Antirootkit
Rootkit je skupina alata i programa koji omogućavaju (aktiviraju) pristup računalu ili mreži računala na administratorskoj razini. Kada je rootkit instaliran na računalu dozvoljava napadaču maskiranje napada (upada) i stjecanje povlaštenog pristupa računalu i ostalim računalima na mreži, ako postoje. Rootkit može sadržavati spyware ili neke druge programe za praćenje prometa, praćenje korištenja tipkovnice, može napraviti ‘backdoor’ (stražnji ulaz u komp) za hacker-e, izmijeniti log datoteke, napasti druga računala na mreži i promijeniti postojeće sistemske alate da bi izbjegao pronalaženje.
Ako je rootkit pronađen, jedino sigurno rješenje u teoriji (Microsoft, F-Secure, Sisinternals) je formatiranje diska i re-instalacija operativnog sustava.
.
Anti-rootkit alati
Sophos Anti-Rootkit – u mapi pokreni sargui.exe
Sophos Anti-Rootkit je besplatan alat za uklanjanje neželjenih programa (eng. rootkit) kojima je osnovna zadaća omogućiti prikriveni rad određenih objekata ili čak neovlašteno udaljeno upravljanje sustavom. Namijenjen je Windows operacijskim sustavima, a prilikom instalacije, instaliraju se dva programa – sargui.exe (inačica grafičkog sučelja) i sarcli.exe (inačica naredbenog retka). Nakon instalacije i pokretanja alata, potrebno je odabrati područja koja korisnik želi pretražiti. Nakon pretraživanja ispišu se pronađene sumnjive datoteke i ostali objekti te se za svaku od njih nudi jedna od tri opcije – ne može se obrisati (Removable: No); preporuča se brisanje(Removable: Yes – clean up recommended); ili za datoteke koje alat ne prepoznaje pa stoga ne preporuča njihovo brisanje (Removable: Yes – but clean up not recommended for this file). Nakon čišćenja, potrebno je ponovno pokrenuti računalo te se preporuča i ponovno pokretanje alata za provjeru uspješnosti čišćenja. Alat je vrlo jednostavan za instalaciju i korištenje, a sama provjera traje relativno kratko, nekoliko minuta (ovisno naravno o količini podataka koji se provjeravaju). skini
AVG Antirootkit (WIN2K/XP)
Trend Micro RootkitBuster
UnHackMe – boot watch – trial (ali dovoljno za detekciju : )
F-secure BlackLight
GMER (NT/2000/XP) – skini
otkriva – skrivene procese, servise, datoteke, registry ključeve, drajvere
prati funkcije sustava – stvaranje procesa, učitavanje drajvera, TCP/IP veze, datoteke (funkcije)
HELIOS (radi samo na WIN XP s SP2 – zahtijeva najmanje 512 Mb RAM-a i NET Framework) – str – skini
Helios Lite – ne zahtijeva toliku memoriju – radi samo na NTFS
RootkitRevealer – str – skini
RootkitRevealer je alat tvrtke Sysinternals koji omogućuje detekciju neovlaštenih programa na računalima s Windows operacijskim sustavima. Rad alata temelji se na detekciji malicioznih komponenti koje su skrivene od standardnog Windows API sučelja, a ipak prisutne na datotečnom sustavu. Alat se može koristiti u GUI grafičkom obliku, a postoji i inačica alata koja se može pokretati iz naredbenog retka i koja rezultate prikazuje u CSV formatu. Opcije unutar RootkitRevealer alata svedene su na minimum i korisniku omogućavaju pokretanje postupka skeniranja, pohranu rezultata provedenog skeniranja te pomoć pri radu (Help izbornik). Zbog specifičnosti rada i ponašanja Windows operacijskog sustava program može generirati veći broj lažnih upozorenja, što može otežati detekciju stvarnih neovlaštenih programa.
RootKit Hook Analyzer (WinXP/2003/2000)
AntiHookExec – skini
API povezivanje je korisna tehnika koja se koristi za praćenje API poziva od strane Win32 programa. Isto tako API povezivanje također koriste rootkit programi i ostali zlonamjerni kodovi za preinaku karakteristika postojećih API funkcija za skrivanje datoteka, procesa, servisa i mrežnih portova.
Ovaj program je uspješno testiran za borbu protiv HackDefender inačice 1.0 rootkit za Windows-e.
Aries Rootkit Remover (Lavasoft)
Oko 60 milijuna Sony-jevih CD-a sadrži rootkit programe u svrhu sakrivanja BMG’s DRM programa za zaštitu sadržaja CD-a. Nezaštićena računala su izložena sigurnosnim rizicima.
Za navedene i ostale programe pogledaj stranice:
Antirootkit.com
SpywareWarior – forumRootkit – Wikipedija (en.)
Objave (RSS)