源码论坛,商业源码下载,尽在锦尚中国商业源码论坛

标题: 恶意ｒｏｏｔｋｉｔ工具清理五要诀 [打印本页]

作者: 皆大欢喜 时间: 2010-11-19 08:54
标题: 恶意ｒｏｏｔｋｉｔ工具清理五要诀
作为一种软件，rootkit可以连接并进入计算机的同时，向用户和管理员隐藏它存在的迹象。
　　作为一种软件，rootkit可以连接并进入计算机的同时，向用户和管理员隐藏它存在的迹象。尽管rootkit本身可能是无害的，但隐藏的软件或进程却几乎都是存在问题的。和病毒不同，rootkit可以获得计算机的管理权限。Rootkit就是病毒中的万人迷，可以带来最严重的损害和威胁。处理Rootkit时遇到的最大问题就是，一旦系统被入侵，就很难防范检测和清除，因为它们的主要目的就是制造混乱。

　　但是，这并不意味着你一定要被rootkit摆布。你可以制定防范措施，在它们出现的时间予以阻止。更妙的是，你可以在出现的第一个地方将它们清除。

　　1对系统进行保护

　　你并不需要随时关注所有事情。当然，这也不意味着你需要放弃保护措施。在安装新Linux系统时，首先要做的就是安装rkhunter。它是一个非常有效的rootkit防御工具。如果你使用的不是Linux操作系统，就需要选择AVG　Anti　Rootkit或ComboFix之类工具来完成相关任务。

　　2关注各种细微的迹象

　　尽管rootkit不会主动暴露出可以让你发现的微小痕迹，但总是有办法做到这一点的。如果接收到来自不同对象的通知，宣称你正在发送大量垃圾邮件的话，就很可能存在一个隐藏的rootkit，让系统成为僵尸网络的组成部分。如果你的服务器属于网络服务器，在发现奇怪的重定向操作时间，就可能已经中毒了。对于UNIX和类UNIX系统，可以查看可执行文件的版本或者目录结构的变化情况。如果你使用ls/usr/bin或ls/usr/sbin命令进行查看时，发现正常应用似乎出现命名错误的话，就很有可能是受到rootkit的攻击。当然，最简单的检测方法就是定期运行rkhunter

　　3清除它

　　如果发现系统已经被感染的话，那首先要做的就是关闭这台机器!然后，移出驱动器，安装在另一台机器(最好是非Windows系统)上，并将数据拷贝出来。这是因为存在重新安装操作系统的可能，所以，要确保数据不受到影响。而且，启动和运行受到感染的系统，只会带来更大的损害，尤其是在垃圾邮件机器人或类似软件运行的情况下。

　　4千万不要忘记Tripwire

　　数据完整性监控工具Tripwire可以用来对给定的配置系统/目录里的文件变化进行监控。而rootkit的一项主要工作就是掩饰恶意软件的存在。通常情况下，它们会采用重命名文件或文件夹或安装类似名称的文件/文件夹的方式。使用诸如Tripwire之类的工具，你可以马上发现这种行为。在这里至关重要的是，在安装完操作系统后，你应该马上安装Tripwire。否则的话，rootkit可能已经安装到系统里了，Tripwire的实际效果就会大受影响。

　　5进行内存转存处理

　　这是一种更具挑战性的方法，它是可以使用私有工具或代码的专家最喜欢的选择。你可以对可能或确认受到感染的内核(甚至全部)内存进行强制转存，以捕捉rootkit可能进行的任何活动。内存转存操作的结果可以用调试工具来进行分析。在分析过程中，rootkit不能混淆其工作，并会被检测出来。当然，这样的话，你将不得不清除数据并重新安装。

　　坚持预防为主

　　Rootkits带来的危害是非常严重的。因此，最好的办法是安装安全工具，防止系统被感染。而rootkit最大的问题是，它们造成的危害需要你清除数据和重新安装系统。所以，我们必须积极行动起来，采取一些办法来进行预防。

原文出自【比特网】，转载请保留原文链接：http://sec.chinabyte.com/359/11660859.shtml

作者: hungchia 时间: 2011-7-22 00:47
桐乡外卖网 http://www.txwaimai.com
嘉兴外卖网 http://www.jxwaimai.com
嘉兴交友网 http://www.jxyuan.com
绵阳房产网 http://www.myfcw.cn
禾城主机 http://www.cn0573.net
嘉兴QQ群 http://qqun.cn0573.net
桐乡做网站 http://im.cn0573.net

欢迎光临源码论坛,商业源码下载,尽在锦尚中国商业源码论坛 (https://bbs.52jscn.com/)