Rootkits可以被删除么?有些人说可以有些人说不行而开发rootkits人毫无疑问都是绝顶聪明并且有着明显财务动机绝不会让rootkit轻易被检测出来那么答案到底是什么呢?
--------------------------------------------------------------------------------------------

　　在的前有关rootkit和僵尸网络系列文章中我看到了很多读者反馈尤其是有关如何移除rootkit讨论更是热烈因此在本文中我将结合实际情况以及安全专家们建议讨论如何移除rootkit

　　为何rootkit难以被删除

　　老实说我调查显示成功删除rootkit是件很偶然事情并不是在任何情况下都能采用相同思路方法来删除rootkit其中个重要原因是rootkit复杂性日益增加比如以下些复杂性:

　　· 利用操作系统特权等级安装rootkit可以让它们对恶意软件Software扫描免疫

　　· 通过高级QoS 参数缩短了从概念验证型rootkit向in the wild 型rootkit过渡时间使得恶意软件Software扫描很难获得有效标记

　　· 内置演变功能可以让rootkit随意改变自身特征使得采用模式识别扫描无用武的地

　　这只是少数几个原因但是已经足够了不过我们仍然有希望我肯定说只要我们能确定系统中被植入了rootkit就有办法将其删除关键问题在于如何将其删除

　　常犯

　　下面 3点是我经常犯我相信犯错肯定不止我个人因此在进行任何杀毒工作前先做以下 3个步骤:

　　· 根据我经验杀毒过程耗时和难度要比我们想象更长更难在执行杀毒工作过程中定要时刻牢记这点这样不论工作比想象简单还是更复杂你都可以做好充足准备

　　· 确保电脑操作系统驱动以及应用都打上了最新补丁以及采用了最新版本这可以有效防止rootkit再次入侵有关这方面经验和思路方法可以参考我的前文章 “Botnets: Keep Computers Up to Date or Else.”

　　· 如果可能将被感染电脑单独隔离在个子网内并接入互联网有很多建议都要求电脑断开网络但是实际上大部分杀毒软件Software或者扫描都需要接入网络以获取最新病毒特征文件另外我们也许还会用到在线扫描工具

　　开始吧

　　每个人都有自己偏爱扫描软件Software这也许是他的前直在使用这款扫描软件Software和大家样我也有自己偏爱软件Software问题是rootkit并不是通用因此某个扫描软件Software可能只能扫描出某些rootkit却漏掉了另些

　　我曾经使用过很多扫描软件Software让我对它们进行评价和推荐是毫无问题当然还有些扫描软件Software我没有使用过因此我在此对它们也不予评论另外好像有不少rootkit开发者也偏爱某些扫描器针对它们设计了反扫描机制因此接下来我将要介绍几种常见并且能够有效删除用户模式和内核模式rootkit扫描软件Software

　　趋势科技RUBotted

　　RUBotted 是款后台工作扫描软件Software对于那些不想对扫描器进行过多配置或者不想对删除rootkit动作进行选择用户来说这款软件Software最为合适它也是我在处理此类问题时首选工具我曾经使用RUBotted 成功删除了Windows XP 系统中用户模式rootkit

　　

　　F-Secure公司BlackLight

　　F-Secure Security Center 网站WebSite上有大量实用信息包括在线扫描器以及我们将要介绍BlackLight扫描器BlackLight是款类似RUBotted独立扫描软件Software基本不需要用户进行交互操作这两款扫描器最大区别在于BlackLight 是根据用户需要进行扫描它不会驻留在后台另外网站WebSite上removal tools 页面还提供了大量恶意软件Software专杀工具

　　

　　Rootkit Revealer

　　Rootkit Revealer 是款由前SysInternals即现在 Microsoft公司 Mark Russinovich 和Bryce Cogswell开发知名扫描软件SoftwareRootkit Revealer 工作机制如下:

　　“由于顽固rootkit都会修改API导致使用系统API扫描器看到结果和存储器中实际结果不符,RootkitRevealer则会对系统进行最高级别扫描以及最低级别扫描并对比两者差异从而确定系统中是否含有rootkit最高级别扫描采用是 Windows API 而最低级别扫描则是对文件系统或者注册表项目原始内容进行扫描”

　　

　　该软件Software最麻烦地方来自扫描的后和RUBotted 或 BlackLight区别RootkitRevealer需要用户参和判断是否要移除某个恶意软件Software般来说用户需要上网搜索有关可疑进程信息并查看如何将其删除

　　GMER

　　GMER 是款优秀扫描工具可以用来扫描隐藏服务注册表成分以及文件等和Rootkit Revealer样这款软件Software需要用户参和成分较多扫描完成后 GMER 会以红色标记出恶意软件Software并且可以直接对其删除GMER 网站WebSite上对于这款软件Software介绍也得到了大部分安全专家认可和肯定:

　　“GMER 是款用来扫描和删除rootkit软件Software它扫描对象包括:隐藏进程隐藏线程隐藏模块隐藏服务隐藏文件隐藏交换数据流( Alternate Data Streams)隐藏注册表键驱动挂钩SSDT驱动挂钩IDT驱动挂钩IRP呼叫以及inline hook GMER还可以监视如下系统功能:进程创建驱动加载库加载文件功能注册表项目 TCP/IP连接”



　　

　　我觉得GMER上手并不是很容易尤其是当用户不太熟悉GMER扫描结果时要么就完全信任GMER删掉标记出来可疑项目要么就亲自上网搜索相关内容确定扫描结果不是误报另外卸载GMER也挺麻烦需要用户输入如下命令:

　　· Start C:WINDOWSgmer_un.cmd script and reboot.

　　Greatis公司UnHackMe

　　UnHackMe 是款专用rootkit清理工具可以清理大部分简单rootkit以及部分顽固rootkitUnHackMe界面相当直观并且可以方便设置为后台运行不过UnHackMe并不是免费软件Software用户可以试用个月的后如果想继续使用就要支付19.95美元购买该软件Software了

　　这几周我直在试用UnHackMe并且直在研究它技术细节 实际上这款软件Software是由 3个独立组成:

　　· UnHackMe4– 检测隐藏服务注册表项进程服务以及驱动采用UnHackMedrv.sys 内核驱动

　　

　　· Partizan– 监视Windows 启动进程

　　

　　· Reanimator– 通过Greatis和特征库检测和删除 木马、间谍软件Software、广告软件Software

　　

　　在我看来 UnHackMe非常适合那些希望软件Software完全自动化并且能够比较有效清理rootkit用户UnHackMe目前问题在于知名度还不够大不过CNET已经提供了该软件Software下载服务

　　手动方式

　　正如我先前提到采用软件Software清理rootkit虽然简单但是存在扫描遗漏问题TechRepublic都提供了手动清除rootkit思路方法这些思路方法具有较高成功率但是并不是人人都适用手动清除rootkit需要完全人工操作对操作人员操作系统技能有相当高要求不过就算你不想采用手动方式清除rootkit学习下总是没有坏处:

　　1. 首先打开 Process Explorer (进程管理软件Software)找到可疑进程并将其终止但是不要删除这个进程

　　2. 运行个自己选定恶意软件Software扫描由于可疑进程已经被终止因此扫描有很大可能性会发现这个进程

　　3. 使用 AutoRuns 检查非正常服务驱动DLL以及进程

　　4. 记下任何可疑进程位置和名称

　　5. 在互联网上搜索相关进程信息如果确认是恶意软件Software进步查找它专杀工具

　　如果你对杀毒软件Software工作比较了解会发现上面介绍手动方式和软件Software自动方式非常相似两者都是试图抓住操作系统两个状态即系统实际开启了哪些进程以及系统打算开启哪些进程

　　整理总结

　　清理顽固恶意软件Software和rootkit并不是件易事对此我深有体会正因如此我在研究了数个小时后仍然觉得有关这主题文章难以下笔看上去能否清除rootkit并没有个明确结论

　　我觉得如果写篇针对某个rootkit文章反而更好写不过由于rootkit不断进化以及开发人员修改这样文章反而没有什么价值因此我希望通过这篇文章提高广大读者对rootkit认识以及应对rootkit能力

上页 1 2 



　　

　　我觉得GMER上手并不是很容易尤其是当用户不太熟悉GMER扫描结果时要么就完全信任GMER删掉标记出来可疑项目要么就亲自上网搜索相关内容确定扫描结果不是误报另外卸载GMER也挺麻烦需要用户输入如下命令:

　　· Start C:WINDOWSgmer_un.cmd script and reboot.

　　Greatis公司UnHackMe

　　UnHackMe 是款专用rootkit清理工具可以清理大部分简单rootkit以及部分顽固rootkitUnHackMe界面相当直观并且可以方便设置为后台运行不过UnHackMe并不是免费软件Software用户可以试用个月的后如果想继续使用就要支付19.95美元购买该软件Software了

　　这几周我直在试用UnHackMe并且直在研究它技术细节 实际上这款软件Software是由 3个独立组成:

　　· UnHackMe4– 检测隐藏服务注册表项进程服务以及驱动采用UnHackMedrv.sys 内核驱动

　　

　　· Partizan– 监视Windows 启动进程

　　

　　· Reanimator– 通过Greatis和特征库检测和删除 木马、间谍软件Software、广告软件Software

　　

　　在我看来 UnHackMe非常适合那些希望软件Software完全自动化并且能够比较有效清理rootkit用户UnHackMe目前问题在于知名度还不够大不过CNET已经提供了该软件Software下载服务

　　手动方式

　　正如我先前提到采用软件Software清理rootkit虽然简单但是存在扫描遗漏问题TechRepublic都提供了手动清除rootkit思路方法这些思路方法具有较高成功率但是并不是人人都适用手动清除rootkit需要完全人工操作对操作人员操作系统技能有相当高要求不过就算你不想采用手动方式清除rootkit学习下总是没有坏处:

　　1. 首先打开 Process Explorer (进程管理软件Software)找到可疑进程并将其终止但是不要删除这个进程

　　2. 运行个自己选定恶意软件Software扫描由于可疑进程已经被终止因此扫描有很大可能性会发现这个进程

　　3. 使用 AutoRuns 检查非正常服务驱动DLL以及进程

　　4. 记下任何可疑进程位置和名称

　　5. 在互联网上搜索相关进程信息如果确认是恶意软件Software进步查找它专杀工具

　　如果你对杀毒软件Software工作比较了解会发现上面介绍手动方式和软件Software自动方式非常相似两者都是试图抓住操作系统两个状态即系统实际开启了哪些进程以及系统打算开启哪些进程

　　整理总结

　　清理顽固恶意软件Software和rootkit并不是件易事对此我深有体会正因如此我在研究了数个小时后仍然觉得有关这主题文章难以下笔看上去能否清除rootkit并没有个明确结论

　　我觉得如果写篇针对某个rootkit文章反而更好写不过由于rootkit不断进化以及开发人员修改这样文章反而没有什么价值因此我希望通过这篇文章提高广大读者对rootkit认识以及应对rootkit能力

上页 1 2