从入门到精通:Rootkit检测及预防
[
2008/05/23 21:10 | by 刪蒢々記憶 ]
2008/05/23 21:10 | by 刪蒢々記憶 ]
Rootkit是一种能够以管理员身份访问计算机或计算机网络的程序。典型情况下,黑客们会通过利用已知的漏洞或口令破解而获得用户级访问,从而将rootkit安装到计算机上。Rootkit安装以后,它将准许攻击者掩饰其入侵行为,并获得对计算机的root级或特权级的访问,在可能的情况下还可以获得对网络上其它计算机的访问。
rootkit的威胁
一般来说,Rootkit自身并不是恶意软件,它是恶意软件用来隐藏自己的一种手段。但经黑客改造的rookkit可能包括间谍软件和其它的程序,如监视网络通信和用户击键的程序,也可以在系统中构建一个后门便于黑客使用,还可以修改日志文件,攻击网络上的其它计算机,或者改变现有的系统工具以用逃避检测。
黑客利用多种技术来操纵操作系统,其结果就是用户无法利用普通的杀毒软件来找到其踪迹,更别说清除了。
例如,用户无法在资源管理器中利用普通的文件查看程序来查找间谍文件,也不能通过任务管理器或其它的多数进程查看器来查看。同样地,在系统的启动文件夹内或其它的启动位置中都无法找到其它。即使用趋势科技的HijackThis这款工具也很困难。
黑客们日益热衷于用rooktit隐藏间谍软件或病毒等,这对于用户而言并不是一个好消息,因为用户们更容易遭受这种感染。
检测rootkit的存在并不是一件容易的事。多数反间谍软件或反病毒扫描程序无法检测这种代码,虽然一些产品具备了这种功能,但用户需要更加专业的rootkit检测工具。
Rootkit的类型
至少有五种类型的rootkit:固件(firmware)rootkit、虚拟化rootkit、内核级rootkit、库级rootkit、应用程序级rootkit等。
1.固件(firmware)rootkit
固件(firmware)rootkit使用设备或平台固件来创建顽固的恶意软件镜像。这种rootkit可以成功地隐藏在固件中,因为人们通常并不检查固件代码的完整性.
2.虚拟化rootkit
这种rootkit通过修改计算机的启动顺序而发生作用,其目的是加载自己而不是原始的操作系统。一旦加载到内存,虚拟化rootkit就会将原始的操作系统加载为一个虚拟机,这就使得rootkit能够截获客户操作系统所发出的所有硬件请求。如Blue Pill即是一例。
rootkit的威胁
一般来说,Rootkit自身并不是恶意软件,它是恶意软件用来隐藏自己的一种手段。但经黑客改造的rookkit可能包括间谍软件和其它的程序,如监视网络通信和用户击键的程序,也可以在系统中构建一个后门便于黑客使用,还可以修改日志文件,攻击网络上的其它计算机,或者改变现有的系统工具以用逃避检测。
黑客利用多种技术来操纵操作系统,其结果就是用户无法利用普通的杀毒软件来找到其踪迹,更别说清除了。
例如,用户无法在资源管理器中利用普通的文件查看程序来查找间谍文件,也不能通过任务管理器或其它的多数进程查看器来查看。同样地,在系统的启动文件夹内或其它的启动位置中都无法找到其它。即使用趋势科技的HijackThis这款工具也很困难。
黑客们日益热衷于用rooktit隐藏间谍软件或病毒等,这对于用户而言并不是一个好消息,因为用户们更容易遭受这种感染。
检测rootkit的存在并不是一件容易的事。多数反间谍软件或反病毒扫描程序无法检测这种代码,虽然一些产品具备了这种功能,但用户需要更加专业的rootkit检测工具。
Rootkit的类型
至少有五种类型的rootkit:固件(firmware)rootkit、虚拟化rootkit、内核级rootkit、库级rootkit、应用程序级rootkit等。
1.固件(firmware)rootkit
固件(firmware)rootkit使用设备或平台固件来创建顽固的恶意软件镜像。这种rootkit可以成功地隐藏在固件中,因为人们通常并不检查固件代码的完整性.
2.虚拟化rootkit
这种rootkit通过修改计算机的启动顺序而发生作用,其目的是加载自己而不是原始的操作系统。一旦加载到内存,虚拟化rootkit就会将原始的操作系统加载为一个虚拟机,这就使得rootkit能够截获客户操作系统所发出的所有硬件请求。如Blue Pill即是一例。
查杀运行状态下的EXE、DLL病毒
[ 2008/05/23 21:07 | by 刪蒢々記憶 ]
2008/05/23 21:07 | by 刪蒢々記憶 ]
一、对于启动进程的EXE病毒的查杀
1、在进程中可以发现的单进程EXE病毒或木马程序,如:svch0st.exe,有些杀毒软件可以发现且可以停掉进程,杀掉病毒;有些杀毒软件会报警提示用户或形成日志,需要用户作进一步判断后,再手工停掉相应进程,杀掉病毒。
2、在进程中可以发现的双进程EXE病毒或木马程序,由于手工方式不能同时停掉两个进程,当我们手工掉其中一个进程后,另一个进程会将该进程重新启动。针对这种情况杀毒软件也无能为力,若两个都是非系统进程,我们可以通过"任务管理器/进程/结束进程树"的方式停掉该进程,杀掉病毒;也可以用工具IceSword(冰刃)中"文件/设置/禁止进线程创建",来停掉其中一个进程,再停掉另一个进程,杀掉病毒。
3、对于像被"熊猫烧香"感染的EXE文件,上述两种手工处理无效,因为无法手工清除受病毒感染的文件中的病毒,这时只能向杀毒软件厂商提供病毒样本,等待杀毒软件升级后再进行处理,或重新安装操作系统。
1、在进程中可以发现的单进程EXE病毒或木马程序,如:svch0st.exe,有些杀毒软件可以发现且可以停掉进程,杀掉病毒;有些杀毒软件会报警提示用户或形成日志,需要用户作进一步判断后,再手工停掉相应进程,杀掉病毒。
2、在进程中可以发现的双进程EXE病毒或木马程序,由于手工方式不能同时停掉两个进程,当我们手工掉其中一个进程后,另一个进程会将该进程重新启动。针对这种情况杀毒软件也无能为力,若两个都是非系统进程,我们可以通过"任务管理器/进程/结束进程树"的方式停掉该进程,杀掉病毒;也可以用工具IceSword(冰刃)中"文件/设置/禁止进线程创建",来停掉其中一个进程,再停掉另一个进程,杀掉病毒。
3、对于像被"熊猫烧香"感染的EXE文件,上述两种手工处理无效,因为无法手工清除受病毒感染的文件中的病毒,这时只能向杀毒软件厂商提供病毒样本,等待杀毒软件升级后再进行处理,或重新安装操作系统。
查杀清除病毒的正确方法
[ 2008/05/21 21:30 | by 刪蒢々記憶 ]
2008/05/21 21:30 | by 刪蒢々記憶 ]
不小心点开了带病毒的邮件,发现时为时已晚。怎么办?我想大家第一时间想到的一定是用杀毒软件查杀。没错,有了病毒就要查杀。人之常情吗!可是,大家却忽略了非常重要的几个步骤。下面编辑就来给大家介绍一下邮件病毒入侵后的清除步骤。
一、断开网络
当你不幸遭遇病毒入侵之后,当机立断的一件事就是断开你的网络连接,以避免病毒的进一步扩散。
二、文件备份
然后就是删除带毒的邮件,再运行杀毒软件进行清除,但为了防止杀毒软件误杀或是删除你还没有处理完的文档和重要的邮件,你应该首先将它们转移备份到其他储存媒体上有些长文件名的文件和未处理的邮件要求在Windows下备份,所以建议你先不要退出Windows,因为病毒一旦发作,也许就不能进入Windows了。不管这些文件是否带毒了,你都应该备份,因为有些病毒是专门针对某个杀毒软件设计的,一运行就会破坏其他的文件,所以先备份是以防万一的措施。等你清除完硬盘内的病毒后,再来慢慢分析处理这些额外备份的文件较为妥善。另外对你的重要文件也要做备份,最好是备份到其他移动存储设备上,如USB盘、移动硬盘、刻录盘等,尽量不要使用本地硬盘,以确保数据的安全。
如果在平时作了GHOST备份,利用映像文件来恢复系统,这样连潜在的木马程序也清除了,当然,这要求你的GHOST备份是没有病毒。
一、断开网络
当你不幸遭遇病毒入侵之后,当机立断的一件事就是断开你的网络连接,以避免病毒的进一步扩散。
二、文件备份
然后就是删除带毒的邮件,再运行杀毒软件进行清除,但为了防止杀毒软件误杀或是删除你还没有处理完的文档和重要的邮件,你应该首先将它们转移备份到其他储存媒体上有些长文件名的文件和未处理的邮件要求在Windows下备份,所以建议你先不要退出Windows,因为病毒一旦发作,也许就不能进入Windows了。不管这些文件是否带毒了,你都应该备份,因为有些病毒是专门针对某个杀毒软件设计的,一运行就会破坏其他的文件,所以先备份是以防万一的措施。等你清除完硬盘内的病毒后,再来慢慢分析处理这些额外备份的文件较为妥善。另外对你的重要文件也要做备份,最好是备份到其他移动存储设备上,如USB盘、移动硬盘、刻录盘等,尽量不要使用本地硬盘,以确保数据的安全。
如果在平时作了GHOST备份,利用映像文件来恢复系统,这样连潜在的木马程序也清除了,当然,这要求你的GHOST备份是没有病毒。
经常使用电脑的人可能都听说过,当电脑出了故障时,Windows会提供一个名为“安全模式”的平台,在这里用户能解决很多问题--不管是硬件(驱动)还是软件的。然而你会使用这个安全模式么?今天我们就来带您认识一下它的真面目。
初识安全模式
要进入安全模式,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个:
1.安全模式
只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。
如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。
2.带网络连接的安全模式
在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。
初识安全模式
要进入安全模式,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个:
1.安全模式
只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。
如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。
2.带网络连接的安全模式
在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。
