• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

专家访谈:如何检测和防御rootkit威胁

发布: 2007-6-23 19:14 | 作者:   | 来源: 黑鹰基地  | 查看: 15次 | 进入软件测试论坛讨论

领测软件测试网

下一页 1 2 

   

微软计划经理、作者和rootkit权威Kurt Dillard在网络直播活动期间回答了观众有关检测和删除Windows中的rootkits的问题。

问:Rootkits无所不在:实际中受到间谍软件和病毒感染的系统有多大比例是由Rootkits引起的?

Dillard:我很高兴你问我这个特别的问题,因为有些阅读我的有关Rootkits指南的文章或者看到我的有关Rootkits问题的网络直播的人可能会错误地以为Rootkits无处不在。甚至微软内部的人有时候也认为,每次系统出现奇怪的现象都是Rootkits在作祟。现实是,虽然我对Rootkits着迷,但是,在黑客攻破的计算机中很少见到Rootkits。我们见到Rootkits的次数似乎是越来越少了,而这类恶意软件现在确实很少见了。这种趋势是幸运的,但是,安全软件厂商正在为它们的工具增加更有效地对付Rootkits的功能。例如,微软的恶意软件清除工具就能够检测和清除各种各样的Rootkits。这个软件每个月升级一次。

问:你如何知道一台计算机是否是被一个Rootkits攻破的?

Dillard:这是我在网络直播中谈的要点,也是我为SearchWindowsSecurity.com网站撰写的一系列文章的要点:没有简单的方法知道这个原因。安全产品厂商正在改善它们的检测工具。但是,要检测被Rootkits攻破的计算机仍是很困难的。

问:我不能确认我家的计算机是否正在运行一个用户Rootkits。但是,当我关闭我的笔记本电脑时,我看到一个称作“hiddenshell”的对话框,笔记本电脑并没有关闭。我记不起来这个文件的扩展名了。这是不是表明存在一个Rootkits?

Dillard:可能不是。但是,在我本人没有看到这个系统之前,我不能给你肯定的答复。由于我不能为访问这个网站的网友提供技术支持,我想你最好与微软免费的在线技术支持部门联系一下,以便消除消费者对可能出现的恶意软件感染的担心。

问:备份文件中的Rootkits:当一台电脑系统遇到严重的稳定性问题时,标准的做法是为消费者备份重要的数据文件,并设法恢复这个系统。这个备份数据有可能包含Rootkits本身的隐含文件吗?我主要是说应用程序数据文件和我的文档等文件。

Dillard:有这种可能性。被病毒感染的系统也会出现同样的情况,最近的备份也可能会包含病毒的拷贝。因此在系统恢复之后和重新开始使用数据之前,你必须要用反间谍软件和杀毒软件对备份的数据进行扫描。

问:处理rootkits的方法:如果理解的正确,你的建议是采取三个步骤检测和删除rootkits:1.缩小暴露范围(不要以管理员的权限运行);2.监视行为(查找异常行为,特别是rootkits的行为);3.修复外部操作系统。这有些过于简单了。不过,这是准确的评估方法吗?

Dillard:你说的不错。你极大地简化了这些事情。我同意你的意见。

问:映射网络以便发现rootkits:如果我映射一个被攻破的计算机的网络硬盘,我会看到隐含的文件吗?

Dillard:使用“HackerDefender”软件可以看到网络上的隐含文件。我认为,rootkit作者也可能隐藏连接到网络的计算机中的文件。

问:扫描rootkit文件的名称:如果rootkit隐藏其在注册表中的注册值和文件名等信息,有没有办法利用这个文件名的一部分信息搜索rootkit的信息?

Dillard:没有办法。至少使用任何内置的工具都不行。

问:检测HackerDefender:在你提到的HackerDefender的例子中,你说这个软件隐藏了以具体字符开头的可执行文件,我的理解对吗?如果我的理解是对的,我是否可以手工制作一个以这些字符开头的可执行文件,并把这个文件放在可疑的目录中,如果在查看目录的命令“DIR”列表中没有出现这个文件名,是不是有理由认为可能存在HackerDefender?

Dillard:这是一个很有趣的想法。如果HackerDefender的INI文件配置为使用通配符,这种做法可能会有效。然而,我不知道这是不是一种可行的方法,因为你必须幸运地猜测出rootkit在使用什么字符串。

文章来源于领测软件测试网 https://www.ltesting.net/


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网