รูทคิทคือโปรแกรมพิเศษหรือชุดโปรแกรมที่ออกแบบมาเพื่อซ่อนร่องรอยของผู้โจมตีหรือโปรแกรมที่เป็นอันตรายบนระบบ เมื่อได้รับ "ความดี" ดังกล่าวบนคอมพิวเตอร์ของคุณ คุณจึงเปิดโอกาสให้แฮ็กเกอร์เชื่อมต่อกับมันได้ มันได้รับสิทธิ์ในการควบคุมคอมพิวเตอร์ของคุณและ การดำเนินการเพิ่มเติม“ศัตรูพืช” ขึ้นอยู่กับจินตนาการของเขาเท่านั้น
นอกจากนี้ทุกอย่างยังแย่ลงด้วยความจริงที่ว่ารูทคิทป้องกันการตรวจจับอย่างแข็งขันและบางครั้งก็ค่อนข้างยากที่จะทำเช่นนี้โดยใช้โปรแกรมป้องกันไวรัสมาตรฐาน พูดง่ายๆ ก็คือ คุณให้สิทธิ์การเข้าถึงคอมพิวเตอร์ของคุณโดยที่ไม่รู้ตัว และผู้โจมตีก็ใช้ข้อมูลของคุณโดยที่คุณไม่รู้ตัว
แผนการสอนอยู่ด้านล่าง:
วิธีลบรูทคิทโดยใช้ TDSSKiller
เนื่องจากโดยทั่วไปแล้วรูทคิทสามารถซ่อนจากโปรแกรมป้องกันไวรัสทั่วไปได้ โปรแกรมพิเศษจึงมักจะเข้ามาช่วยเหลือในการลบพวกมัน ประการแรกเรามีโปรแกรมจาก Kaspersky Lab ซึ่งทำให้เรามีแอนตี้ไวรัสที่ยอดเยี่ยม คุณสามารถดาวน์โหลดยูทิลิตี้นี้ได้บนเว็บไซต์ทางการของ Kaspersky ในส่วน "การสนับสนุน" เปิดสปอยเลอร์ “วิธีรักษาระบบที่ติดไวรัส” แล้วไปตามลิงค์ดาวน์โหลด
เรารอให้โปรแกรมสแกนและหากจำเป็นให้รักษา ระบบปฏิบัติการ- โชคดีที่ตรวจไม่พบภัยคุกคามบนคอมพิวเตอร์ของฉัน
เมื่อพบภัยคุกคาม ภัยคุกคามเหล่านั้นจะถูกทำให้เป็นกลางโดยอัตโนมัติ สิ่งที่น่าทึ่งคือการรักษาไม่จำเป็นต้องรีบูตเครื่องด้วยซ้ำ
วิธีลบรูทคิทโดยใช้ RootkitBuster
โปรแกรมที่สองที่เราจะพิจารณาเรียกว่า RootkitBuster และคุณสามารถดาวน์โหลดได้จากเว็บไซต์อย่างเป็นทางการ ข้อดีของโปรแกรมคือไม่ต้องติดตั้งบนคอมพิวเตอร์
บน หน้าถัดไปเลือกอันไหน เวอร์ชันของ Windowsคุณต้องดาวน์โหลดโปรแกรม ฉันพูดคุยเกี่ยวกับวิธีค้นหา bitness ของระบบปฏิบัติการในบทเรียนของฉันเกี่ยวกับ ถัดไปในหน้าต่างคลิกที่ปุ่ม "ใช้การดาวน์โหลด HTTP" และบันทึกไฟล์ลงในคอมพิวเตอร์ของคุณ
หลังจากดาวน์โหลดแล้ว ให้คลิกขวาที่ไฟล์แล้วเลือก “Run as administrator” คุณจะต้องรอสักครู่ หน้าต่างใหม่จะเปิดขึ้นโดยคุณต้องทำเครื่องหมายในช่องยอมรับ ข้อตกลงใบอนุญาตและคลิกปุ่ม "ถัดไป"
คุณจะถูกนำไปที่หน้าต่างหลักของโปรแกรมซึ่งจะต้องสแกนโดยคลิกปุ่ม "สแกนทันที" และคุณจะต้องทำเครื่องหมายถูกไว้ที่รายการทั้งหมดในคอลัมน์ด้านซ้าย ยกเว้น "สตรีมไฟล์" ( ที่ 64 ระบบบิตจำนวนการตั้งค่าอาจน้อยกว่า)
หลังจากการสแกน คุณจะได้รับการแจ้งเตือนเกี่ยวกับไฟล์ที่น่าสงสัยที่ตรวจพบ คุณสามารถเลือกไฟล์เหล่านี้ด้วยเครื่องหมายถูกแล้วคลิกปุ่ม "แก้ไขทันที" ที่ด้านล่าง ในระหว่างขั้นตอนการลบรูทคิท คุณอาจถูกขอให้รีสตาร์ทคอมพิวเตอร์ อย่าลืมเห็นด้วย
วิธีลบรูทคิทโดยใช้ Sophos Anti-Rootkit
และสุดท้าย เรามาดูยูทิลิตี้อื่นที่ช่วยกำจัดรูทคิทกัน มันจะมีประโยชน์สำหรับคุณหากสองรายการแรกกลายเป็นว่าไม่ทำงานหรือคุณไม่ชอบ
เราเปิดตัวโปรแกรมปล่อยช่องทำเครื่องหมายทั้งหมดไว้ในการตั้งค่าการสแกนแล้วกดปุ่ม "เริ่มการสแกน"
การค้นหารูทคิทอาจใช้เวลานานพอสมควร ในตอนท้ายคุณจะได้รับรายงานฉบับสมบูรณ์เกี่ยวกับปัญหาที่พบในรูปแบบของรายการ ฉันสังเกตว่ามีลักษณะเฉพาะอย่างหนึ่งที่นี่ เมื่อคุณเลือกไฟล์ที่พบในรายการหลังจากการสแกน คำอธิบายจะปรากฏในหน้าต่างด้านล่าง หากบรรทัด "แบบถอดได้" มีค่า "ใช่ (แต่ไม่แนะนำให้ล้างข้อมูลสำหรับไฟล์นี้)" ก็ไม่แนะนำให้ลบไฟล์นี้ เนื่องจากเป็นไฟล์ระบบและการลบอาจส่งผลต่อการทำงานของระบบปฏิบัติการทั้งหมด ระบบ.
คุณสามารถเลือกรายการอื่นๆ ทั้งหมดที่ไม่มีบรรทัดที่ระบุไว้ข้างต้นได้อย่างปลอดภัย และลบออกโดยใช้ปุ่ม "ล้างรายการที่เลือก" ในตัวอย่างของฉัน ฉันไม่ได้รอให้การสแกนเสร็จสิ้น และในภาพหน้าจอด้านล่าง ฉันแสดงขั้นตอนการลบออกเป็นตัวอย่าง
ต่อไปนี้คือสามวิธีที่คุณสามารถใช้ลบรูทคิทออกจากคอมพิวเตอร์ของคุณได้ โปรแกรมทั้งหมดนั้นง่ายมากและไม่ต้องใช้ความรู้พิเศษใดๆ เลือกวิธีการที่คุณพบว่าสะดวกที่สุด นอกจากนี้ แอนตี้ไวรัสบางตัวได้เริ่มสร้างการป้องกันที่คล้ายกันแล้ว ดังนั้นเมื่อเลือก โซลูชั่นป้องกันไวรัสรับคำแนะนำจากการป้องกันรูทคิทในตัว
ใน วิดีโอสอนนี้ฉันจะบอกคุณว่าคุณสามารถสร้างภาพหน้าจอของหน้าจอมอนิเตอร์ของคุณอย่างรวดเร็วโดยใช้โปรแกรมพิเศษ clip2net ได้อย่างไร
อย่างที่คุณทราบ มีมัลแวร์หลายประเภทหลักๆ ผู้ใช้หลายคนไม่แยกความแตกต่างระหว่างพวกเขาโดยรวม ชื่อสามัญ"ไวรัส" ในที่สุด ซอฟต์แวร์ที่จำเป็นเพื่อป้องกันการติดตั้งหรือใช้ไม่ถูกต้อง โดยปกติแล้วแนวทางนี้อาจส่งผลต่อความปลอดภัยของระบบ
แนวคิดและประวัติของรูทคิท
ประมาณ 20 ปีที่แล้ว รูทคิทถูกสร้างขึ้นเพื่อเป็นส่วนหนึ่งจากมัลแวร์ประเภทอื่นๆ "สายลับ" และไวรัส- เป้าหมายหลักของพวกเขาคือการซ่อนซอฟต์แวร์ดังกล่าวจากผู้ใช้และการป้องกันของเขาเท่านั้น
อันดับแรก โปรแกรมที่คล้ายกันปรากฏในยุคยูนิกซ์ ปัจจุบันกิจกรรมของพวกเขาเกี่ยวข้องกับ Windows เป็นหลัก เมื่อเวลาผ่านไป รูทคิทมีการเปลี่ยนแปลง และในปัจจุบันมีฟังก์ชันครบชุดที่พบในมัลแวร์ ด้วยความช่วยเหลือของพวกเขา คุณสามารถดำเนินการได้เกือบทุกอย่างบนอุปกรณ์ของเหยื่อ:
- ขโมยข้อมูล: รหัสผ่าน ข้อมูลธนาคาร
- ติดตามพฤติกรรมออนไลน์
- ติดตั้ง ลบโปรแกรม ฯลฯ
โดยพื้นฐานแล้วพวกเขาอนุญาต ควบคุมคอมพิวเตอร์ของเหยื่อจากระยะไกล- ตอนนี้รูทคิทเป็นซอฟต์แวร์ที่เป็นอันตรายประเภทอิสระ
หนึ่งในคุณสมบัติหลักและภัยคุกคามในขณะเดียวกันก็คือโปรแกรมสัตว์รบกวนดังกล่าวมักจะไม่ได้รับการยอมรับ โปรแกรมป้องกันไวรัสมาตรฐานหรือไฟร์วอลล์ การค้นหามักจะไม่ปรากฏอะไรเลย ดังนั้นเมื่อได้ทะลุเข้าไปแล้ว ไฟล์ระบบหรือหน่วยความจำอาจไม่ถูกตรวจพบเป็นเวลาหลายปี ก่อให้เกิดอันตรายต่ออุปกรณ์และเจ้าของอุปกรณ์
แอปพลิเคชั่นดังกล่าวได้รับการออกแบบมาโดยเฉพาะเพื่อซ่อนระหว่างการค้นหาที่ดำเนินการโดยโปรแกรมความปลอดภัย ไม่เพียงเท่านั้น บางส่วนสามารถปิดการใช้งานโปรแกรมป้องกันไวรัสได้และคุณสมบัติด้านความปลอดภัยอื่น ๆ อาจมีเครื่องมือต่าง ๆ ในคลังแสงของคุณ:
- บอทสำหรับการโจมตี DDos;
- "ขโมย" รหัสผ่าน;
- เครื่องสแกนบัตร;
- สายลับคีย์บอร์ด ฯลฯ
ฟังก์ชั่นแบ็คดอร์ช่วยให้คุณควบคุมคอมพิวเตอร์ของผู้อื่นได้ ช่วยให้คุณเชื่อมต่อและติดตั้ง โมดูลที่จำเป็น- แฮกเกอร์สามารถทำอะไรได้เกือบทุกอย่างกับอุปกรณ์นี้
ประเภทของรูทคิท
Rootkits สามารถแบ่งออกเป็นสองประเภทหลัก:
- ระดับผู้ใช้- มีสิทธิบนคอมพิวเตอร์เทียบเท่ากับแอพพลิเคชั่นอื่นๆ พวกมันรบกวนกระบวนการอื่นและใช้หน่วยความจำ ประเภทที่พบบ่อยที่สุด
- ระดับเคอร์เนล- เจาะระบบแล้วเกือบได้ ความเป็นไปได้ที่ไร้ขีดจำกัดเข้าถึงกระบวนการใด ๆ พบเห็นได้น้อยกว่าอย่างเห็นได้ชัด เนื่องจากสร้างได้ยากกว่า ตรวจพบและลบออกได้ง่ายน้อยกว่า
ตัวอย่างการใช้งานทั่วไป:
- อลูเรียน;
- ทีดีเอสเอส;
- เนเคอร์ส
นอกจากรูปแบบหลักแล้วยังมีรูปแบบที่หายากกว่า - บูทคิท พวกเขา แปลง bootloader และเข้าควบคุมโดยไม่ต้องรอให้ระบบปฏิบัติการเริ่มทำงาน เนื่องจากสมาร์ทโฟนมีความสำคัญเพิ่มมากขึ้น รูทคิทที่ทำงานบน Android จึงสามารถพบได้ในช่วงไม่กี่ปีที่ผ่านมา
วิธีการติดเชื้อ
วิธีการเจาะไม่แตกต่างจากคลาสอื่น: ไวรัส เวิร์ม โทรจัน:
- เยี่ยมชมเว็บไซต์ที่ไม่น่าเชื่อถือ - ใช้แล้ว " จุดอ่อน» ในเบราว์เซอร์
- ผ่านอุปกรณ์อื่น ๆ บางครั้งผู้โจมตีจงใจทิ้งแฟลชไดรฟ์ไว้ในสถานที่ที่เยี่ยมชม
- ไฟล์ที่น่าสงสัย, ส่งทางไปรษณีย์ ฯลฯ
การตรวจจับและการต่อสู้
นี่เป็นคำถามเกี่ยวกับวิธีการลบรูทคิท ความยากลำบากในการต่อสู้เริ่มตั้งแต่การตรวจจับ การค้นหาด้วยวิธีปกติจะไม่ให้ผลลัพธ์ รูทคิทมีวิธีพรางตัวมากมายในคลังแสง: การซ่อนไฟล์ รีจิสตรีคีย์ ฯลฯ- ตามกฎแล้วจำเป็นต้องใช้โปรแกรมพิเศษเพื่อค้นหาศัตรูพืช บางส่วนได้รับการออกแบบมาเพื่อตรวจจับและลบเพียงอันเดียวเท่านั้น บางประเภทรูทคิทและอื่น ๆ - มากมายรวมถึงอันที่ไม่รู้จักด้วย รายการแรกประกอบด้วย TDSSkiller (Kaspersky) การค้นหามักจะทำโดยใช้:
- การวิเคราะห์ลายเซ็น
- การวิเคราะห์พฤติกรรม
- วิธีการที่กำหนดเป้าหมายอย่างแคบ
นอกจากนี้ยังไม่ใช่เรื่องง่ายที่จะลบออก บ่อยครั้งที่กระบวนการนี้มีหลายขั้นตอน ด้วยเหตุนี้ การลบมักจะส่งผลต่อไฟล์จำนวนมาก ถ้า ทรัพยากรระบบเสียหายมากเกินไป บางครั้งต้องลงระบบปฏิบัติการใหม่ สำหรับข้อมูลเพิ่มเติม กรณีง่ายๆค่อนข้างเหมาะสม เช่น ขั้นตอนมาตรฐานการรักษาใน Kaspersky ความปลอดภัยทางอินเทอร์เน็ต - เพื่อปิดเครื่อง ค้นหาเป็นประจำรูทคิทในผลิตภัณฑ์ Kaspersky Lab โดยปกติจะเพียงพอที่จะเปิดการตั้งค่าและยกเลิกการทำเครื่องหมายในช่องที่เกี่ยวข้องในรายการเมนู "ประสิทธิภาพ" แม้ว่าสิ่งนี้จะไม่แนะนำก็ตาม
การประยุกต์ใช้ TDSSKiller
หนึ่งในโปรแกรมที่สามารถค้นหารูทคิทได้คือยูทิลิตี้ TDSSKiller ผลิตโดย Kaspersky Lab ที่มีชื่อเสียง จึงไม่มีข้อสงสัยเกี่ยวกับคุณภาพของมัน ตามชื่อบ่งบอกว่า การสแกนมีวัตถุประสงค์เพื่อค้นหารูทคิทประเภทหนึ่งทั่วไป- ทีดีเอสเอส. คุณสามารถตรวจสอบคอมพิวเตอร์ของคุณได้ฟรี ในการดำเนินการนี้เพียงค้นหาได้จากเว็บไซต์อย่างเป็นทางการ
โปรแกรมไม่จำเป็นต้องติดตั้ง หลังจากดาวน์โหลด คุณสามารถรันการสแกนได้ทันที ก่อนใช้งานคุณจะต้องยอมรับเงื่อนไขการใช้งาน หลังจากนี้ คุณจะสามารถเปลี่ยนพารามิเตอร์การสแกนด้วยคำสั่งที่เหมาะสมได้ หากไม่มีความปรารถนาเพิ่มเติม คุณควรปล่อยให้ทุกอย่างเป็นค่าเริ่มต้นแล้วคลิกปุ่มเพื่อเริ่มตรวจสอบในหน้าต่างเดียวกัน
จากนั้นคุณจะต้องรอสักครู่ในขณะที่โปรแกรมตรวจสอบองค์ประกอบของระบบที่ระบุ เมื่อพบ การใช้งานที่เป็นอันตรายปิดมีความเป็นไปได้ในการรักษา ไม่จำเป็นต้องรีสตาร์ทคอมพิวเตอร์จึงจะลบออกได้
มีโปรแกรมต่อต้านรูทคิทที่มีประสิทธิภาพอื่น ๆ สิ่งสำคัญคืออย่าลืมใช้มัน เมื่อเลือกโปรแกรมป้องกันไวรัสขอแนะนำให้ใส่ใจกับความสามารถในการต่อสู้กับแอปพลิเคชันประเภทนี้ทันที น่าเสียดายที่โปรแกรมกองหลังมาตรฐานส่วนใหญ่ไม่มี ฟังก์ชั่นที่คล้ายกันหรือไม่มีประสิทธิภาพเพียงพอ ในกรณีนี้ขอแนะนำให้เปลี่ยนโปรแกรมป้องกันไวรัสหรือใช้งาน โปรแกรมพิเศษที่จะลบ นี่เป็นวิธีเดียวที่จะป้องกันตัวเองจากผลที่ไม่พึงประสงค์ที่เกิดจากรูทคิท
รูทคิทเป็นประเภทที่เป็นอันตราย ซอฟต์แวร์ซึ่งฝังอยู่ในระบบปฏิบัติการ (OS) ของคอมพิวเตอร์และอนุญาตให้ผู้โจมตีเข้าถึงได้ไม่จำกัดผ่านการเชื่อมต่อระยะไกล
ในขั้นต้น (มากกว่า 20 ปีที่แล้ว) รูทคิทมีจุดประสงค์เพื่อซ่อนการจัดการระยะไกลโดยผู้โจมตีหรือร่องรอยของไวรัสและโทรจันในคอมพิวเตอร์ของเหยื่อ ในปัจจุบัน รูทคิทคือชุดยูทิลิตี้ใดๆ ที่:
- ซ่อนกิจกรรมหรือกิจกรรมของกระบวนการอื่น ๆ
- จัดการกระบวนการระบบปฏิบัติการ
- ให้การเข้าถึงเครื่องมือระบบปฏิบัติการผ่านเครือข่าย
- รวบรวมข้อมูลผู้ใช้และส่งผ่านเครือข่าย
ประเภทของรูทคิท
มาดูรูทคิททุกประเภทกัน
ประเภทของรูทคิท
รูทคิทระดับผู้ใช้เป็นเรื่องธรรมดาที่สุด เปิดตัวโดยมีสิทธิ์ของผู้ใช้ปัจจุบันซึ่งมักไม่ค่อยมีสิทธิ์ของผู้ดูแลระบบ พวกเขามักจะแทรกซึมเข้าไปในคอมพิวเตอร์เพื่อเปลี่ยนให้เป็นเครื่องซอมบี้หรือเพื่อขโมยข้อมูลที่เป็นความลับของผู้ใช้และส่งไปยังผู้โจมตี
รูทคิทระดับเคอร์เนลนั้นหาได้ยาก ทำงานด้วยสิทธิ์สูงสุดและบางครั้งก็โหลดก่อนระบบปฏิบัติการ พวกเขาสามารถอยู่ในคอมพิวเตอร์เป็นเวลาหลายปีเนื่องจากตรวจพบได้ยากและมีสิทธิ์สูงสุดในระบบ (การเข้าถึงรูท)
รูทคิทที่เปลี่ยนเส้นทางการดำเนินการจะถูกนำมาใช้ในระบบปฏิบัติการ โดยแก้ไขตัวจัดการเหตุการณ์ระบบปฏิบัติการและไฟล์ระบบ
รูทคิทที่เจาะเคอร์เนลจะปรับเปลี่ยนเคอร์เนลของระบบปฏิบัติการเอง ส่วนประกอบของพวกมันจะโต้ตอบซึ่งกันและกัน ก่อให้เกิดระบบภายในระบบ สามารถลบออกได้โดยการติดตั้งระบบปฏิบัติการใหม่เท่านั้น
ประเภทพิเศษคือรูทคิทซอฟต์แวร์และฮาร์ดแวร์ ซึ่งทำงานในระดับที่สูงกว่าระบบปฏิบัติการใดๆ พวกมันถูกฝังอยู่ในเอ็นจิ้นซอฟต์แวร์การจำลองเสมือนสำหรับฮาร์ดแวร์
จรวดซอฟต์แวร์และฮาร์ดแวร์
มันเข้าสู่คอมพิวเตอร์ของคุณได้อย่างไร?
รูทคิทจะไปอยู่ในคอมพิวเตอร์ของผู้ใช้เช่นเดียวกับมัลแวร์อื่นๆ แหล่งที่มาของการติดเชื้ออาจเป็นแฟลชไดรฟ์ของบุคคลอื่น ซึ่งเป็นจดหมายจากบุคคลที่ไม่รู้จัก ที่อยู่อีเมลหรือคลิกลิงค์โดยไม่ตั้งใจขณะท่องอินเทอร์เน็ต
แหล่งที่มาของการติดเชื้อมีเพียงรหัสฉีดเพียงเล็กน้อยเท่านั้น เมื่อเข้าสู่คอมพิวเตอร์ มันจะตั้งหลักในระบบและดาวน์โหลดส่วนประกอบอื่นๆ ทั้งหมดจากอินเทอร์เน็ต เมื่อประกอบเสร็จแล้วก็จะเริ่มทำสิ่งที่ออกแบบไว้ - รวบรวมข้อมูลแล้วส่งข้อมูลทางอินเทอร์เน็ต ติดตั้ง การเข้าถึงระยะไกลไปที่รถ (ประตูหลัง - ประตูหลังภาษาอังกฤษ)
วิธีการต่อสู้
รูทคิทที่ฝังอยู่ในเคอร์เนลนั้นตรวจพบได้ยากมาก ไม่มีใครตรวจพบพวกเขา เครื่องมืออัตโนมัติ. ข่าวดีคือมีเพียงไม่กี่คนเท่านั้น แต่ละคนมีเครื่องมือของตัวเอง เช่น TDSSKiller จาก Kaspersky Lab
เครื่องมือในการต่อสู้กับรูทคิทระดับผู้ใช้มีอยู่ในแพ็คเกจความปลอดภัยทางอินเทอร์เน็ตสมัยใหม่ทุกชุด ตัวอย่างเช่น ใน Kaspersky ( แคสเปอร์สกี้ อินเตอร์เน็ตความปลอดภัย) การสแกนรูทคิทจะเปิดใช้งานตามค่าเริ่มต้นและดำเนินการทุกวัน ปิดการใช้งาน วิธีการมาตรฐานมันเป็นสิ่งต้องห้าม
รูทคิทใน Kaspersky
สิ่งนี้ทำเพื่อป้องกันไม่ให้รูทคิทปิดการใช้งานการป้องกันไวรัสเพื่อเจาะระบบ ถ้า KIS มาเจอกัน กิจกรรมที่น่าสงสัยในระบบหรือรับรู้ส่วนประกอบรูทคิทด้วยลายเซ็นมันจะบล็อกมัน
ไวรัสคอมพิวเตอร์สามารถเรียกได้ว่าเป็นโปรแกรมที่ทำงานอย่างซ่อนเร้นและก่อให้เกิดอันตรายต่อระบบทั้งหมดหรือบางส่วนของระบบ โปรแกรมเมอร์ทุกวินาทีประสบปัญหานี้ ไม่มีผู้ใช้พีซีเหลือเพียงคนเดียวที่ไม่รู้ว่าอะไร
สายพันธุ์ ไวรัสคอมพิวเตอร์:
- เวิร์ม เหล่านี้เป็นโปรแกรมที่ทำให้ระบบเกะกะโดยทำซ้ำและคัดลอกตัวเองอย่างต่อเนื่อง ยิ่งมีในระบบมากเท่าไรก็ยิ่งทำงานช้าลงเท่านั้น หนอนไม่สามารถรวมเข้ากับสิ่งใดๆ ได้ โปรแกรมที่ปลอดภัย- มันมีอยู่เป็นไฟล์แยกต่างหาก
- รวมเข้ากับสิ่งที่ไม่เป็นอันตรายและปลอมตัวอยู่ในนั้น ไม่ก่อให้เกิดความเสียหายต่อคอมพิวเตอร์จนกว่าผู้ใช้จะเรียกใช้ไฟล์ที่มีโทรจัน ไวรัสเหล่านี้ใช้เพื่อลบและเปลี่ยนแปลงข้อมูล
- สปายแวร์รวบรวมข้อมูล เป้าหมายของพวกเขาคือการตรวจจับรหัสและรหัสผ่านและโอนไปยังบุคคลที่สร้างและเปิดใช้งานบนอินเทอร์เน็ตหรืออีกนัยหนึ่งคือให้กับเจ้าของ
- ไวรัสซอมบี้อนุญาตให้แฮกเกอร์ควบคุมคอมพิวเตอร์ที่ติดไวรัส ผู้ใช้อาจไม่รู้ด้วยซ้ำว่าพีซีของเขาติดไวรัสและมีคนใช้งานอยู่
- การบล็อกโปรแกรมทำให้คุณไม่สามารถเข้าสู่ระบบได้เลย
รูทคิทคืออะไร?
รูทคิทคือโปรแกรมตั้งแต่หนึ่งโปรแกรมขึ้นไปที่ซ่อนการมีอยู่ของ แอปพลิเคชันที่ไม่ต้องการบนคอมพิวเตอร์ ช่วยให้ผู้โจมตีกระทำการโดยไม่มีใครสังเกตเห็น มันมีฟังก์ชันมัลแวร์ทั้งชุดอย่างแน่นอน เนื่องจากแอปพลิเคชันนี้มักจะอยู่ลึกลงไปในระบบ จึงเป็นเรื่องยากมากที่จะตรวจพบโดยใช้โปรแกรมป้องกันไวรัสหรือเครื่องมือรักษาความปลอดภัยอื่น ๆ รูทคิทคือชุดเครื่องมือซอฟต์แวร์ที่สามารถอ่านรหัสผ่านที่เก็บไว้ สแกนข้อมูลต่างๆ และยังปิดใช้งานความปลอดภัยของพีซีอีกด้วย นอกจากนี้ยังมีฟังก์ชั่นแบ็คดอร์ซึ่งหมายความว่าโปรแกรมเปิดโอกาสให้แฮกเกอร์เชื่อมต่อกับคอมพิวเตอร์จากระยะไกล
กล่าวอีกนัยหนึ่ง รูทคิทคือแอปพลิเคชันที่รับผิดชอบในการสกัดกั้น ฟังก์ชั่นระบบ- สำหรับห้องผ่าตัด ระบบวินโดวส์รูทคิทยอดนิยมต่อไปนี้สามารถแยกแยะได้: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess
พันธุ์
โปรแกรมไวรัสเหล่านี้มีหลายรูปแบบ สามารถแบ่งออกเป็นสองประเภท: โหมดผู้ใช้ (ผู้ใช้) และโหมดเคอร์เนล (รูทคิทระดับเคอร์เนล) ยูทิลิตี้ประเภทแรกมีความสามารถเช่นเดียวกับ การใช้งานปกติซึ่งสามารถรันบนอุปกรณ์ได้ พวกเขาอาจใช้หน่วยความจำอยู่แล้ว โปรแกรมที่กำลังรันอยู่- นี่คือตัวเลือกยอดนิยม รูทคิทประเภทที่สองนั้นอยู่ลึกเข้าไปในระบบและมี การเข้าถึงแบบเต็มไปยังคอมพิวเตอร์ หากมีการติดตั้งโปรแกรมดังกล่าว แฮ็กเกอร์ก็สามารถทำได้เกือบทุกอย่างที่เขาต้องการด้วยอุปกรณ์ที่ถูกโจมตี รูทคิทในระดับนี้สร้างได้ยากกว่ามาก ซึ่งเป็นเหตุผลว่าทำไมหมวดหมู่แรกจึงได้รับความนิยมมากกว่า แต่โปรแกรมไวรัสระดับเคอร์เนลนั้นไม่สามารถค้นหาและลบได้ง่ายเลย และการป้องกันไวรัสคอมพิวเตอร์มักจะไม่มีพลังอย่างสมบูรณ์ที่นี่
มีรูทคิทอื่น ๆ ที่หายากกว่า โปรแกรมเหล่านี้เรียกว่า bootkits สาระสำคัญของงานของพวกเขาคือพวกเขาสามารถควบคุมอุปกรณ์ได้นานก่อนที่ระบบจะเริ่มทำงาน ล่าสุดมีการสร้างรูทคิทที่โจมตีสมาร์ทโฟน Android เทคโนโลยีของแฮ็กเกอร์พัฒนาในลักษณะเดียวกับซอฟต์แวร์คอมพิวเตอร์ ซึ่งตามทันยุคสมัย
รูทคิทแบบโฮมเมด
คอมพิวเตอร์ที่ติดไวรัสจำนวนมากอยู่บนเครือข่ายที่เรียกว่าซอมบี้และใช้เพื่อส่งข้อความสแปม ในขณะเดียวกัน ผู้ใช้พีซีเหล่านี้ก็ไม่สงสัยอะไรเกี่ยวกับ "กิจกรรม" ดังกล่าว ถึง วันนี้เป็นเรื่องปกติที่จะคิดว่ามีเพียงโปรแกรมเมอร์มืออาชีพเท่านั้นที่สามารถสร้างเครือข่ายเหล่านี้ได้ แต่ในไม่ช้าทุกอย่างอาจเปลี่ยนแปลงไปอย่างมาก คุณสามารถค้นหาทุกสิ่งได้ทางออนไลน์ เครื่องมือเพิ่มเติมเพื่อสร้างโปรแกรมไวรัส ตัวอย่างเช่น การใช้ชุดคิทที่เรียกว่า Pinch คุณสามารถสร้างรูทคิทได้อย่างง่ายดาย พื้นฐานของมัลแวร์นี้คือโทรจัน Pinch Builder ซึ่งสามารถขยายได้ ฟังก์ชั่นต่างๆ- แอปพลิเคชันนี้สามารถอ่านรหัสผ่านในเบราว์เซอร์ จดจำข้อมูลที่ป้อนและส่งไปยังสแกมเมอร์ และซ่อนฟังก์ชันต่างๆ ได้อย่างชาญฉลาด
วิธีที่จะทำให้อุปกรณ์ติดเชื้อ
เริ่มแรก รูทคิทจะถูกแนะนำเข้าสู่ระบบในลักษณะเดียวกับรูทคิทอื่นๆ โปรแกรมไวรัส- หากปลั๊กอินหรือเบราว์เซอร์มีช่องโหว่ แอปพลิเคชันจะเข้าสู่คอมพิวเตอร์ของคุณได้ไม่ยาก แฟลชไดรฟ์มักใช้เพื่อวัตถุประสงค์เหล่านี้ บางครั้งแฮกเกอร์ก็ทิ้งแฟลชไดรฟ์ไว้ในสถานที่ที่มีผู้คนหนาแน่น ซึ่งบุคคลสามารถนำอุปกรณ์ที่ติดไวรัสติดตัวไปด้วยได้ นี่คือวิธีที่รูทคิทเข้าสู่คอมพิวเตอร์ของเหยื่อ ซึ่งทำให้แอปพลิเคชันใช้งาน จุดอ่อนระบบและได้รับตำแหน่งที่โดดเด่นได้อย่างง่ายดาย จากนั้นโปรแกรมจะติดตั้ง ส่วนประกอบเสริมซึ่งใช้ในการควบคุมคอมพิวเตอร์จากระยะไกล
ฟิชชิ่ง
บ่อยครั้งที่ระบบติดไวรัสผ่านฟิชชิ่ง มีอยู่ โอกาสที่ดีรหัสเข้าสู่คอมพิวเตอร์ของคุณขณะดาวน์โหลดเกมและโปรแกรมที่ไม่มีลิขสิทธิ์ บ่อยครั้งมันถูกปลอมแปลงเป็นไฟล์ชื่อ Readme เราไม่ควรลืมเกี่ยวกับอันตรายของซอฟต์แวร์และเกมที่ดาวน์โหลดจากไซต์ที่ไม่ผ่านการตรวจสอบ บ่อยครั้งที่ผู้ใช้เปิดตัวรูทคิทด้วยตัวเองหลังจากนั้นโปรแกรมจะซ่อนสัญญาณของกิจกรรมทั้งหมดทันทีและเป็นการยากมากที่จะตรวจพบในภายหลัง
เหตุใดรูทคิทจึงตรวจพบได้ยาก
โปรแกรมนี้มีส่วนร่วมในการสกัดกั้นข้อมูล แอพพลิเคชั่นต่างๆ- บางครั้งโปรแกรมป้องกันไวรัสตรวจพบการกระทำเหล่านี้ทันที แต่บ่อยครั้งที่อุปกรณ์ติดไวรัสแล้ว ไวรัสจะซ่อนข้อมูลทั้งหมดเกี่ยวกับสถานะของคอมพิวเตอร์ได้อย่างง่ายดาย ในขณะที่ร่องรอยของกิจกรรมหายไปแล้ว และข้อมูลเกี่ยวกับซอฟต์แวร์ที่เป็นอันตรายทั้งหมดถูกลบไปแล้ว เห็นได้ชัดว่าในสถานการณ์เช่นนี้โปรแกรมป้องกันไวรัสไม่มีทางค้นหาสัญญาณของรูทคิทและพยายามกำจัดมัน แต่ดังที่แสดงให้เห็นในทางปฏิบัติ พวกมันสามารถสกัดกั้นการโจมตีดังกล่าวได้ และบริษัทที่ผลิตซอฟต์แวร์รักษาความปลอดภัยจะอัพเดทผลิตภัณฑ์ของตนและเพิ่มเป็นประจำ ข้อมูลที่จำเป็นเกี่ยวกับช่องโหว่ใหม่
ค้นหารูทคิทบนคอมพิวเตอร์ของคุณ
เพื่อค้นหาสิ่งเหล่านี้คุณสามารถใช้ สาธารณูปโภคต่างๆสร้างขึ้นเพื่อจุดประสงค์เหล่านี้โดยเฉพาะ Kaspersky Anti-Virus ทำงานได้ดีกับงานนี้ คุณเพียงแค่ต้องตรวจสอบอุปกรณ์ของคุณเพื่อหาช่องโหว่และมัลแวร์ทุกประเภท การตรวจสอบดังกล่าวมีความสำคัญมากในการปกป้องระบบจากไวรัสรวมถึงรูทคิทด้วย การสแกนจะตรวจจับโค้ดที่เป็นอันตรายซึ่งการป้องกันไวรัสตรวจไม่พบ โปรแกรมที่ไม่ต้องการ- นอกจากนี้ การค้นหายังช่วยค้นหาช่องโหว่ของระบบปฏิบัติการที่ผู้โจมตีสามารถเผยแพร่โปรแกรมและอ็อบเจ็กต์ที่เป็นอันตรายได้ คุณกำลังมองหา การป้องกันที่เหมาะสม- Kaspersky ค่อนข้างเหมาะกับคุณ คุณสามารถตรวจพบรูทคิทได้โดยเพียงแค่ทำการค้นหาไวรัสเหล่านี้ในระบบของคุณเป็นระยะ
สำหรับข้อมูลเพิ่มเติม ค้นหาโดยละเอียด แอปพลิเคชันที่คล้ายกันคุณต้องกำหนดค่าโปรแกรมป้องกันไวรัสเพื่อตรวจสอบการทำงาน ไฟล์ที่จำเป็นระบบในระดับต่ำสุด การรับประกันเป็นสิ่งสำคัญมากเช่นกัน ระดับสูงการป้องกันตัวเองของโปรแกรมป้องกันไวรัสเนื่องจากรูทคิทสามารถปิดการใช้งานได้อย่างง่ายดาย
กำลังตรวจสอบไดรฟ์
เพื่อให้แน่ใจว่าคอมพิวเตอร์ของคุณปลอดภัย คุณจะต้องตรวจสอบไดรฟ์แบบพกพาทั้งหมดเมื่อคุณเปิดเครื่อง รูทคิทสามารถเข้าสู่ระบบปฏิบัติการของคุณได้อย่างง่ายดาย ไดรฟ์แบบถอดได้, แฟลชไดรฟ์ Kaspersky Anti-Virus จะตรวจสอบอุปกรณ์แบบถอดได้ทั้งหมดเมื่อเชื่อมต่อกับอุปกรณ์ เพื่อที่จะทำสิ่งนี้ คุณเพียงแค่ต้องตั้งค่าการสแกนไดรฟ์และอย่าลืมอัปเดตแอนตี้ไวรัสของคุณอยู่เสมอ
การลบรูทคิท
ในการต่อสู้กับสิ่งเหล่านี้ แอปพลิเคชันที่เป็นอันตรายมีปัญหามากมาย ปัญหาหลักคือพวกเขาค่อนข้างประสบความสำเร็จในการต่อต้านการตรวจจับโดยการซ่อนรีจิสตรีคีย์และไฟล์ทั้งหมดในลักษณะนั้น โปรแกรมป้องกันไวรัสไม่สามารถหาพวกเขาได้ มี โปรแกรมเสริมเพื่อลบรูทคิท ยูทิลิตี้เหล่านี้ถูกสร้างขึ้นเพื่อค้นหามัลแวร์ที่ใช้ วิธีการต่างๆรวมถึงผู้ที่มีความเชี่ยวชาญสูงด้วย คุณสามารถดาวน์โหลดได้ค่อนข้างมาก โปรแกรมที่มีประสิทธิภาพจีเมอร์. มันจะช่วยทำลายรูทคิทที่รู้จักส่วนใหญ่ ฉันยังสามารถให้คำแนะนำ โปรแกรม AVZ- สามารถตรวจจับรูทคิทได้เกือบทุกชนิดสำเร็จ จะลบซอฟต์แวร์อันตรายโดยใช้โปรแกรมนี้ได้อย่างไร? ไม่ใช่เรื่องยาก: เรากำหนดไว้ การตั้งค่าที่จำเป็น(ยูทิลิตี้สามารถส่งไฟล์ที่ติดไวรัสไปกักกันหรือลบออกแยกกัน) จากนั้นเลือกประเภทของการสแกน - การตรวจสอบพีซีแบบเต็มหรือบางส่วน จากนั้นเราจะทำการทดสอบและรอผลลัพธ์
โปรแกรมพิเศษที่เรียกว่า TDSSkiller ต่อสู้กับแอปพลิเคชัน TDSS ได้อย่างมีประสิทธิภาพ AVG Anti-Rootkit จะช่วยลบรูทคิทที่เหลืออยู่ มันสำคัญมากหลังจากใช้ผู้ช่วยดังกล่าวในการตรวจสอบระบบสำหรับการติดไวรัสโดยใช้โปรแกรมป้องกันไวรัส Kaspersky Internet Security จะรับมือกับงานนี้ได้อย่างสมบูรณ์แบบ นอกจากนี้ โปรแกรมนี้ยังสามารถลบรูทคิทที่เรียบง่ายกว่าได้ผ่านฟังก์ชันการฆ่าเชื้อ
คุณต้องจำไว้ว่าเมื่อค้นหาไวรัสด้วยซอฟต์แวร์ความปลอดภัยใดๆ คุณไม่ควรเปิดแอปพลิเคชันหรือไฟล์ใดๆ บนคอมพิวเตอร์ของคุณ จากนั้นการตรวจสอบจะมีประสิทธิภาพมากขึ้น โดยปกติแล้ว คุณต้องอย่าลืมอัปเดตซอฟต์แวร์ป้องกันไวรัสของคุณเป็นประจำ ตัวเลือกในอุดมคติคือการอัปเดตโปรแกรมอัตโนมัติทุกวัน (ตั้งค่าในการตั้งค่า) ซึ่งเกิดขึ้นเมื่อเชื่อมต่อกับอินเทอร์เน็ต
รูทคิทคือโปรแกรมที่เจาะระบบโดยที่ผู้ใช้ไม่สังเกตเห็น สามารถสกัดกั้นการควบคุมคอมพิวเตอร์ เปลี่ยนการกำหนดค่าพื้นฐาน และยังติดตามกิจกรรมของผู้ใช้หรือเพียงแค่สอดแนมเขา อย่างไรก็ตาม รูทคิทไม่ได้เป็นเช่นนั้นเสมอไป มัลแวร์- มีอยู่ ซอฟต์แวร์ซึ่งใช้ เช่น ในสำนักงานเพื่อติดตามกิจกรรมของบุคลากร โปรแกรมดังกล่าวจะติดตามผู้ใช้อย่างเงียบๆ แต่ก็ไม่ได้เป็นอันตรายโดยเนื้อแท้ หากรูทคิทปรากฏขึ้น คอมพิวเตอร์ส่วนบุคคลหากเจ้าของไม่ทราบ ในกรณีส่วนใหญ่ นี่อาจถือเป็นการโจมตีได้
แตกต่างจากไวรัสและโทรจัน การตรวจจับรูทคิทไม่ใช่เรื่องง่าย ไม่มีโปรแกรมป้องกันไวรัสใดในโลกที่สามารถป้องกันการรูทคิทที่มีอยู่ทั้งหมดได้ อย่างไรก็ตามให้ใช้ โปรแกรมป้องกันไวรัสที่ได้รับใบอนุญาตกับ อัปเดตล่าสุด ฐานข้อมูลป้องกันไวรัสช่วยกำจัดรูทคิทที่รู้จักบางตัว การมีอยู่ของรูทคิทบนคอมพิวเตอร์สามารถถูกกำหนดได้จากสัญญาณทางอ้อมเช่นพฤติกรรมที่เปลี่ยนแปลงของบางโปรแกรมหรือทั้งระบบโดยรวม การทำให้เสร็จสมบูรณ์นั้นเป็นงานที่ยากยิ่งกว่าเพราะว่า มักจะเป็นไฟล์เชิงซ้อนหลายไฟล์ เป็นการยากที่จะติดตามแต่ละไฟล์และระบุอย่างมั่นใจว่าไฟล์ใดไฟล์หนึ่งเป็นส่วนหนึ่งของรูทคิท วิธีที่ง่ายที่สุดในการกำจัดสิ่งนี้ รหัสที่เป็นอันตราย– ฟื้นฟูระบบให้อยู่ในระดับที่สูงขึ้น รัฐต้นก่อนที่รูทคิทจะปรากฏบนคอมพิวเตอร์
วิดีโอในหัวข้อ
รูทคิทคือไวรัสที่เจาะระบบและเริ่มก่อให้เกิดอันตราย เขารู้วิธีซ่อนทั้งร่องรอยของกิจกรรมและไวรัสของคู่หู เขาทำสิ่งนี้โดยยึดระดับต่ำ ฟังก์ชัน APIและนำไปปฏิบัติในทะเบียน พวกเขาอาจมอบการควบคุมพีซีของคุณให้กับแฮ็กเกอร์ตัวร้ายด้วย ไม่ใช่เรื่องง่ายที่จะตรวจจับ แต่ง่ายที่จะลบ
คำแนะนำ
เหตุผลที่ต้องสงสัยว่ามีรูทคิทที่พุ่งเข้าสู่ระบบ: เครื่องสแกนไวรัสไม่เริ่มทำงาน (Virus การกำจัด Kaspersky), โปรแกรมป้องกันไวรัสประจำถิ่นเพื่อนบ่นเกี่ยวกับกระแสสแปมที่มาจากพีซีของคุณและด้วยเหตุผลบางอย่างบางหน้าเปลี่ยนเส้นทางคุณไปที่ไหนสักแห่งอย่างต่อเนื่อง ในกรณีนี้ถึงเวลาที่ต้องรักษาคอมพิวเตอร์แล้ว
วิธีที่ง่ายที่สุดคือการใช้ยูทิลิตี้ ฟรีและใช้งานง่าย Kaspersky เสนอ TDSSKiller – โปรแกรมพิเศษกับรูทคิท คุณสามารถดาวน์โหลดได้จากเว็บไซต์ Kaspersky เป็นไฟล์ .exe คุณต้องเปิดใช้งานและเริ่มตรวจสอบ บันทึกไฟล์ที่น่าสงสัยทั้งหมดในการกักกัน จากนั้นคุณจะต้องไปที่ VirusTotal.com และส่งไฟล์เหล่านั้นจากโฟลเดอร์ \TDSSKiller_Quarantine ไปที่ พาร์ติชันระบบเพื่อการวิเคราะห์
อีกสิ่งหนึ่งจาก Kaspersky หรือจากพนักงานห้องปฏิบัติการของ Oleg Zaitsev - AVZ ก่อนที่จะเปิดตัวจะมีการสร้างจุดสำรองเนื่องจากยูทิลิตี้จะล้างข้อมูลทุกอย่าง ก่อนเริ่มต้น ให้ทำเครื่องหมายที่ช่องถัดจาก “ตรวจหา RooTkit และตัวดักจับ API” แล้วเรียกใช้
