ดังนั้นเรามาดูแอปพลิเคชันที่สามารถช่วยให้เรากำจัดรูทคิทบนพีซีของเราต่อไปได้ ส่วนก่อนหน้าของบทความมีอยู่

Sophos แอนตี้รูทคิท

นี่เป็นแอปพลิเคชั่นที่ค่อนข้างกะทัดรัดสำหรับการต่อสู้กับรูทคิทซึ่งมีอินเทอร์เฟซที่เรียบง่ายและใช้งานง่าย (ซึ่งเป็นสิ่งที่ยูทิลิตี้ "มืออาชีพ" ขาด) ยูทิลิตี้นี้จะสแกนรีจิสทรีและมีความสำคัญตามนักพัฒนาไดเร็กทอรีระบบระบุวัตถุที่ซ่อนอยู่ Sophos Anti-Rootkit จำเป็นต้องติดตั้งบนระบบ แตกต่างจากโปรแกรมอื่น ๆ ส่วนใหญ่ที่มีฟังก์ชั่นคล้ายกัน แอปพลิเคชั่นนี้จะเตือนผู้ใช้เกี่ยวกับผลกระทบที่อาจเกิดขึ้นกับประสิทธิภาพและการทำงานของระบบปฏิบัติการหากรูทคิทบางตัวถูกลบออก

เมื่อเปิดตัวโปรแกรมจะแจ้งให้เราเลือกว่าจะสแกนอะไรกันแน่ จริงๆ แล้วสแกนทุกอย่างดีกว่า การยกเว้นแม้แต่รายการเดียว (รีจิสทรีของระบบ กระบวนการที่ทำงานอยู่ และดิสก์ในเครื่อง) จะทำให้เกิดช่องโหว่สำหรับรูทคิทที่ฝังแน่นอยู่ในระบบ หลังจากสแกนวัตถุที่ Sophos Anti-Rootkit ตรวจพบ (โมดูล Symantec Antivirus, Kaspersky Antivirus, ไดรเวอร์ CD-ROM เสมือน ฯลฯ รวมอยู่ด้วยอย่างสม่ำเสมอ) คุณต้องเลือกวัตถุที่คุณตัดสินใจลบโดยยอมรับว่าวัตถุนั้นน่าสงสัยอย่างยิ่ง

เพื่อให้การตัดสินใจง่ายขึ้น โปรแกรมยังให้คำอธิบายของออบเจ็กต์ที่พบพร้อมคำแนะนำมากมายอีกด้วย หากต้องการอ่าน คุณต้องเลือกวัตถุที่พบ

นอกจากนี้ แอปพลิเคชันยังจัดเตรียมเส้นทางแบบเต็มไปยังออบเจ็กต์และข้อมูลเพิ่มเติมจำนวนหนึ่งในคำอธิบาย คุณสามารถศึกษาวัตถุที่พบ ค้นหาข้อมูลเกี่ยวกับวัตถุนั้นบนอินเทอร์เน็ต จากนั้นจึงทำการตัดสินใจอย่างมีข้อมูล หลังจากทำการเลือกแล้ว สิ่งที่เหลืออยู่คือคลิกที่ปุ่ม "ล้างรายการที่เลือก"

รูตรีเพิล

ด้วยเหตุผลบางประการแอปพลิเคชันนี้จึงไม่ค่อยได้ใช้และอธิบาย ในขณะเดียวกัน RootRepeal เป็นเครื่องมือที่ดีและมีประสิทธิภาพมากที่ให้คุณตรวจจับรูทคิทได้หลากหลายรูปแบบ

โปรแกรมนี้พกพาได้ แม้ว่าจะไม่ใช้งานง่ายเท่า Sophos Anti-Rootkit แต่หากผู้ใช้ออกแรงเพียงเล็กน้อย ก็สามารถช่วยตรวจจับมัลแวร์ได้มาก อย่างไรก็ตาม จะไม่ระบุให้ผู้ใช้ทราบโดยอัตโนมัติว่านี่คือตำแหน่งของรูทคิท แต่ให้ข้อมูล (กระบวนการที่ทำงานอยู่ ไฟล์ที่ใช้ กระบวนการที่ซ่อนอยู่ ฮุค ข้อมูลเกี่ยวกับเคอร์เนลของระบบ ฯลฯ) ที่ผู้ใช้จะต้องวิเคราะห์ และประเมินตัวเอง

หลังจากวิเคราะห์และตรวจจับกระบวนการที่น่าสงสัยแล้ว คุณสามารถค้นหาคำอธิบายของกระบวนการเหล่านั้นบนอินเทอร์เน็ต และใช้ชุดเครื่องมือ RootRepeal เพื่อลบไฟล์ ยุติกระบวนการ หรือแก้ไขคีย์รีจิสทรี หากจำเป็น

เอวีแซด

อันสุดท้ายที่ฉันทิ้งไว้คือยูทิลิตี้ AVZ ซึ่งหลายคนรู้จักกันดีนั่นคือโปรแกรมป้องกันไวรัสของ Zaitsev นี่เป็นเครื่องมือที่มีฟังก์ชันมากมายที่สามารถช่วยในการต่อสู้กับรูทคิทได้ AVZ ไม่จำเป็นต้องติดตั้ง (พกพา) มีการอัปเดตค่อนข้างสม่ำเสมอ

หากต้องการสแกนและตรวจจับรูทคิทที่ซ่อนอยู่ในส่วนลึกของระบบ คุณต้องเลือกไดรฟ์หรือไดเร็กทอรีที่ต้องการใน “พื้นที่ค้นหา” AVZ จดจำรูทคิทได้อย่างสมบูรณ์แบบ ซึ่งสามารถลบออกได้โดยอัตโนมัติหรือสามารถตัดสินใจเป็นรายกรณีไป (หมายเหตุบรรณาธิการ: คุณสามารถตั้งค่าตัวเลือกสำหรับการกระทำ AVZ ได้ในบางกรณีในการตั้งค่าโปรแกรม).

การค้นหารูทคิทเกิดขึ้นใน AVZ โดยอาศัยการศึกษาไลบรารีระบบพื้นฐานเพื่อดักฟังฟังก์ชันของมัน กล่าวคือ โดยไม่ต้องใช้ลายเซ็น สิ่งที่มีค่าเกี่ยวกับแอปพลิเคชั่นนี้คือสามารถบล็อกมาตรการตอบโต้ที่เป็นไปได้จำนวนหนึ่งจากรูทคิทได้อย่างถูกต้อง ดังนั้นสแกนเนอร์ของยูทิลิตี้จึงสามารถตรวจจับกระบวนการปลอมแปลงและรีจิสตรีคีย์ได้

แน่นอนว่าผลบวกลวงก็เป็นไปได้เช่นกัน ดังนั้นควรระวังสิ่งที่คุณล้างด้วย AVZ ด้วยความช่วยเหลือของ AVZ ยังสามารถกู้คืนฟังก์ชั่นระบบจำนวนหนึ่งหลังจากการโจมตีโดยไวรัสและรูทคิท มันยังค่อนข้างมีประโยชน์

มาสรุปกัน

เราได้ตรวจสอบโปรแกรมจำนวนหนึ่งที่จะช่วยตรวจจับรูทคิทบนคอมพิวเตอร์และแล็ปท็อป ควรสังเกตว่าโปรแกรมป้องกันไวรัสเชิงพาณิชย์และฟรีส่วนใหญ่ได้รับหน่วยที่ทรงพลังสำหรับการตรวจจับและลบรูทคิทแล้ว ยิ่งไปกว่านั้น ในอนาคตอันใกล้นี้ ฉันคาดการณ์ว่าความสนใจของผู้ใช้ทั่วไปในโซลูชันต่อต้านรูทคิตจะลดลงอย่างมีนัยสำคัญ เนื่องจากโมดูลของโซลูชันป้องกันไวรัสที่เกี่ยวข้องจะได้รับการปรับปรุง และผู้ใช้โดยเฉลี่ยไม่มีความสนใจในการเจาะลึกกระบวนการ ไดรเวอร์ และไฟล์เอง เขาสนใจที่จะเล่นอย่างรวดเร็วและโดยเฉพาะอย่างยิ่งโดยไม่ต้องพยายามมากเป็นพิเศษ แม้ว่าโปรแกรมแอนตี้ไวรัสแบบดั้งเดิมจะห่างไกลจากการเป็นมาตรฐานในการตรวจจับรูทคิท แต่สำหรับผู้ใช้ประเภทนี้ ฉันอยากจะแนะนำ Sophos Anti-Rootkit แต่สำหรับกรณีที่ซับซ้อน คุณยังคงต้องใช้ GMER หรือ AVZ และพัฒนาทักษะของคุณ เครื่องมือเหล่านี้จะไม่หายไปจากที่เกิดเหตุโดยสิ้นเชิงในเร็วๆ นี้