)

Manuel detektion og adfærdsanalyse er også pålidelige metoder til at detektere rootkits. Forsøg på at opdage placeringen af ​​et rootkit kan være en stor smerte, så i stedet for at målrette mod selve rootkit, kan du i stedet lede efter rootkit-lignende adfærd.

Du kan søge efter rootkits i downloadede softwarepakker ved at bruge avancerede(Advanced) eller brugerdefinerede(Custom) installationsmuligheder under installationen. Det, du skal kigge efter, er ukendte filer, der er angivet i detaljerne. Disse filer bør kasseres, eller du kan lave en hurtig søgning online efter eventuelle referencer til skadelig software.

Firewalls og deres logningsrapporter er en utrolig effektiv måde at opdage et rootkit på. Softwaren vil give dig besked, hvis dit netværk er under kontrol, og bør sætte alle uigenkendelige eller mistænkelige downloads i karantæne før installation. 

Hvis du har mistanke om, at der allerede er et rootkit på din maskine, kan du dykke ned i firewall-logningsrapporterne og se efter noget ud over den sædvanlige adfærd.

Gennemgang af Firewall-logningsrapporter(Reviewing Firewall Logging Reports)

Du får lyst til at gennemgå dine nuværende firewall-logningsrapporter, hvilket gør et open source-program som IP Traffic Spy med firewalllogfiltreringsfunktioner til et meget nyttigt værktøj. Rapporterne vil vise dig, hvad der er nødvendigt at se, hvis et angreb skulle opstå. 

Hvis du har et stort netværk med en selvstændig udgangsfiltreringsfirewall, vil IP Traffic Spy ikke være nødvendig. I stedet bør du være i stand til at se de indgående og udgående pakker til alle enheder og arbejdsstationer på netværket via firewall-logfilerne.

Uanset om du er i et hjem eller en lille virksomhed, kan du bruge modemet fra din internetudbyder(ISP) eller, hvis du ejer en, en personlig firewall eller router til at hente firewall-logfilerne. Du vil være i stand til at identificere trafikken for hver enhed, der er tilsluttet det samme netværk. 

Det kan også være en fordel at aktivere Windows Firewall-(Windows Firewall Log) logfiler. Som standard er logfilen deaktiveret, hvilket betyder, at der ikke skrives nogen information eller data.

  • For at oprette en logfil skal du åbne funktionen Kør(Run) ved at trykke på Windows key + R .
  • Skriv wf.msc i boksen og tryk på Enter .

  • I vinduet Windows Firewall og Advanced Security skal du fremhæve "Windows Defender Firewall med avanceret sikkerhed(Advanced Security) på lokal computer" i menuen til venstre. Klik på Egenskaber(Properties) i menuen yderst til højre under "Handlinger" .

  • I det nye dialogvindue skal du navigere til fanen "Privat profil" og vælge Tilpas(Customize) , som kan findes i sektionen "Logføring".

  • Det nye vindue giver dig mulighed for at vælge, hvor stor en logfil du vil skrive, hvor du vil have filen sendt, og om du kun vil logge mistede pakker, vellykket forbindelse eller begge dele.

  • Tabte(Dropped) pakker er dem, som Windows Firewall har blokeret på dine vegne.
  • Som standard vil Windows Firewall -logposter kun gemme de sidste 4 MB data og kan findes i %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • Husk, at en forøgelse af størrelsesgrænsen for dataforbrug til logfiler kan påvirke din computers ydeevne.
  • Tryk på OK(OK) , når du er færdig.
  • Gentag derefter de samme trin, som du lige har gennemgået på fanen "Privat profil", kun denne gang på fanen "Offentlig profil".
    • Logs vil nu blive genereret til både offentlige og private forbindelser. Du kan se filerne i en teksteditor som Notesblok(Notepad) eller importere dem til et regneark.
    • Du kan nu eksportere logfilerne til et databaseparserprogram som IP Traffic Spy for at filtrere og sortere trafikken for nem identifikation.

Hold øje med noget ud over det sædvanlige i logfilerne. Selv den mindste systemfejl kan indikere en rootkit-infektion. Noget i retning af overdreven CPU- eller båndbreddeforbrug, når du ikke kører noget for krævende eller overhovedet, kan være et vigtigt fingerpeg.



About the author

Jeg er professionel software reviewer med over 10 års erfaring. Jeg har skrevet og anmeldt mange forskellige typer software, inklusive men ikke begrænset til: Microsoft Office (Office 2007, 2010, 2013), Android-apps og trådløse netværk. Mine kompetencer ligger i at give objektive og detaljerede anmeldelser af programmer/applikationer, som andre kan bruge som referencemateriale eller til eget arbejde. Jeg er også ekspert i MS office-produkter og har tips til, hvordan du bruger dem effektivt og effektivt.



Related posts