什么是最好的(希望免费或廉价)的方式来检测,然后,如果有必要,删除在您的机器上找到的rootkit?检测并删除Rootkit
2
A
回答
4
Sysinternals的一对夫妇几年前停止更新Rootkit启示。
检测Rootkit的唯一可靠方法是从已知文件的可信列表及其参数对已安装文件和文件系统元数据进行脱机比较。显然,你需要信任你正在运行比较的机器。
在大多数情况下,对于大多数人来说,使用启动光驱运行病毒扫描程序是有用的。否则,您可以从全新安装开始,从cdrom启动它,附加外部驱动器,运行perl脚本以查找和收集参数(大小,md5,sha1),然后存储参数。
要检查,运行perl脚本来查找和收集参数,然后将它们与存储的参数进行比较。
此外,你需要一个Perl脚本来更新系统更新后的存储参数。
- 编辑 - 更新此项以反映可用技术。如果您获得了任何可启动救援cd(例如trinity或rescuecd)的副本以及程序“chntpasswd”的最新副本,则可以离线浏览和编辑Windows注册表。
加上来自castlecops.com的启动列表副本,您应该能够找到最常见的rootkit的最常见运行点。并且始终跟踪您的驱动程序文件以及好的版本。
有了这样的控制级别,你最大的问题就是在你删除rootkit和特洛伊木马程序后,你的注册表被遗留下来的意大利面条混乱。通常。
- 编辑 - 也有窗口工具。但是我描述了我熟悉的工具,以及那些免费且更好记录的工具。
2
Rootkit revealer Sysinternals公司的
2
请记住,您可以绝不信任受损机器。您可能认为您发现了Rootkit的所有迹象,但攻击者可能在其他地方创建了后门。您使用的工具的非标准后门将无法检测到。作为一项规则,您应该从头重新安装受感染的机器。
相关问题
- 1. 删除并检测Tinyscrollbar
- 2. 检测backspace并删除“输入”事件?
- 3. 检测组件的删除
- 4. 文件删除检测
- 5. NSArray:检测并删除不存在的对象(文件)
- 6. 检测哪些值已添加并从阵列中删除
- 7. 如何检测并删除字符串中不需要的行?
- 8. 检测并从Java中删除一系列颜色BufferedImage
- 9. 使用gstreamer检测并删除音频文件中的沉默
- 10. 检测并删除python中的锁定文件
- 11. 如何检测并删除rapidminer中的噪音?
- 12. 如何检测删除所有者时删除子变形
- 13. MaxScript:检测对象何时被删除
- 14. 如何检测队列已被删除?
- 15. 如何检测ios numberpad删除新闻
- 16. 检测通知是否已被删除
- 17. 检测对删除的依赖关系
- 18. 在git中检测“文件”的删除
- 19. Rongongodb检测和删除坏文档
- 20. 如何删除Skype检测号码?
- 21. 检测imap_delete()和imap_expunge()的成功删除
- 22. 检测删除通知按钮
- 23. Dropbox webhook,检测删除的文件
- 24. 检测DOM节点何时被删除?
- 25. 检测到符号后删除文字
- 26. 在fwrite中检测磁盘删除C
- 27. TinyMCE如何检测图像被删除
- 28. CoreData检测删除实体后保存
- 29. 检测到MMS已被删除
- 30. 检测客户端上的Cookie删除
如果评论“belongs-on-serverfault”意味着它与编程无关,我想这是相对的,因为我在下面描述了一种编写程序来检测rootkit的方法。 – Chris 2009-06-29 22:24:36