Руткитите се използват от хакери, за да скрият постоянен, привидно неоткриваем злонамерен софтуер във вашето устройство, който тихомълком ще открадне данни или ресурси, понякога в продължение на няколко години. Те могат да се използват и по начин на кейлогър, където вашите натискания на клавиши и комуникации се наблюдават, предоставяйки на зрителя информация за поверителност.  

Този конкретен метод за хакване беше по-уместен преди 2006 г., преди Microsoft Vista да изисква от доставчиците да подписват цифрово всички компютърни драйвери. Защитата на корекцията на ядрото^{(Kernel Patch Protection)} ( KPP ) накара авторите на злонамерен софтуер да променят своите методи за атака и едва наскоро, от 2018 г. с операцията за измама с реклами Zacinlo^{(Zacinlo ad fraud operation)} , руткитите отново влязоха в светлината на прожекторите.

Руткитите преди 2006 г. бяха специално базирани на операционна система. Ситуацията със Zacinlo , руткит от семейството на зловреден софтуер Detrahere^{(Detrahere malware)} , ни даде нещо още по-опасно под формата на руткит, базиран на фърмуер. Независимо^(Regardless) от това , руткитите са само около един процент от целия изход на злонамерен софтуер, наблюдаван годишно. 

Въпреки това, поради опасността, която могат да представляват, би било разумно да разберете как работи откриването на руткити, които може би вече са проникнали във вашата система.

Откриване на руткитове в Windows 10 ( в дълбочина^(In-Depth) )

Zacinlo всъщност е бил в игра почти шест години, преди да бъде открит, че е насочен към платформата Windows 10 . Компонентът на руткит беше силно конфигурируем и се защитаваше от процеси, които смяташе за опасни за неговата функционалност, и беше в състояние да прихваща и декриптира SSL комуникации.

Той ще криптира и съхранява всичките си конфигурационни данни в системния регистър^{(Windows Registry)} на Windows и, докато Windows се изключваше, ще се пренапише от памет на диск, използвайки различно име, и ще актуализира своя ключ на системния регистър. Това му помогна да избегне откриването от стандартния ви антивирусен софтуер.

Това показва, че стандартният антивирусен или антизловреден софтуер не е достатъчен за откриване на руткити. Въпреки това, има няколко анти-зловреден софтуер от най-високо ниво, които ще ви предупредят за подозрения за атака с руткит. 

5-те ключови качества на добрия антивирусен софтуер^{(The 5 Key Attributes Of a Good Antivirus Software)}

Повечето от известните антивирусни програми днес ще изпълняват всичките пет от тези забележителни метода за откриване на руткити.

• Анализ, базиран на подписи^{(Signature-based Analysis)} – Антивирусният софтуер ще сравнява регистрираните файлове с известни сигнатури на руткити. Анализът ще търси и поведенчески модели, които имитират определени оперативни дейности на известни руткити, като например агресивно използване на портове.
• Откриване на прихващане^{(Interception Detection)} – Операционната система Windows използва таблици с указатели за изпълнение на команди, за които е известно, че подтикват руткит да действа. Тъй като руткитите се опитват да заменят или модифицират нещо, което се счита за заплаха, това ще предупреди вашата система за тяхното присъствие.
• Сравнение на данни от няколко източника^{(Multi-Source Data Comparison)} – Руткитовете^(Rootkits) , в опита си да останат скрити, могат да променят определени данни, представени при стандартен преглед. Върнатите резултати от системни повиквания на високо и ниско ниво могат да разкрият наличието на руткит. Софтуерът може също да сравнява процесната памет, заредена в RAM , със съдържанието на файла на твърдия диск.
• Проверка на целостта^{(Integrity Check)} – Всяка системна библиотека притежава цифров подпис, който е създаден в момента, в който системата е била считана за „чиста“. Добрият софтуер за сигурност може да провери библиотеките за всякакви промени в кода, използван за създаване на цифров подпис.
• Сравнения на системния регистър^{(Registry Comparisons)} – Повечето антивирусни програми ги имат по предварително зададен график. Чистият файл ще бъде сравнен с клиентски файл в реално време, за да се определи дали клиентът е или съдържа незаявен изпълним файл (.exe).

Извършване на сканиране на руткит^{(Performing Rootkit Scans)}

Извършването на сканиране на руткит е най-добрият опит за откриване на инфекция с руткит. Най-често на вашата операционна система не може да се има доверие да идентифицира руткит сама и представлява предизвикателство да се определи присъствието му. Руткитите са главни шпиони, които прикриват следите си на почти всяка крачка и могат да останат скрити от очите.

Ако подозирате, че на вашата машина е извършена руткит вирусна атака, добра стратегия за откриване би била да изключите компютъра и да изпълните сканирането от известна чиста система. Сигурен начин да намерите руткит във вашата машина е чрез анализ на дъмпа на паметта. Руткитът не може да скрие инструкциите, които дава на вашата система, докато ги изпълнява в паметта на машината.

Използване на WinDbg за анализ на зловреден софтуер^{(Using WinDbg For Malware Analysis)}

Microsoft Windows предостави свой собствен многофункционален инструмент за отстраняване на грешки, който може да се използва за извършване на сканиране за отстраняване на грешки на приложения, драйвери или самата операционна система. Той ще отстранява грешки в кода в режим на ядро ​​и потребителски режим, ще помогне за анализиране на срива дъмпи и ще проучи регистрите на процесора^(CPU) .

Някои Windows системи ще се доставят с WinDbg , който вече е включен. Тези без ще трябва да го изтеглят от Microsoft Store . WinDbg Preview е по-модерната версия на WinDbg , осигуряваща по-лесна за очите визуализация, по-бързи прозорци, пълни скриптове и същите команди, разширения и работни процеси като оригинала.

Като минимум, можете да използвате WinDbg , за да анализирате памет или срив дъмп, включително син екран^{(Blue Screen)} на смъртта^(Death) ( BSOD ). От резултатите можете да потърсите индикатори за атака на зловреден софтуер. Ако смятате, че една от вашите програми може да бъде възпрепятствана от наличието на злонамерен софтуер или използва повече памет, отколкото е необходимо, можете да създадете дъмп файл и да използвате WinDbg , за да го анализирате.

Пълният дъмп на паметта може да заеме значително дисково пространство, така че може да е по-добре вместо това да изпълните дъмп в режим на ядрото^{(Kernel-Mode)} или дъмп на малка памет . ^(Memory)Dump в режим на ядрото ще съдържа цялата информация за използването на паметта от ядрото в момента на срива. Малък дъмп на паметта^(Memory) ще съдържа основна информация за различни системи като драйвери, ядрото и други, но е малък в сравнение.

Малките дъмпове на паметта^(Memory) са по-полезни при анализиране защо е възникнал BSOD . За откриване на руткити, пълната версия или версията на ядрото ще бъде по-полезна.

Създаване на Dump файл в режим на ядрото^{(Creating A Kernel-Mode Dump File)}

Dump файл в режим^{(Kernel-Mode)} на ядро ​​може да бъде създаден по три начина:

• Разрешете дъмп файла от контролния панел^{(Control Panel)} , за да позволите на системата да се срине сама
• Активирайте дъмп файла от контролния панел^{(Control Panel)} , за да принудите системата да се срине
• Използвайте инструмент за отстраняване на грешки, за да създадете такъв за вас

Ще продължим с избор номер три. 

За да изпълните необходимия дъмп файл, трябва само да въведете следната команда в командния^(Command) прозорец на WinDbg .

Заменете FileName с подходящо име за дъмп файла и „?" с е^(f) . Уверете се, че "f" е с малки букви, в противен случай ще създадете различен вид дъмп файл.

След като дебъгерът се зареди (първото сканиране ще отнеме значителни минути), ще бъде създаден дъмп файл и вие ще можете да анализирате своите констатации.

Разбирането на това, което търсите, като например използването на летлива памет ( RAM ), за да определите наличието на руткит, изисква опит и тестване. Възможно е, макар и не се препоръчва за начинаещи, да се тестват техники за откриване на зловреден софтуер в жива система. За да направите това, отново ще са необходими експертни познания и задълбочени познания относно работата на WinDbg , за да не се разположи случайно жив вирус във вашата система.

Има по-безопасни и по-удобни за начинаещи начини да разкрием добре скрития ни враг.

Допълнителни методи за сканиране^{(Additional Scanning Methods)}

Ръчното откриване и анализът на поведението също са надеждни методи за откриване на руткити. Опитът да откриете местоположението на руткит може да бъде голяма болка, така че вместо да се насочите към самия руткит, можете вместо това да потърсите поведение, подобно на руткит.

Можете да търсите руткити в изтеглените софтуерни пакети, като използвате разширените^(Advanced) или персонализирани^(Custom) опции за инсталиране по време на инсталацията. Това, което ще трябва да потърсите, са всички непознати файлове, изброени в подробностите. Тези файлове трябва да бъдат изхвърлени или можете да направите бързо търсене онлайн за препратки към злонамерен софтуер.

Защитните стени и техните отчети за регистриране са невероятно ефективен начин за откриване на руткит. Софтуерът ще ви уведоми, ако вашата мрежа е под контрол и трябва да постави под карантина всички неразпознаваеми или подозрителни изтегляния преди инсталирането. 

Ако подозирате, че руткит вече може да има на вашата машина, можете да се потопите в отчетите за регистриране на защитната стена и да потърсите някакво необичайно поведение.

Преглед на отчети за регистриране на защитната стена^{(Reviewing Firewall Logging Reports)}

Ще искате да прегледате текущите си отчети за регистриране на защитната стена, като направите приложение с отворен код като IP Traffic Spy с възможности за филтриране на регистрационни файлове на защитната стена, много полезен инструмент. Отчетите ще ви покажат какво е необходимо да видите, ако възникне атака. 

Ако имате голяма мрежа със самостоятелна изходяща филтрираща защитна стена, IP Traffic Spy няма да е необходим. Вместо това трябва да можете да виждате входящите и изходящите пакети към всички устройства и работни станции в мрежата чрез регистрационните файлове на защитната стена.

Независимо дали сте в домашна или малка бизнес среда, можете да използвате модема, предоставен от вашия доставчик^(ISP) на интернет услуги , или, ако притежавате такъв, лична защитна стена или рутер, за да изтеглите регистрационните файлове на защитната стена. Ще можете да идентифицирате трафика за всяко устройство, свързано към една и съща мрежа. 

Може също да е полезно да активирате регистрационните файлове на защитната стена на Windows . ^{(Windows Firewall Log)}По подразбиране регистрационният файл е деактивиран, което означава, че не се записва информация или данни.

• За да създадете регистрационен файл, отворете функцията Run , като натиснете клавиша Windows key + R R.
• Въведете wf.msc в полето и натиснете Enter .

• В прозореца Защитна стена^{(Windows Firewall)} и разширена защита^{(Advanced Security)} на Windows маркирайте „Защитна стена на Windows Defender с разширена защита^{(Advanced Security)} на локален компютър“ в лявото странично меню. В крайното дясно меню под „Действия“ щракнете върху Свойства^(Properties) .

• В новия диалогов прозорец отидете до раздела „Частен профил“ и изберете Персонализиране^(Customize) , което може да се намери в секцията „Регистриране“.

• Новият прозорец ще ви позволи да изберете колко голям регистрационен файл да запишете, къде искате да бъде изпратен файлът и дали да регистрирате само изпуснати пакети, успешна връзка или и двете.

• Изпуснатите^(Dropped) пакети са тези, които защитната стена на Windows^{(Windows Firewall)} е блокирала от ваше име.
• По подразбиране записите в регистрационния файл на защитната стена на Windows^{(Windows Firewall)} ще съхраняват само последните 4MB данни и могат да бъдат намерени в %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Имайте предвид, че увеличаването на ограничението за размера на използването на данни за регистрационни файлове може да повлияе на производителността на вашия компютър.
• Натиснете OK , когато приключите.
• След това повторете същите стъпки, през които току-що преминахте в раздела „Частен профил“, само този път в раздела „Обществен профил“.
  • Сега ще се генерират регистрационни файлове както за публични, така и за частни връзки. Можете да преглеждате файловете в текстов редактор като Notepad или да ги импортирате в електронна таблица.
  • Вече можете да експортирате файловете на регистрационните файлове в програма за анализ на база данни като IP Traffic Spy , за да филтрирате и сортирате трафика за лесна идентификация.

Внимавайте за нещо необичайно в регистрационните файлове. Дори и най-малката системна грешка може да показва инфекция с руткит. Нещо по линия на прекомерното използване на процесора^(CPU) или честотната лента, когато не използвате нищо твърде взискателно или изобщо, може да бъде основна улика.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are used by hackers to hide persistent, seemingly undetectаble malware within your device that wіll silently steal data or resoυrces, sometimes over the course of multiple years. They can also bе used in keylogger fashion where yoυr keystrokes and communications are surveilled providing the onlooker with privacy information.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Изтеглете ръководства за Windows 10 за начинаещи от Microsoft

• Как да използвате компютър с Windows 10 - Основен урок и съвети за начинаещи

• Изтеглете Windows Ink Guide за Windows 10 от Microsoft

• Изтеглете ръководства за Windows 10 за начинаещи от Microsoft

• Референтно ръководство за настройки на групови правила за Windows 10

• Ръководство за Windows 10 Task Manager – Част I

• Как да инсталирате NumPy с помощта на PIP на Windows 10

• Нулиране на използването на мрежови данни в Windows 10 [РЪКОВОДСТВО]

• Стартирайте лесно файлове с myLauncher за компютри с Windows 10

• Клавишни комбинации за Windows 10: Най-доброто ръководство

• Ръководство стъпка по стъпка за инсталиране на FFmpeg на Windows 10

• Най-добрият безплатен софтуер за баркод скенер за Windows 10

• Не мога да се свържа с Xbox Live; Коригирайте проблема с Xbox Live Networking в Windows 10

• Гледайте цифрова телевизия и слушайте радио на Windows 10 с ProgDVB

• Добавете принтер в Windows 10 [РЪКОВОДСТВО]

• Как да деактивирате преносими класове за съхранение и достъп в Windows 10

• Как да деактивирате автоматичните актуализации на драйвери в Windows 10

• PicsArt предлага персонализирани стикери и ексклузивно 3D редактиране на Windows 10

• Накарайте Firefox да показва мултимедийни контроли на заключен екран на Windows 10

• Как да редактирате файла Hosts в Windows 10 [РЪКОВОДСТВО]