专家访谈:如何检测和防御rootkit威胁

下一页 1 2 

微软计划经理、作者和rootkit权威Kurt Dillard在网络直播活动期间回答了观众有关检测和删除Windows中的rootkits的问题。

问:Rootkits无所不在:实际中受到间谍软件和病毒感染的系统有多大比例是由Rootkits引起的?

Dillard:我很高兴你问我这个特别的问题，因为有些阅读我的有关Rootkits指南的文章或者看到我的有关Rootkits问题的网络直播的人可能会错误地以为Rootkits无处不在。甚至微软内部的人有时候也认为，每次系统出现奇怪的现象都是Rootkits在作祟。现实是，虽然我对Rootkits着迷，但是，在黑客攻破的计算机中很少见到Rootkits。我们见到Rootkits的次数似乎是越来越少了，而这类恶意软件现在确实很少见了。这种趋势是幸运的，但是，安全软件厂商正在为它们的工具增加更有效地对付Rootkits的功能。例如，微软的恶意软件清除工具就能够检测和清除各种各样的Rootkits。这个软件每个月升级一次。

问:你如何知道一台计算机是否是被一个Rootkits攻破的?

Dillard:这是我在网络直播中谈的要点，也是我为SearchWindowsSecurity.com网站撰写的一系列文章的要点:没有简单的方法知道这个原因。安全产品厂商正在改善它们的检测工具。但是，要检测被Rootkits攻破的计算机仍是很困难的。

问:我不能确认我家的计算机是否正在运行一个用户Rootkits。但是，当我关闭我的笔记本电脑时，我看到一个称作“hiddenshell”的对话框，笔记本电脑并没有关闭。我记不起来这个文件的扩展名了。这是不是表明存在一个Rootkits?

Dillard:可能不是。但是，在我本人没有看到这个系统之前，我不能给你肯定的答复。由于我不能为访问这个网站的网友提供技术支持，我想你最好与微软免费的在线技术支持部门联系一下，以便消除消费者对可能出现的恶意软件感染的担心。

问:备份文件中的Rootkits:当一台电脑系统遇到严重的稳定性问题时，标准的做法是为消费者备份重要的数据文件，并设法恢复这个系统。这个备份数据有可能包含Rootkits本身的隐含文件吗?我主要是说应用程序数据文件和我的文档等文件。

Dillard:有这种可能性。被病毒感染的系统也会出现同样的情况，最近的备份也可能会包含病毒的拷贝。因此在系统恢复之后和重新开始使用数据之前，你必须要用反间谍软件和杀毒软件对备份的数据进行扫描。

问:处理rootkits的方法:如果理解的正确，你的建议是采取三个步骤检测和删除rootkits:1.缩小暴露范围(不要以管理员的权限运行);2.监视行为(查找异常行为，特别是rootkits的行为);3.修复外部操作系统。这有些过于简单了。不过，这是准确的评估方法吗?

Dillard:你说的不错。你极大地简化了这些事情。我同意你的意见。

问:映射网络以便发现rootkits:如果我映射一个被攻破的计算机的网络硬盘，我会看到隐含的文件吗?

Dillard:使用“HackerDefender”软件可以看到网络上的隐含文件。我认为，rootkit作者也可能隐藏连接到网络的计算机中的文件。

问:扫描rootkit文件的名称:如果rootkit隐藏其在注册表中的注册值和文件名等信息，有没有办法利用这个文件名的一部分信息搜索rootkit的信息?

Dillard:没有办法。至少使用任何内置的工具都不行。

问:检测HackerDefender:在你提到的HackerDefender的例子中，你说这个软件隐藏了以具体字符开头的可执行文件，我的理解对吗?如果我的理解是对的，我是否可以手工制作一个以这些字符开头的可执行文件，并把这个文件放在可疑的目录中，如果在查看目录的命令“DIR”列表中没有出现这个文件名，是不是有理由认为可能存在HackerDefender?

Dillard:这是一个很有趣的想法。如果HackerDefender的INI文件配置为使用通配符，这种做法可能会有效。然而，我不知道这是不是一种可行的方法，因为你必须幸运地猜测出rootkit在使用什么字符串。

文章来源于领测软件测试网 https://www.ltesting.net/