Λοιπόν, ας συνεχίσουμε να εξετάζουμε εφαρμογές που μπορούν να μας βοηθήσουν να απαλλαγούμε από τα rootkit στους υπολογιστές μας. Το προηγούμενο μέρος του άρθρου είναι διαθέσιμο.

Sophos Anti-Rootkit

Αυτή είναι μια αρκετά συμπαγής εφαρμογή για την καταπολέμηση των rootkit, η οποία έχει μια απλή και διαισθητική διεπαφή (κάτι που λείπει από τα «επαγγελματικά» βοηθητικά προγράμματα). Το βοηθητικό πρόγραμμα σαρώνει το μητρώο και κρίσιμο, σύμφωνα με τους προγραμματιστές, καταλόγους συστήματος, εντοπίζει κρυφά αντικείμενα. Το Sophos Anti-Rootkit απαιτεί εγκατάσταση στο σύστημα. Σε αντίθεση με τα περισσότερα άλλα προγράμματα με παρόμοιες λειτουργίες, αυτή η εφαρμογή προειδοποιεί τον χρήστη σχετικά με τον πιθανό αντίκτυπο στην απόδοση και τη λειτουργικότητα του λειτουργικού συστήματος εάν αφαιρεθεί ένα συγκεκριμένο rootkit.

Όταν εκκινηθεί, το πρόγραμμα θα μας ζητήσει να επιλέξουμε τι ακριβώς θα σαρωθεί. Ειλικρινά, είναι καλύτερα να σαρώσετε τα πάντα. Η εξαίρεση έστω και ενός στοιχείου (μητρώο συστήματος, διεργασίες που εκτελούνται και τοπικοί δίσκοι) θα αφήσει ένα κενό για τα rootkit που θα είναι εδραιωμένα στο σύστημα. Μετά τη σάρωση των αντικειμένων που εντοπίζονται από το Sophos Anti-Rootkit (περιλαμβάνονται με συνέπεια μονάδες Symantec Antivirus, Kaspersky Antivirus, εικονικά προγράμματα οδήγησης CD-ROM κ.λπ.), πρέπει να επιλέξετε αυτά που αποφασίσατε να διαγράψετε, συμφωνώντας ότι είναι εξαιρετικά ύποπτα.

Για να γίνει η απόφαση ευκολότερη, το πρόγραμμα παρέχει ακόμη και περιγραφές των αντικειμένων που βρέθηκαν με μια σειρά από συστάσεις. Για να το διαβάσετε, πρέπει να επιλέξετε το αντικείμενο που βρέθηκε.

Επιπλέον, η εφαρμογή παρέχει την πλήρη διαδρομή προς το αντικείμενο και μια σειρά από πρόσθετες πληροφορίες στην περιγραφή του. Μπορείτε να μελετήσετε το αντικείμενο που βρέθηκε, να αναζητήσετε πληροφορίες σχετικά με αυτό στο Διαδίκτυο και μόνο τότε να πάρετε μια τεκμηριωμένη απόφαση. Αφού κάνετε την επιλογή σας, το μόνο που μένει είναι να κάνετε κλικ στο κουμπί "Εκκαθάριση ελεγμένων στοιχείων".

RootRepeal

Για κάποιο λόγο αυτή η εφαρμογή χρησιμοποιείται και περιγράφεται αρκετά σπάνια. Εν τω μεταξύ, το RootRepeal είναι ένα πολύ καλό και αποτελεσματικό εργαλείο που σας επιτρέπει να ανιχνεύσετε πολλές παραλλαγές rootkit.

Αυτό το πρόγραμμα είναι φορητό, αν και δεν είναι τόσο διαισθητικό όσο το Sophos Anti-Rootkit, αλλά με ελάχιστη προσπάθεια από την πλευρά του χρήστη μπορεί να βοηθήσει πολύ στον εντοπισμό κακόβουλου λογισμικού. Ωστόσο, δεν υποδεικνύει αυτόματα στον χρήστη ότι εκεί βρίσκεται το rootkit, αλλά παρέχει πληροφορίες (εκτελούμενες διεργασίες, χρησιμοποιημένα αρχεία, κρυφές διεργασίες, άγκιστρα, πληροφορίες σχετικά με τον πυρήνα του συστήματος κ.λπ.) που θα πρέπει να αναλύσει ο χρήστης και να αξιολογήσει τον εαυτό του.

Αφού αναλύσετε και εντοπίσετε ύποπτες διεργασίες, μπορείτε να αναζητήσετε τις περιγραφές τους στο Διαδίκτυο και, εάν είναι απαραίτητο, να χρησιμοποιήσετε την εργαλειοθήκη RootRepeal για να διαγράψετε αρχεία, να τερματίσετε διεργασίες ή να επεξεργαστείτε κλειδιά μητρώου.

AVZ

Το τελευταίο που άφησα ήταν το βοηθητικό πρόγραμμα AVZ, το οποίο είναι πολύ γνωστό σε πολλούς - το antivirus του Zaitsev. Πρόκειται για ένα εργαλείο με τεράστιο αριθμό λειτουργιών που, μεταξύ άλλων, μπορεί να βοηθήσει στην καταπολέμηση των rootkits. Το AVZ δεν απαιτεί εγκατάσταση (φορητό). Ενημερώνεται αρκετά τακτικά.

Για να σαρώσετε και να ανιχνεύσετε rootkits που κρύβονται στα βάθη του συστήματος, πρέπει να επιλέξετε τη μονάδα ή τους καταλόγους που θέλετε στην «Περιοχή αναζήτησης». Το AVZ αναγνωρίζει τέλεια τα rootkits, τα οποία μπορούν να αφαιρεθούν αυτόματα ή μπορούν να λάβουν αποφάσεις κατά περίπτωση (σημείωση του συντάκτη: μπορείτε να ορίσετε επιλογές για ενέργειες AVZ σε ορισμένες περιπτώσεις στις ρυθμίσεις του προγράμματος).

Η αναζήτηση για rootkit γίνεται στο AVZ με βάση μια μελέτη βασικών βιβλιοθηκών συστημάτων για την παρακολούθηση των λειτουργιών τους, δηλαδή, χωρίς τη χρήση υπογραφών. Αυτό που είναι πολύτιμο για αυτήν την εφαρμογή είναι ότι μπορεί να αποκλείσει σωστά μια σειρά από πιθανά αντίμετρα από τα rootkits. Επομένως, ο σαρωτής του βοηθητικού προγράμματος μπορεί να ανιχνεύσει συγκαλυμμένες διεργασίες και κλειδιά μητρώου.

Φυσικά, είναι επίσης πιθανά ψευδώς θετικά. Επομένως, να προσέχετε τι πλένετε με AVZ. Με τη βοήθεια του AVZ είναι επίσης δυνατή η επαναφορά ορισμένων λειτουργιών του συστήματος μετά από επίθεση από ιούς και rootkits. Είναι επίσης αρκετά χρήσιμο.

Ας το συνοψίσουμε

Εξετάσαμε μια σειρά προγραμμάτων που θα βοηθήσουν στην ανίχνευση rootkit σε υπολογιστές και φορητούς υπολογιστές. Θα πρέπει να σημειωθεί ότι τα περισσότερα εμπορικά και δωρεάν προγράμματα προστασίας από ιούς έχουν ήδη αποκτήσει αρκετά ισχυρές μονάδες για τον εντοπισμό και την αφαίρεση rootkits. Επιπλέον, στο εγγύς μέλλον, προβλέπω σημαντική μείωση του ενδιαφέροντος των απλών χρηστών για λύσεις anti-rootkit, καθώς οι αντίστοιχες ενότητες των λύσεων προστασίας από ιούς θα βελτιωθούν και ο μέσος χρήστης δεν ενδιαφέρεται να εμβαθύνει σε διαδικασίες, προγράμματα οδήγησης και τα ίδια τα αρχεία. Ενδιαφέρεται για γρήγορα και κατά προτίμηση χωρίς επιπλέον προσπάθεια αποτελέσματα. Ενώ τα παραδοσιακά προγράμματα προστασίας από ιούς απέχουν πολύ από το να είναι το πρότυπο για τον εντοπισμό rootkits, για αυτόν τον τύπο χρήστη θα συνιστούσα το Sophos Anti-Rootkit. Αλλά για περίπλοκες περιπτώσεις θα πρέπει να χρησιμοποιήσετε το GMER ή το AVZ και να βελτιώσετε τις δεξιότητές σας. Αυτά τα όργανα δεν θα εξαφανιστούν εντελώς από τη σκηνή σύντομα.