Есть ли способ найти руткиты на 64-битной Windows 7

20562
Seth Spearman

Я был на работе, мне позвонили в службу поддержки по поводу довольно серьезного заражения вредоносным ПО, и это заставило меня задуматься о своем собственном компьютере.

Я использую Windows 7 64-битный RC1 на своем повседневном ноутбуке. Я использую антивирус ESET NOD32, который постоянно обновляется. Я никогда не выключал UAC.

Я также специалист по компьютерам, поэтому у меня есть неплохая идея, когда НЕ нажимать OK в диалоговом окне Windows, которое выглядит мошенническим.

Все это говорит о том, что я думаю, что я чист, но я хотел быть уверенным, поэтому я загрузился в безопасном режиме, загрузил и сделал быстрое сканирование, используя рекомендованный инструмент защиты от вредоносных программ MalwareBytes tool. Он нашел только странную запись в реестре, которую я удалил. Проблем с файлами или папками обнаружено не было. Я перезагрузился, чтобы завершить очистку, как он просил. Я был удивлен этим, потому что все, что он делал, это чистая запись в реестре.

Ах, да ... еще одна вещь запустить профессиональную версию BillP Studio WinPatrol.

После обычной перезагрузки WinPatrol предупредил о новой программе MalwareBytes, которую я ожидал и разрешил. Но, к моему удивлению, он также заставил меня подтвердить установку / настройку userinit (я не помню, был ли это dll или exe), но информация о программе заключалась в том, что это файл, который представляет экран запуска Windows. Я позволил это, но это застало меня врасплох.

Одна последняя вещь. Я также попытался запустить средство обнаружения руткитов и IceSword, чтобы я мог выполнить сканирование руткитов на своем компьютере, и ни один из них не запустился, и я уверен, что это происходит потому, что я использую 64-разрядную ОС.

Итак, вот мои вопросы:

  1. Это нормально для userinit быть «переустановленным» или «re-init» после выполнения сканирования с помощью MalwareBytes? Если нет, почему было предложено разрешить разрешения для этого файла?

  2. Есть ли известный / рекомендуемый способ проверки руткитов в 64-битной системе Windows?

  3. Возможно ли, что на моей машине МЕНЬШЕ, вероятно, возникла проблема с руткитом, ПОТОМУ ЧТО я использую 64-битную ОС. Разве руткит не должен запускаться как 64-битный процесс, и разве не вероятно, что сейчас руткиты не будут записываться для целевой 64-битной системы, поскольку это меньшая целевая аудитория? Моя площадь риска на самом деле меньше?

Заранее спасибо.

Сет

3
Иду об остальном, но о # 3: Нет. Windows 64-bit поддерживает запуск 32-битных процессов, если вы еще не заметили. Will Eddins 14 лет назад 0
Мне интересно услышать больше о так называемой новой безопасности, которую, как утверждают, имеет Windows 7. У кого-нибудь есть точная информация по этому поводу? До сих пор я слышал только о том, что это лучше, и теперь защитник Windows также защищает от вирусов. Sakamoto Kazuma 14 лет назад 0
Guard, It is true you can run 32-bit programs. But you CAN'T run 32-bit drivers. 64-bit requires 64-bit drivers. And the point of the question is I would THINK -- but can't be sure, which is why I ask-- that a rootkit would need driver level support/permissions rather than mere application level support/permissions. Seth Spearman 14 лет назад 0
Это хорошая мысль, Сет. Для руткита ядра действительно нужен драйвер. Кроме того, будучи склонным к замене определенных частей ядра, его необходимо будет разрабатывать с учетом 64-разрядных версий или приводить к сбою под Win 64-bit. Однако следует также отметить, что существуют другие типы руткитов (http://en.wikipedia.org/wiki/Rootkit#Types), для которых не требуется драйвер устройства. И ... не все драйверы устройств должны быть специально разработаны для 64-битных ОС. A Dwarf 14 лет назад 0

3 ответа на вопрос

2
raven

Sophos Anti-Rootkit утверждает, что может сканировать и удалять руткиты в 64-битной Windows 7.

0
A Dwarf

Есть ли известный / рекомендуемый способ проверки руткитов в 64-битной системе Windows?

Есть только две программы, которым я доверяю: ComboFix и RegDelNull .

Однако я не уверен относительно поддержки 64-битной версии ComboFix. Но если вы создадите точку восстановления перед ее использованием, вы сможете использовать консоль восстановления для ее восстановления в случае, если что-то пойдет не так.

Но я чувствую необходимость сделать 2 очка здесь:

1. 64-битное увлечение
Мне еще предстоит понять, почему настаивает на использовании 64-битных версий ваших ОС. По всем практическим причинам в этом есть около 0 преимуществ. 64-разрядная ОС полезна только тогда, когда 64-разрядные приложения, использующие новые функции процессора и адресное пространство, становятся массовыми. Это не относится к делу. Очень немногие приложения являются истинными 64-битными, а те, что есть, - только по причинам совместимости. По большей части эти приложения не используют и не используют ни одну из этих функций. И затем, как вы видите, у вас возникают проблемы, когда вы пытаетесь получить специализированное программное обеспечение, которое может не работать под 64-битной версией.

2. Методы
Нет четкого способа проверки руткитов. Даже combofix, безусловно, использует свою собственную методологию, которая позволит другим или более новым руткитам обойтись невредимым. Тем не менее, вашими предпочтительными инструментами всегда будут консоль восстановления или загрузка в безопасном режиме, где многие из этих руткитов не будут работать.

При этом некоторые брандмауэры предлагают защиту на системном уровне (я думаю, например, Comodo ), которая позволит вам видеть запросы на системном уровне, информирующие о многих изменениях, происходящих на вашем компьютере.

Кроме того, UAC должен быть включен на самом высоком уровне и работать с учетной записью без прав администратора. Это то, для чего был создан UAC, и больше нет никаких оправданий тому, чтобы не запускать наши машины с Windows под непривилегированной учетной записью. Никакой руткит никогда не сможет обойти то, что на самом деле означает, что вам не нужно беспокоиться о поиске их.

Возможно ли, что на моей машине МЕНЬШЕ, вероятно, возникла проблема с руткитом, ПОТОМУ ЧТО я использую 64-битную ОС. Разве руткит не должен запускаться как 64-битный процесс, и разве не вероятно, что сейчас руткиты не будут записываться для целевой 64-битной системы, поскольку это меньшая целевая аудитория? Моя площадь риска на самом деле меньше?

К сожалению нет. Как уже упоминалось, 64-битные системы позволяют запускать 32-битные приложения на любом уровне. Но внимание! Вы добавляете определенный уровень защиты, поскольку там могут быть руткиты, которые могут выйти из строя под 64-битной ОС по многим причинам; так же, как и многие другие 32-битные приложения, необъяснимым образом или нет, они также имеют тенденцию к отказу в 64-битных ОС. Руткиты не застрахованы от ошибок. Но это все.

Тем не менее, есть также возможность запуска определенных руткитов специально для 64-битных систем. Таким образом, вы действительно нигде не в безопасности.

64 бита становятся необходимыми, если вы хотите использовать более 3 ГБ на компьютере, который поставляется с большинством компьютеров, поставляемых сегодня. Sanjay Sheth 14 лет назад 1
И все же ни одно 32-разрядное программное обеспечение не использует преимущества добавленного адресного пространства, и практически ни одно 64-разрядное программное обеспечение не нуждается в этом. Это моя точка зрения, Санджай. За пределами очень специализированного программного обеспечения в области техники, науки и, возможно, в области кино, вы не используете его в настоящее время. A Dwarf 14 лет назад 0
Виртуализация? Bender 14 лет назад 0
Он не зависит от адресного пространства процессора. 32-разрядные процессоры также предлагают аппаратную виртуализацию A Dwarf 14 лет назад 0
Да, но памяти быстро становится мало. Bender 14 лет назад 0
A Dwarf, The point is not that the programs don't support it. The point is that you can only address 4 GB of RAM on a 32 bit system (actual suport is 3GB) whereas 64-bit can address (not sure - is it over a terabyte?). In any case my PC came with 4 GB of RAM and I run a lot of virtual machines. That is why I wanted it. That said, even after all these years 64-bit is a pain. I have had a lot of issues with driver and application support. I have managed to get around them but they have been a pain. Seth Seth Spearman 14 лет назад 0
Я понимаю Сета :) Но вопрос остается ... Зачем тебе больше 4ГБ? Это вопрос. Но я прошу вас, будьте объективны. A Dwarf 14 лет назад 0
I run multiple virtualbox virtual machines at the same time. And my host is also Windows 7. This would not be possible (or at least a lot more unpleasant) without 4 GB of RAM. Seth Spearman 14 лет назад 0
0

Я регулярно использую combofix на 64-битной Vista. По моему опыту, 64-битная система использует преимущества системных операций независимо от того, работает приложение или нет. Хотя я не согласен с тем, что Vista 64 не содержит руткитов на 100%, получить руткиты на 64-битной ОС намного сложнее. Производителям аппаратного обеспечения пока сложно создавать драйверы для 64-битных систем, я не думаю, что мы увидим слишком много 64-битных корневых комплектов. И если вам не нравится привыкание к 64-битной системе, нравится вам это или нет, то 4 ГБ оперативной памяти устареет. Когда это произойдет, потребуется 64 бита.

Похожие вопросы