Antirootkit

Rootkit je skupina alata i programa koji omogućavaju (aktiviraju) pristup računalu ili mreži računala na administratorskoj razini. Kada je rootkit instaliran na računalu dozvoljava napadaču maskiranje napada (upada) i stjecanje povlaštenog pristupa računalu i ostalim računalima na mreži, ako postoje. Rootkit može sadržavati spyware ili neke druge programe za praćenje prometa, praćenje korištenja tipkovnice, može napraviti ‘backdoor’ (stražnji ulaz u komp) za hacker-e, izmijeniti log datoteke, napasti druga računala na mreži i promijeniti postojeće sistemske alate da bi izbjegao pronalaženje.

Ako je rootkit pronađen, jedino sigurno rješenje u teoriji (Microsoft, F-Secure, Sisinternals) je formatiranje diska i re-instalacija operativnog sustava.

.

Anti-rootkit alati

Sophos Anti-Rootkit – u mapi pokreni sargui.exe
Sophos Anti-Rootkit je besplatan alat za uklanjanje neželjenih programa (eng. rootkit) kojima je osnovna zadaća omogućiti prikriveni rad određenih objekata ili čak neovlašteno udaljeno upravljanje sustavom. Namijenjen je Windows operacijskim sustavima, a prilikom instalacije, instaliraju se dva programa – sargui.exe (inačica grafičkog sučelja) i sarcli.exe (inačica naredbenog retka). Nakon instalacije i pokretanja alata, potrebno je odabrati područja koja korisnik želi pretražiti. Nakon pretraživanja ispišu se pronađene sumnjive datoteke i ostali objekti te se za svaku od njih nudi jedna od tri opcije – ne može se obrisati (Removable: No); preporuča se brisanje(Removable: Yes – clean up recommended); ili za datoteke koje alat ne prepoznaje pa stoga ne preporuča njihovo brisanje (Removable: Yes – but clean up not recommended for this file). Nakon čišćenja, potrebno je ponovno pokrenuti računalo te se preporuča i ponovno pokretanje alata za provjeru uspješnosti čišćenja. Alat je vrlo jednostavan za instalaciju i korištenje, a sama provjera traje relativno kratko, nekoliko minuta (ovisno naravno o količini podataka koji se provjeravaju). skini

AVG Antirootkit (WIN2K/XP)

McAfee Rootkit Detective

Panda Anti-Rootkit

Trend Micro RootkitBuster

UnHackMe – boot watch – trial (ali dovoljno za detekciju : )

Avira AntiRootkit Tool

F-secure BlackLight

GMER (NT/2000/XP)skini
otkriva – skrivene procese, servise, datoteke, registry ključeve, drajvere
prati funkcije sustava – stvaranje procesa, učitavanje drajvera, TCP/IP veze, datoteke (funkcije)

HELIOS (radi samo na WIN XP s SP2 – zahtijeva najmanje 512 Mb RAM-a i NET Framework) – strskini
Helios Lite – ne zahtijeva toliku memoriju – radi samo na NTFS

RootkitRevealerstrskini
RootkitRevealer je alat tvrtke Sysinternals koji omogućuje detekciju neovlaštenih programa na računalima s Windows operacijskim sustavima. Rad alata temelji se na detekciji malicioznih komponenti koje su skrivene od standardnog Windows API sučelja, a ipak prisutne na datotečnom sustavu. Alat se može koristiti u GUI grafičkom obliku, a postoji i inačica alata koja se može pokretati iz naredbenog retka i koja rezultate prikazuje u CSV formatu. Opcije unutar RootkitRevealer alata svedene su na minimum i korisniku omogućavaju pokretanje postupka skeniranja, pohranu rezultata provedenog skeniranja te pomoć pri radu (Help izbornik). Zbog specifičnosti rada i ponašanja Windows operacijskog sustava program može generirati veći broj lažnih upozorenja, što može otežati detekciju stvarnih neovlaštenih programa.

RootKit Hook Analyzer (WinXP/2003/2000)

AntiHookExecskini
API povezivanje je korisna tehnika koja se koristi za praćenje API poziva od strane Win32 programa. Isto tako API povezivanje također koriste rootkit programi i ostali zlonamjerni kodovi za preinaku karakteristika postojećih API funkcija za skrivanje datoteka, procesa, servisa i mrežnih portova.
Ovaj program je uspješno testiran za borbu protiv HackDefender inačice 1.0 rootkit za Windows-e.

Aries Rootkit Remover (Lavasoft)
Oko 60 milijuna Sony-jevih CD-a sadrži rootkit programe u svrhu sakrivanja BMG’s DRM programa za zaštitu sadržaja CD-a. Nezaštićena računala su izložena sigurnosnim rizicima.

Za navedene i ostale programe pogledaj stranice:
Antirootkit.com
SpywareWariorforumRootkit – Wikipedija (en.)

Stranica osvježena: 08/03/2010 @ 00:08 --- Tekst osvježen: 25/02/2010 @ 21:20