Как обнаружить руткит?

Question

[famewi6761]

Как можно обранужить руткит, есть полезные какие нибудь статьи, а не где пол интернета говорят только про сканнеры и антивирусы, где можно найти нормальную и полезную информацию, как можно избавиться от руткита?

Замечания по руткиту:
- Допустим он передается на флеш накопитель.
- Так же допускается что он записывается на сим карту
- Так же переустановка ос не помогает
- Возможно можно обнаружить через ядро, но мне не известно как это сделать
- По передаче трафика ничего полезного не было обнаружено, либо у меня не достаточно навыков было, либо руткит так же маскирует передачу трафика

Есть какие нибудь действенные методы как можно обнаружить на основе замечаний выше? Можете предоставить ту информацию которая может помочь в этом случае, или предоставить то как пишут руткиты уровня ядра, чтобы понимать хотя бы как можно их лучше обнаружить

Comments

[Everything_is_bad]

- Так же допускается что он записывается на сим карту

вот и приехали
По симптомам, стандартная весна.

Answer 1

[Drno]

При переустановке ОС он не может не удаляться, если только не заражен ueffi...(что достаточно сильно сложно сделать)
Записать флешку с ОС на чистом ПК, без вирусни, и установить с форматированием диска. Никакого руткита там не будет.

Насчет сим - это еще сложнее, чем ueffi, теоретически возможно, практически очень врят ли. разве что работал сам мобильный провайдер..

Answer 2

[Виктор]

есть полезные какие нибудь статьи, а не где пол интернета

Ну например, вот эта показалась мне полезной. Тут надо понимать, что как руткиты, так и средства борьбы с ними непрерывно совершенствуются, старые средства борьбы против новых руткитов не помогут, поэтому и статьи надо читать самые свежие.

Допустим он передается на флеш накопитель.

Средства заражения - штука консервативная, они не меняются с давних времён. Им безразлично, подсадить ли на твой комп руткит, майнер или шифровалку дисков, так что тут и старая инфа о противодействии заражению может оказаться полезной.

Так же допускается что он записывается на сим карту

Полная дичь. Уж очень мал объём симки как хранилища, да и передать туда управление для запуска исполняемого кода не получится.

Так же переустановка ос не помогает

Полная переустановка - самый действенный способ борьбы с руткитами. Собственно, только он и гарантирует реальное удаление. Но она должна быть действительно полной: от старой ОС не должно остаться ничего, дистрибутив новой ОС должен быть гарантированно чист. Даже firmware вашей материнки желательно обновить.

Есть какие нибудь действенные методы как можно обнаружить на основе замечаний выше?

Основная задача руткита - скрыть своё присутствие и свои действия на компе. Поэтому, если вы ничего странного не замечаете, то это может означать как то, что его нет, так и то, что он успешно работает. Так что тут лучше перебдеть.
Однако руткиты - штука дорогая как в разработке, так и в применении, так что пусть параноиком будет тот, кому реально есть чего терять. Простым пользователям с вероятностью 99% можно продолжать жить спокойно, воюя только с прежней привычной малварью с помощью обычных антивирусов. Им достаточно встроенного в "десятку" и регулярно обновляемого Защитника Windows.