返回
菜鸟出招,降服rootkit隐形木马

菜鸟出招,降服rootkit隐形木马

ID:31376311

大小:104.00 KB

页数:4页

时间:2019-01-09

菜鸟出招,降服rootkit隐形木马_第1页
菜鸟出招,降服rootkit隐形木马_第2页
菜鸟出招,降服rootkit隐形木马_第3页
菜鸟出招,降服rootkit隐形木马_第4页
资源描述:

《菜鸟出招,降服rootkit隐形木马》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、菜鸟出招,降服RootKit隐形木马  RootKit木马俗称驱动木马,和一般的木马不同,RootKit运行于Ring0级别,具有极强的隐身性。该类木马不仅会隐藏自身文件,还能将诸如进程、注册表项目、端口等痕迹信息全部隐藏起来,导致杀软和防火墙无法发现其行踪。实际上,普通的安全软件及时发现也无法清理,因为根本找不到该木马的相关文件。如果黑客将其和免杀性木马结合起来,破坏威力无疑是巨大的。听起来RootKIt木马似乎很可怕,让菜鸟们心惊不已。其实菜鸟朋友大可不必慌乱,只要采取对应的手段,同样可以让RootKit木马束手就擒!  请出超级巡警,让RootKit木

2、马现原形  超级巡警是一款功能强悍的安全工具,可以轻松让狡猾的RootKit木马现出原形。例如,当某款RootKit木马侵入本机后,其运行文件、非法开启的端口、创建的服务均处于隐藏状态,使用杀软等常规工具无法发现其踪迹。不过,在超级巡警面前,其狐狸尾巴就露出来了。运行超级巡警工具箱,在其主界面(如图1)的“进程管理”面板中显示当前所有的进程信息,其中以红色显示的就是处于隐身状态的可疑进程,可以看到某RootKit木马进程赫然在列,该进程在任务管理器中是不会显示的。在该进程的右键菜单上点击“中止当前进程”项,就可以将其强制关闭。  不过为了更好地拦截该木马,最

3、好在其右键菜单上点击“禁止进程创建”项,这样只要超级巡警为您“站岗”4,该RootKit病毒就无法继续猖狂。在“服务管理”面板中显示所有服务项目,其中以黄色显示的服务为可疑服务,从中找出和RootKit木马关联的服务项目,在其上点击右键,在弹出菜单点击“删除服务”、“删除服务和映像文件”等项目,将其停止并删除。  按照同样方法,在“网络管理”、“内核管理”、“扩展功能”等面板中,可以将被RootKit病毒隐藏的端口、文件、注册表以及被挂钩的函数全部显示出来,您可以根据情况进行关停删除等操作。当然,如果您想简单快捷地清除RootKit木马,可以运行卡巴斯基提供

4、的TDSSkiller这款专门对付RootKit的工具,在其主界面(如图2)中点击“Startscan”按钮,可以检测并清除RootKit木马进程、服务、文件等内容,让其无法危害您的系统。    亮出照妖镜,彻底曝光RootKit木马  超级巡警是一款国产安全工具,操作起来很容易。实际上,还有很多国外的安全软件,也可以轻松应对RootKit木马,例如XueTr、IceSword、GMER、SophosAnti-Rootkit、RootkitDetective、RootkitBuste等等,这里限于篇幅无法逐一介绍。例如,SophosAnti-Rootkit就

5、是其中的佼佼者,该工具功能强悍,使用起来简单方便。这里就介绍如何利用该工具,发现并驱逐RootKit木马。  SophosAnti-Rootkit可以对隐藏在系统进程、注册表、硬盘中的RootKit程序进行全面扫描,在其主窗口(如图3)点击“Startscan”4按钮,即可对RootKit程序的上述藏身处进行彻底检测,在弹出的窗口中显示扫描的进度,在其中的文件列表中显示检测到的RootKit程序,在“Description”列中显示RootKit程序的名称,在“Location”列中显示对应的文件路径。从列表选中某个RootKit程序,在属性栏中可以列出其详

6、细信息。    在其中的第四行(即文件标志栏)中如果显示为“Removable:No”,表示该RootKit程序不可以随意清除,如果显示为“Removable:Yes(cleanuprecommanded)”,表示可以清除该RootKit程序,如果显示为“Removable:Yes(butcleanupnotrecommandedforthisfile)”,表示虽然可以清除该RootKit程序,但是SophosAnti-Rootkit不建议用户这样做。之所以有些RootKit不能随意清除,是因为SophosAnti-Rootkit考虑到这可能影响到系统的稳定

7、性。当扫描完成后,所有可以清除的RootKit程序自动处于选定状态,当然,如果有把握的话,您也可以选中所有的RootKit程序,之后点击“Cleanupcheckeditems”按钮,在弹出的对话框中点击“Yes”按钮,SophosAnti-Rootkit即可清除所有选定的RootKit程序,之后重启系统,潜伏系统中的RootKit后门程序就会彻底消失了。  巧借系统权限,清除RootKit木马  除了使用安全软件对付RootKIt木马外,其实还可以使用NTFS文件系统提供的权限设置功能,让RootKit病毒露出马脚。例如,很多RootKit病毒喜欢将自身变

8、成看似合法的驱动程序文件,藏身到“C:\Window

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。