什么是rootkit?
rootkit最早诞生于*inx系统,是黑客们用来隐藏保护他们的后门而设计开发的一种内核级工具.随后才被移植到windows平台.
rootkit本身并不是木马,它属于一种后门技术,用于隐藏保护系统中的木马后门.所以,一旦你发现自己感染了rootkit,那么你机子肯定有后门木马存在.
rootkit的具体功能?
众所周知,查杀木马和后门的几个凭据:进程/端口/服务/文件.假如能让木马和后门在运行的时候隐藏进程/端口/显示服务/主文件,那么其被发现的可能性就小多了吧?相对于种植木马者来说,这种后门和木马就更能存活长久了.那么rootkit就具有这样的功能.
为什么杀毒软件能发现rootkit,却不能清除它呢?
因为rootkit本身的启动模式.其加载方式是在系统底层,即使你在安全模式下,它仍然被加载.也就是说,它的加载和杀毒软件是同级别甚至更底层的.我们知道,windows下是不能删除正在运行的程序的主文件的,所以杀毒软件没办法对付它.
那么怎样手工清除rootkit?
1 杀毒软件报警的情况下
杀毒软件报警的同时会显示文件详细路径和文件名,此时根据这个信息找到主文件.我们利用windows的一个特性:可以对正在运行的程序的主文件进行改名来解决删除不掉的问题.我们把杀毒软件报警的那个文件手工改名,然后重启.再回来的时候就可以删除了.why?因为被改名后,调用它的程序也找不到它了,所以自然不能加载,程序没运行当然可以删除的.
ps:有时你在杀毒软件提示的路径却没有找到那个文件.那可能是因为该文件的属性是隐藏的,设置还是系统属性隐藏.此时你可以打开任意文件夹,在菜单栏找到"工具"选项,选择"文件夹选项",选择"查看"选项,在高级设置里,勾选"显示所有隐藏的文件",并去掉"隐藏受保护的系统文件(推荐)"这个选项.点"应用".此时再找.
或者,你进入命令行模式,切换到指定路径的目录,用dir 具体文件名来查找.比如:我要找c:\windows\system32\remon.sys这个文件.可以直接在命令行下输入: dir c:\windows\system32\remon.sys,根据显示结果来看文件是否存在.
通常%systemroot%\system32和%systemroot%\system32\drivers这两个目录是rootkit常常出现的地方.(%systemroot%指系统根目录)
2 杀毒软件没有报警的情况下
这里我推荐两款工具给新手: A.ICESWORLD B.EST-Evilhsu.
A.ICESWORLD 又叫 冰刃,是比较老牌的内核级安全检测工具.相信常来卡卡的朋友对此不会陌生.
B.EST-Evilhsu 出自国内安全团队 "邪恶八进制".
这两款工具都是绿色软件,下载回来直接解压使用.其中icesworld的功能要完善些.而EST-Evilhsu对驱动管理更方便.
先用ICESWORLD检查 进程 服务 SSDT 启动项 注意红色显示部分.
ps:在SSDT选项里,很多杀毒软件也显示为红色,比如瑞星,卡巴.此时根据路径来辨别.相信大家不会误判.
EST-Evilhsu 的驱动管理,能够很直观的操作系统底层加载的驱动项目,能够设置驱动的启动方式,能停止,删除驱动项.
如何来判断哪些可疑,哪些有问题呢?
打开EST-Evilhsu 的驱动管理,在右边窗口显示系统所有的驱动项,我们根据路径特征来判断.原系统所有的路径前面都没有 \??\ ,一旦你发现某个驱动的路径前面有 \??\ 这个前缀,那么请注意了,它并非系统原有的.那么根据路径来辨别一下.如:我使用NOD32杀毒软件,软件安装在E:\SOFT\SYSTEM\NOD32\这个目录,那么其程序路径显示为:\??\E:\SOFT\SYSTEM\NOD32\,前缀有 \??\说明它非系统原装.后面是路径.
发现驱动项可疑的时候,可以使用EST-Evilhsu的驱动停止功能先停止该可疑驱动项,然后选中它,并设置其启动方式为"手动",待重启之后,发觉系统无不正常反映,杀毒软件不再报警,那么证明该驱动有问题,此时再删除之.
这两天有好几个朋友在网上找到我,帮助清理rootkit.我这里顺便说说其特征与清理过程.
1 特征
驱动项名称 remon.sys 路径在 %systemroot%\system32\drivers\下,ICESWORLD的SSDT选项中显示红色,EST-Evilhsu 中,启动类型为"系统引导启动",不能直接停止,删除,不能更改启动类型.
2 清除
找到主文件,改名.重启,清除.
补充:
我在前面说过,rootkit本身不是木马和后门,它只是一种隐藏保护木马和后门的技术工具.在清除rootkit之后,要再次检查系统中存在的木马和后门.相关技术我在卡卡也有讲过,当然这里的各位高人们也讲了很多,偶就不再罗嗦.
技巧:
这里再介绍点小技巧给大家
我们在安装完一个干净的系统以及一些常用软件之后,有些人选择ghost做系统备份.我这里介绍一种使用简单的dos命令来备份正常系统的文件目录的技巧.
主要是方便我们在中毒之后来查找和判断哪些文件是可疑的.
以下默认系统是xp,安装在c盘,系统目录是 c:\windows
运行,cmd命令如下;
dir/a C:\WINDOWS\system32 >c:\1.txt //列出system32下的所有文件并把结果保存为c盘下的 1.txt
dir/a c:\windows >c:\2.txt //列出windows下的所有文件并把结果保存为c盘下的 2.txt
dir/a c:\windows\system32\drivers >3.txt //列出system32\driver下的所有文件并把结果保存为c盘下的 3.txt
cd C:\WINDOWS\system32 //切换到system32目录
dir/a *.dll >c:\>4.txt //列出当前目录下所有dll文件,并把结果保存为c盘下的4.txt
dir/a *.exe >c:\>5.txt //列出当前目录下所有exe文件,并把结果保存为c盘下的5.txt
再感染病毒后,再操作一遍.然后使用 fc 命令比较不同处.如:
fc a.txt b.txt >c.txt //比较a.txt与b.txt,并把结果保存为c.txt
这样对查找和判断可疑文件会有帮助.
