Situatie
Rootkit-urile sunt dupa parerea mea pe locul doi dupa virusi (fisiere ce infecteaza executabilele) la cele mai urate infectii pe care le poate avea un pc.
Rootkit-urile se pot ascunde cam de aproape orice alt tool/antivirus si pot sta fain frumos in memorie fara a fi detectate.
Cu acest articol vreau subliniez ca exista si metode rudimentare, dar totusi mult mai bune in anumite situatii decat un antivirus.
Stiu ca toti puteti folosi un soft antivirus pentru asta sau alt tool, dar v-ati intrebat vreodata cum puteti voi manual sa aflati daca aveti un rootkit?
Metoda intr-adevar e manuala, dar din punctul meu de vedere are 100% sanse sa descopere un rootkit care posibil sa nu fie detectat de antivirusul pe care il aveti. Mai ales ca ei se bazeaza pe definitii si pe detectie heuristica si nu pe comparatie ca in cazul ce vi-l voi prezenta.
In trecut, poate si in prezent, existau variante care nici macar antivirusii incarcati in RAM nu aveau posibilitatea de a detecta un anumit rootkit, decat daca se incarcau in RAM inaintea rootkit-ului asa ca pentru acest singur aspect exista o metoda alternativa.
Solutie
Metoda este destul de simpla si se bazeaza pe compararea fisierelor aflate in locatia driverelor “rootkit-urilor”
Principiul e simplu:
- in modul normal (windows) se listeaza toate fisierele din c:windowssystem32drivers*.sys cu comanda:
dir c:windowssystem32drivers*.sys /a /b >>c:folder1.txt
- se buteaza cu un cd/dvd/stick de windows/ si in command prompt se ruleaza din nou comanda de mai sus dar returnarea tuturor valorilor se va face intr-un nou fisier nou ex: 2.txt
- se buteaza in modul normal de windows si in command prompt se ruleaza comanda de comparare a celor doua fisiere. Aveti grija la locatia in fisierelor.
fc c:folder1.txt c:folder2.txt
- se analizeaza rezultatul ca in imaginea de mai jos.
Daca ai diferente de fisiere ca in cazul de mai sus xxx.dll acestea fost fi analizate cu diversi antivirusi sau prin simplul upload pe virustotal.com. Insa daca acestea nu au putut fi vazute in modul normal de lucru cel mai probabil ca v-or trebui copiate tot prin boot cu live cd/stick …etc
Parerea mea este ca daca gasiti asa ceva, atunci ele din start nu au ce cauta acolo mai ales cu asemenea attribute de hidden sau super hidden.
Niciun software legitim nu isi ascunde fisierele la nivel de kernel in asa fel incat sa nu poata fi vizibile. Deci 99,9% din acele fisiere sunt malware.
Leave A Comment?