检测并删除Rootkit

时间:2008-09-20 03:51:09

标签: rootkit

什么是最好的(希望免费或便宜)方式检测,然后,如果有必要,删除机器上的rootkit?

3 个答案:

答案 0 :(得分:4)

几年前,SysInternals停止更新RootKit Revealer。

检测rootkit的唯一可靠方法是从已知文件及其参数的可信列表中对已安装文件和文件系统元数据进行脱机比较。显然,你需要相信你正在运行比较的机器。

在大多数情况下,对于大多数人来说,使用启动光盘运行病毒扫描程序可以解决问题。

否则,您可以从全新安装开始,从cdrom启动它,附加外部驱动器,运行perl脚本来查找和收集参数(size,md5,sha1),然后存储参数。

要检查,请运行perl脚本以查找和收集参数,然后将它们与存储的参数进行比较。

此外,在系统更新后,您需要一个perl脚本来更新存储的参数。

- Edit-- 更新此项以反映可用技术。如果您获得任何可启动救援cd(例如trinity或rescuecd)的副本以及程序“chntpasswd”的最新副本,您将能够离线浏览和编辑Windows注册表。

再加上castlecops.com的启动列表副本,您应该能够找到最常见的rootkit的最常见运行点。并始终跟踪您的驱动程序文件以及好的版本。

有了这样的控制级别,你最大的问题就是你删除rootkit和特洛伊木马之后留下的意大利面条。一般

- 编辑 - 还有Windows工具。但我描述了我熟悉的工具,这些工具是免费的,并且有更好的文档记录。

答案 1 :(得分:2)

来自SysInternals的

Rootkit revealer

答案 2 :(得分:2)

请记住,您永远不会信任受感染的计算机。您可能认为您发现了rootkit的所有迹象,但攻击者可能在其他地方创建了后门程序。您使用的工具的非标准后门将无法检测到。通常,您应该从头开始重新安装受感染的计算机