Antirootkit
Anti Rootkit; Anti-Rootkit
Rootkit je skupina alata i programa koji omogućavaju (aktiviraju) pristup računalu ili mreži računala na administratorskoj razini. Kada je rootkit instaliran na računalu dozvoljava napadaču maskiranje napada (upada) i stjecanje povlaštenog pristupa računalu i ostalim računalima na mreži, ako postoje. Rootkit može sadržavati spyware ili neke druge programe za praćenje prometa, praćenje korištenja tipkovnice, može napraviti ‘backdoor’ (stražnji ulaz u komp) za hacker-e, izmijeniti log datoteke, napasti druga računala na mreži i promijeniti postojeće sistemske alate da bi izbjegao pronalaženje.
Ako je rootkit pronađen, jedino sigurno rješenje u teoriji (Microsoft, F-Secure, Sisinternals) je formatiranje diska i re-instalacija operativnog sustava.
.
Anti-rootkit alati
je besplatan alat za uklanjanje neželjenih programa (eng. rootkit) kojima je osnovna zadaća omogućiti prikriveni rad određenih objekata ili čak neovlašteno udaljeno upravljanje sustavom. Namijenjen je Windows operacijskim sustavima, a prilikom instalacije, instaliraju se dva programa – sargui.exe (inačica grafičkog sučelja) i sarcli.exe (inačica naredbenog retka). Nakon instalacije i pokretanja alata, potrebno je odabrati područja koja korisnik želi pretražiti. Nakon pretraživanja ispišu se pronađene sumnjive datoteke i ostali objekti te se za svaku od njih nudi jedna od tri opcije – ne može se obrisati (Removable: No); preporuča se brisanje (Removable: Yes – clean up recommended); ili za datoteke koje alat ne prepoznaje pa stoga ne preporuča njihovo brisanje (Removable: Yes – but clean up not recommended for this file). Nakon čišćenja, potrebno je ponovno pokrenuti računalo te se preporuča i ponovno pokretanje alata za provjeru uspješnosti čišćenja. Alat je vrlo jednostavan za instalaciju i korištenje, a sama provjera traje relativno kratko, nekoliko minuta (ovisno naravno o količini podataka koji se provjeravaju). – u mapi pokreni sargui.exe –
(WIN2K/XP)
Trend Micro
– boot watch – trial (ali dovoljno za detekciju : )
F-secure
(NT/2000/XP) – – otkriva = skrivene procese, servise, datoteke, registry ključeve, drajvere / prati funkcije sustava = stvaranje procesa, učitavanje drajvera, TCP/IP veze, datoteke (funkcije)
(radi samo na WIN XP s SP2 – zahtijeva najmanje 512 Mb RAM-a i ) –
– ne zahtijeva toliku memoriju – radi samo na NTFS
je alat tvrtke Sysinternals koji omogućuje detekciju neovlaštenih programa na računalima s Windows operacijskim sustavima. Rad alata temelji se na detekciji malicioznih komponenti koje su skrivene od standardnog Windows API sučelja, a ipak prisutne na datotečnom sustavu. Alat se može koristiti u GUI grafičkom obliku, a postoji i inačica alata koja se može pokretati iz naredbenog retka i koja rezultate prikazuje u CSV formatu. Opcije unutar alata svedene su na minimum i korisniku omogućavaju pokretanje postupka skeniranja, pohranu rezultata provedenog skeniranja te pomoć pri radu (Help izbornik). Zbog specifičnosti rada i ponašanja Windows operacijskog sustava program može generirati veći broj lažnih upozorenja, što može otežati detekciju stvarnih neovlaštenih programa.-
(WinXP/2003/2000)
-API povezivanje je korisna tehnika koja se koristi za praćenje API poziva od strane Win32 programa. Isto tako API povezivanje također koriste rootkit programi i ostali zlonamjerni kodovi za preinaku karakteristika postojećih API funkcija za skrivanje datoteka, procesa, servisa i mrežnih portova.
Ovaj program je uspješno testiran za borbu protiv HackDefender inačice 1.0 rootkit za Windows-e. –
(Lavasoft) – Oko 60 milijuna Sony-jevih CD-a sadrži rootkit programe u svrhu sakrivanja BMG’s DRM programa za zaštitu sadržaja CD-a. Nezaštićena računala su izložena sigurnosnim rizicima.
– novi anti-rootkit program – Microsoft® Windows 2008 Server; Windows Vista; Windows XP Professional or Home Edition; Windows 2000 sa Service Pack 4; Windows 2003 Server – samo x86 inačice
Za navedene i ostale programe pogledaj stranice:
– –
Objave (RSS)