Dakle, nastavimo gledati aplikacije koje nam mogu pomoći da se riješimo rootkita na našim računarima. Dostupan je prethodni dio članka.

Sophos Anti-Rootkit

Ovo je prilično kompaktna aplikacija za borbu protiv rootkita, koja ima jednostavan i intuitivan interfejs (nešto što nedostaje „profesionalnim“ uslužnim programima). Uslužni program skenira registar i kritično, prema programerima, sistemske direktorije, identificira skrivene objekte. Sophos Anti-Rootkit zahteva instalaciju na sistemu. Za razliku od većine drugih programa sa sličnim funkcijama, ova aplikacija upozorava korisnika o mogućem utjecaju na performanse i funkcionalnost OS-a ako se određeni rootkit ukloni.

Kada se pokrene, program će od nas tražiti da odaberemo šta će se tačno skenirati. Iskreno, bolje je sve skenirati. Isključivanje čak i jedne stavke (sistemski registar, pokrenuti procesi i lokalni diskovi) ostavit će rupu za rootkite ukorijenjene u sistemu. Nakon skeniranja objekata koje je otkrio Sophos Anti-Rootkit (Symantec Antivirus, Kaspersky Antivirus moduli, virtuelni CD-ROM drajveri itd. su tu stalno uključeni), potrebno je da izaberete one koje ste odlučili da izbrišete, slažući se da su izuzetno sumnjivi.

Da bi odluka bila lakša, program čak daje opise pronađenih objekata uz brojne preporuke. Da biste ga pročitali, potrebno je odabrati pronađeni objekt.

Osim toga, aplikacija pruža punu putanju do objekta i niz dodatnih informacija u njegovom opisu. Možete proučiti pronađeni predmet, potražiti informacije o njemu na internetu i tek onda donijeti informiranu odluku. Nakon što odaberete, ostaje samo da kliknete na dugme „Očisti označene stavke“.

RootRepeal

Iz nekog razloga ova se aplikacija prilično rijetko koristi i opisuje. U međuvremenu, RootRepeal je vrlo dobar i efikasan alat koji vam omogućava da otkrijete mnoge varijante rootkita.

Ovaj program je prenosiv, iako nije toliko intuitivan kao Sophos Anti-Rootkit, ali uz minimalan napor korisnika može biti od velike pomoći u otkrivanju zlonamjernog softvera. Međutim, to ne ukazuje automatski korisniku da se ovdje nalazi rootkit, već pruža informacije (pokrenuti procesi, korišteni fajlovi, skriveni procesi, kuke, informacije o kernelu sistema, itd.) koje će korisnik morati analizirati i proceni sebe.

Nakon analize i otkrivanja sumnjivih procesa, možete potražiti njihove opise na Internetu i, ako je potrebno, koristiti alat RootRepeal za brisanje datoteka, okončanje procesa ili uređivanje ključeva registratora.

AVZ

Posljednji koji sam napustio bio je uslužni program AVZ, koji je mnogima dobro poznat - Zaitsev antivirus. Ovo je alat s ogromnim brojem funkcija koje, između ostalog, mogu pomoći u borbi protiv rootkita. AVZ ne zahtijeva instalaciju (prijenosno). Ažurira se prilično redovno.

Da biste skenirali i otkrili rootkite koji vrebaju u dubinama sistema, potrebno je da izaberete željeni disk ili direktorijume u „području pretrage“. AVZ savršeno prepoznaje rootkite, koji se mogu automatski ukloniti ili mogu donositi odluke od slučaja do slučaja (napomena urednika: opcije za AVZ akcije u određenim slučajevima možete postaviti u postavkama programa).

Potraga za rootkitovima odvija se u AVZ-u na osnovu proučavanja osnovnih sistemskih biblioteka za presretanje njihovih funkcija, odnosno bez upotrebe potpisa. Ono što je vrijedno kod ove aplikacije je to što može ispravno blokirati brojne moguće protumjere od rootkita. Stoga, skener uslužnog programa može otkriti prikrivene procese i ključeve registra.

Naravno, mogući su i lažni pozitivni rezultati. Stoga, pazite šta perete sa AVZ-om. Uz pomoć AVZ-a također je moguće vratiti brojne sistemske funkcije nakon napada virusa i rootkita. Takođe je veoma korisno.

Hajde da sumiramo

Pregledali smo brojne programe koji će pomoći u otkrivanju rootkita na računarima i laptopima. Treba napomenuti da je većina komercijalnih i besplatnih antivirusa već nabavila prilično moćne jedinice za otkrivanje i uklanjanje rootkita. Štaviše, u bliskoj budućnosti predviđam značajno smanjenje interesa običnih korisnika za anti-rootkit rješenja, budući da će odgovarajući moduli antivirusnih rješenja biti poboljšani, a prosječan korisnik nema interesa da ulazi u procese, upravljačke programe i sami fajlovi. Zanimaju ga brzi i po mogućnosti bez dodatnog napora rezultati. Iako su tradicionalni antivirusni programi daleko od standarda za otkrivanje rootkita, za ovu vrstu korisnika bih preporučio Sophos Anti-Rootkit. Ali za složene slučajeve i dalje ćete morati koristiti GMER ili AVZ i poboljšati svoje vještine. Ovi instrumenti uskoro neće potpuno nestati sa scene.