У меня Windows 7, NTFS жесткий диск. Я обнаружил руткит-файлы, но не могу удалить их через проводник Windows, очевидно, потому что они не видны. Есть ли какой-нибудь другой файловый браузер, который использует низкоуровневые вызовы функций, ниже, чем win api, чтобы я мог попытаться просмотреть и изучить эти файлы перед удалением. Я знаю точные места. Я знаю, что могу загрузить некоторые живые компакт-диски и удалить их, но меня интересует первое возможное решение.
3 ответа
7
Windows целенаправленно пытается запретить вам прямой доступ к оборудованию - в этом вся суть. ;) Так что, если Windows была скомпрометирована руткитом (особенно на уровне ядра), то вам в значительной степени нужно получить доступ к файловой системе из другой ОС (Windows или нет - просто не зараженная ОС), чтобы что-то сделать с заражением файлы.
Из Википедии:
«Основная проблема с обнаружением руткитов заключается в том, что если операционная система была подорвана, особенно руткитом на уровне ядра, нельзя доверять обнаружению несанкционированных модификаций для себя или для ее компонентов. Такие действия, как запрос списка запущенных процессов или списка файлов в каталоге, нельзя доверять так, как они ожидают. Другими словами, детекторы руткитов, которые работают во время работы на зараженных системах, эффективны только против руткитов, у которых есть какой-то дефект в камуфляже или которые работают с более низкими привилегиями пользовательского режима, чем программное обеспечение для обнаружения в ядре ».
Со страницы MS 'RootkitRevealer:
«Есть ли надежный способ узнать о наличии руткита?
В общем, не изнутри работающей системы. Руткит в режиме ядра может управлять любым аспектом поведения системы, поэтому информация, возвращаемая любым API, включая необработанные чтения куста реестра и данные файловой системы, выполняемые RootkitRevealer, может быть скомпрометирована. Хотя сравнение оперативного сканирования системы и автономного сканирования из безопасной среды, такой как загрузка с установкой операционной системы на компакт-диске, является более надежным, руткиты могут предназначаться для таких инструментов, чтобы избежать обнаружения даже ими ».
Надеюсь, это поможет...
2
GMER был бы хорошим началом, чтобы узнать, что там, а затем вы могли бы загрузить Live CD и скопировать нужные файлы в другое место / раздел или USB-накопитель - инструменты Parted Magic помогут вам сделать это.
GMER - это приложение, которое обнаруживает и удаляет руткиты. Сканирует на:
- скрытые процессы
- скрытые темы
- скрытые модули
- скрытые сервисы
- скрытые файлы
- скрытые альтернативные потоки данных
- скрытые ключи реестра
- водители зацепляют SSDT
- водители ловят IDT
- драйверы перехватывают IRP
- встроенные крючки
1
Загрузитесь с компакт-диска Ubuntu для просмотра диска
Связанная статья здесь
,
Вы бы лучше использовать метод ниже для дезинфекции вашего компьютера
,
1.) На незараженном ПК создайте загрузочный AV-диск, затем загрузитесь с диска на зараженном ПК и просканируйте жесткий диск, удалите все найденные инфекции, я предпочитаю сам диск Касперского. Новый диск Kaspersky 2010 может обновлять файлы AV dat, если вы подключены к Интернету во время сканирования, и предлагается обновить его до сканирования.
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
2.) Затем: установите бесплатный MBAM, запустите программу и перейдите на вкладку «Обновление» и обновите ее, затем перейдите на вкладку «Сканер» и выполните быстрое сканирование, выберите и удалите все, что найдете.
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3.) Когда MBAM закончится, установите бесплатную версию SAS, запустите быстрое сканирование, удалите то, что оно автоматически выбирает. http://www.superantispyware.com/download.html
Эти последние 2 не являются AV-программами, такими как Norton, они являются сканерами по требованию, которые сканируют только на наличие неприятностей, когда вы запускаете программу, и не мешают работе вашего установленного AV, их можно запускать раз в день или неделю, чтобы убедиться, что вы не заражены. Обязательно обновляйте их перед каждым ежедневным сканированием.
,