菜鸟出招,降服RootKit隐形木马
- 来源:PC电脑王 smarty:if $article.tag?>
- 关键字:隐形木马,菜鸟,安全工具 smarty:/if?>
- 发布时间:2015-12-15 11:32
RootKit木马俗称驱动木马,和一般的木马不同,RootKit运行于Ring0级别,具有极强的隐身性。该类木马不仅会隐藏自身文件,还能将诸如进程、注册表项目、端口等痕迹信息全部隐藏起来,导致杀软和防火墙无法发现其行踪。实际上,普通的安全软件及时发现也无法清理,因为根本找不到该木马的相关文件。如果黑客将其和免杀性木马结合起来,破坏威力无疑是巨大的。听起来RootKIt木马似乎很可怕,让菜鸟们心惊不已。其实菜鸟朋友大可不必慌乱,只要采取对应的手段,同样可以让RootKit木马束手就擒!
1.请出超级巡警,让RootKit木马现原形
超级巡警是一款功能强悍的安全工具,可以轻松让狡猾的RootKit木马现出原形。例如,当某款RootKit木马侵入本机后,其运行文件、非法开启的端口、创建的服务均处于隐藏状态,使用杀软等常规工具无法发现其踪迹。不过,在超级巡警面前,其狐狸尾巴就露出来了。运行超级巡警工具箱,在其主界面的“进程管理”面板中显示当前所有的进程信息,其中以红色显示的就是处于隐身状态的可疑进程,可以看到某RootKit木马进程赫然在列,该进程在任务管理器中是不会显示的。在该进程的右键菜单上点击“中止当前进程”项,就可以将其强制关闭。
不过为了更好地拦截该木马,最好在其右键菜单上点击“禁止进程创建”项,这样只要超级巡警为您“站岗”,该RootKit病毒就无法继续猖狂。在“服务管理”面板中显示所有服务项目,其中以黄色显示的服务为可疑服务,从中找出和RootKit木马关联的服务项目,在其上点击右键,在弹出菜单点击“删除服务”、“删除服务和映像文件”等项目,将其停止并删除。
按照同样方法,在“网络管理”、“内核管理”、“扩展功能”等面板中,可以将被RootKit病毒隐藏的端口、文件、注册表以及被挂钩的函数全部显示出来,您可以根据情况进行关停删除等操作。当然,如果您想简单快捷地清除RootKit木马,可以运行卡巴斯基提供的TDS Skiller这款专门对付RootKit的工具,在其主界面中点击“Startscan”按钮,可以检测并清除RootKit木马进程、服务、文件等内容,让其无法危害您的系统。
2.亮出照妖镜,彻底曝光RootKit木马
超级巡警是一款国产安全工具,操作起来很容易。实际上,还有很多国外的安全软件,也可以轻松应对RootKit木马,例如XueTr、IceSword、GMER、SophosAnti-Rootkit、RootkitDetective、RootkitBuste等等,这里限于篇幅无法逐一介绍。例如,SophosAnti-Rootkit就是其中的佼佼者,该工具功能强悍,使用起来简单方便。这里就介绍如何利用该工具,发现并驱逐RootKit木马。
SophosAnti-Rootkit可以对隐藏在系统进程、注册表、硬盘中的RootKit程序进行全面扫描,在其主窗口点击“Startscan”按钮,即可对RootKit程序的上述藏身处进行彻底检测,在弹出的窗口中显示扫描的进度,在其中的文件列表中显示检测到的RootKit程序,在“Description”列中显示RootKit程序的名称,在“Location”列中显示对应的文件路径。从列表选中某个RootKit程序,在属性栏中可以列出其详细信息。
在其中的第四行(即文件标志栏)中如果显示为“Removable:No”,表示该RootKit程序不可以随意清除,如果显示为“Removable:Yes(clean up recommanded)”,表示可以清除该RootKit程序,如果显示为“Removable:Yes(but clean up not recommanded for this file)”,表示虽然可以清除该RootKit程序,但是Sophos Anti-Rootkit不建议用户这样做。之所以有些RootKit不能随意清除,是因为Sophos Anti-Rootkit考虑到这可能影响到系统的稳定性。当扫描完成后,所有可以清除的RootKit程序自动处于选定状态,当然,如果有把握的话,您也可以选中所有的RootKit程序,之后点击“Clean up checked items”按钮,在弹出的对话框中点击“Yes”按钮,Sophos Anti-Rootkit即可清除所有选定的RootKit程序,之后重启系统,潜伏系统中的RootKit后门程序就会彻底消失了。
3.巧借系统权限,清除RootKit木马
除了使用安全软件对付RootKIt木马外,其实还可以使用NTFS文件系统提供的权限设置功能,让RootKit病毒露出马脚。例如,很多RootKit病毒喜欢将自身变成看似合法的驱动程序文件,藏身到“C:Windowssystem32drivers”文件夹中,来摆脱用户的追捕。只要对其进行权限控制,就可以有效防止RootKit木马驻扎。
这里以Windows7为例进行说明,为了便于实现操作,可以从网上下载名为“管理员取得所有权.reg”的文件,双击该文件,将其内容导入注册表。之后在“C:Windowssystem32drivers”文件夹的右键菜单上点击“管理员取得所有权”项,可以立即针对其中的所有文件执行权限变更命令。在“C:Windowssystem32drivers”文件夹的右键菜单点击“属性”项,在弹出窗口的“安全”面板中点击“编辑”按钮,在权限编辑窗口的“组或用户名”列表中选择“Users”组,在下面的权限设置列表中的“拒绝”列中勾选“写入”、“修改”等项。这样就可以限制RootKit木马向该文件夹中写入数据了。当然,如果有多个需要控制权限的账户或者组,您可以分别为其取消“写入”等权限即可。如果有RootKit木马试图向该文件夹中写入伪装的驱动文件,就会因为权限不足而无法进行。当然,如果对“C:Windowssystem32”文件夹进行同样的权限设置,可以大大提高系统的安全性。
文/刘景云