A gyökérkészleteket a hackerek arra használják, hogy elrejtsék a tartós, látszólag észlelhetetlen rosszindulatú programokat az eszközön, amelyek csendben lopják el az adatokat vagy az erőforrásokat, néha több éven keresztül. Billentyűnaplózó módban is használhatók, ahol a billentyűleütéseket és a kommunikációt felügyelik, és a szemlélőt adatvédelmi információkkal látják el.  

Ez a különleges feltörési módszer nagyobb jelentőséggel bírt 2006 előtt, mielőtt a Microsoft Vista megkövetelte a gyártóktól az összes számítógép-illesztőprogram digitális aláírását. A Kernel Patch Protection ( KPP ) hatására a rosszindulatú programok írói megváltoztatták támadási módszereiket, és csak a közelmúltban, 2018-tól a Zacinlo hirdetéscsalási művelettel kerültek^{(Zacinlo ad fraud operation)} újra a rootkitek a reflektorfénybe.

A 2006 előtti rootkitek mindegyike kifejezetten operációs rendszer alapú volt. A Zacinlo szituáció, a Detrahere malware család rootkitje, még veszélyesebbet adott nekünk egy firmware-alapú rootkit formájában. Ettől függetlenül^(Regardless) a rootkitek az évente megjelenő összes rosszindulatú programnak csak egy százalékát teszik ki. 

Ennek ellenére az általuk jelentett veszély miatt érdemes lenne megérteni, hogyan működik a rendszerébe esetleg már beszivárgott rootkitek észlelése.

Rootkitek észlelése a Windows 10 rendszerben^{(Windows 10)} ( mélyreható^(In-Depth) )

Zacinlo valójában csaknem hat évig volt játékban, mielőtt felfedezték, hogy a Windows 10 platformot célozza meg. A rootkit komponens nagymértékben konfigurálható volt, és megvédte magát a működésére veszélyesnek ítélt folyamatoktól, valamint képes volt elfogni és visszafejteni az SSL kommunikációt.

Titkosítaná és tárolná az összes konfigurációs adatát a Windows rendszerleíró adatbázisában^{(Windows Registry)} , és miközben a Windows leállt, átírja magát a memóriából a lemezre egy másik névvel, és frissíti a rendszerleíró kulcsát. Ez segített elkerülni a szabványos víruskereső szoftver általi észlelést.

Ez azt mutatja, hogy egy szabványos víruskereső vagy kártevőirtó szoftver nem elegendő a rootkitek észleléséhez. Azonban van néhány felső szintű kártevőirtó program, amely figyelmezteti Önt a rootkit támadás gyanújára. 

A jó víruskereső szoftver 5 fő tulajdonsága^{(The 5 Key Attributes Of a Good Antivirus Software)}

A manapság legtöbb kiemelkedő víruskereső program mind az öt figyelemre méltó módszert végrehajtja a rootkitek észlelésére.

• Aláírás-alapú elemzés^{(Signature-based Analysis)} – A víruskereső szoftver összehasonlítja a naplózott fájlokat a rootkitek ismert aláírásaival. Az elemzés olyan viselkedési mintákat is keres, amelyek utánozzák az ismert rootkitek bizonyos működési tevékenységeit, például az agresszív porthasználatot.
• Elfogás-észlelés^{(Interception Detection)} – A Windows operációs rendszer mutatótáblákat használ olyan parancsok futtatására, amelyekről ismert, hogy a rootkitet cselekvésre késztetik. Mivel a rootkitek megpróbálnak lecserélni vagy módosítani bármit, amit fenyegetésnek tartanak, ez a rendszert a jelenlétükre irányítja.
• Több forrású^{(Multi-Source Data Comparison)} adatösszehasonlítás – A rootkitek^(Rootkits) , hogy megpróbálják rejtve maradni, megváltoztathatnak bizonyos adatokat, amelyeket a szabványos vizsgálat során bemutatnak. A magas és alacsony szintű rendszerhívások visszaadott eredményei feladhatják a rootkit jelenlétét. A szoftver a RAM^(RAM) -ba betöltött folyamatmemóriát is összehasonlíthatja a merevlemezen lévő fájl tartalmával.
• Integritás ellenőrzése^{(Integrity Check)} – Minden rendszerkönyvtár rendelkezik egy digitális aláírással, amely akkor jön létre, amikor a rendszert „tisztának” tekintették. A jó biztonsági szoftver képes ellenőrizni a könyvtárakat, hogy nem változott-e a digitális aláírás létrehozásához használt kódban.
• Rendszerleíró adatbázisok összehasonlítása^{(Registry Comparisons)} – A legtöbb víruskereső szoftverben ezek előre beállított ütemezés szerint vannak. A tiszta fájlt valós időben összehasonlítja az ügyfélfájllal, hogy megállapítsa, hogy az ügyfél tartalmaz-e kéretlen végrehajtható fájlt (.exe), vagy tartalmaz-e ilyen fájlt.

Rootkit vizsgálat végrehajtása^{(Performing Rootkit Scans)}

A rootkit-vizsgálat elvégzése a legjobb kísérlet a rootkit-fertőzés kimutatására. Leggyakrabban az operációs rendszerben nem lehet megbízni abban, hogy önmagában azonosítsa a rootkitet, és kihívást jelent a jelenlétének meghatározása. A rootkitek mesterkémek, szinte minden kanyarnál elfedik a nyomaikat, és képesek rejtve maradni a szem előtt.

Ha azt gyanítja, hogy rootkit vírus támadás történt a gépén, a jó felismerési stratégia az lenne, ha kikapcsolja a számítógépet, és végrehajtja a vizsgálatot egy ismert tiszta rendszerről. A rootkit számítógépen belüli megtalálásának biztos módja a memóriakiírás elemzése. A rootkit nem tudja elrejteni a rendszernek adott utasításokat, miközben végrehajtja azokat a gép memóriájában.

A WinDbg használata rosszindulatú programok elemzéséhez^{(Using WinDbg For Malware Analysis)}

A Microsoft Windows^{(Microsoft Windows)} saját többfunkciós hibakereső eszközt biztosított, amellyel az alkalmazások, illesztőprogramok vagy magának az operációs rendszernek a hibakereső vizsgálatát végezheti el. Hibakeresést végez a kernel módban és a felhasználói módban, segít elemezni az összeomlási dumpokat, és megvizsgálja a CPU regisztereit.

Egyes Windows rendszerekhez a WinDbg már be van csomagolva. A nem rendelkezőknek le kell tölteniük a Microsoft Store áruházból^{(Microsoft Store)} . A WinDbg Preview a ^{(WinDbg Preview)}WinDbg modernebb verziója , amely egyszerűbb látványelemeket, gyorsabb ablakokat, teljes szkriptet, valamint ugyanazokat a parancsokat, bővítményeket és munkafolyamatokat biztosítja, mint az eredeti.

A WinDbg segítségével minimálisan elemezhet egy memória vagy összeomlási kiíratást, beleértve a Blue Screen Of Death -t ( BSOD ). Az eredményekből megkeresheti a rosszindulatú programok támadásainak jeleit. Ha úgy érzi, hogy valamelyik programját rosszindulatú programok akadályozhatják, vagy a szükségesnél több memóriát használ, létrehozhat egy dump fájlt, és a WinDbg segítségével elemzi azt.

A teljes memória kiíratása jelentős lemezterületet foglalhat el, ezért jobb lehet, ha helyette kernel módú^{(Kernel-Mode)} kiíratást vagy kis memória^(Memory) kiíratást hajt végre. A Kernel-Mode dump tartalmazza az összes memóriahasználati információt a kernel által az összeomlás idején. A Small Memory dump alapvető információkat tartalmaz a különböző rendszerekről, például illesztőprogramokról, kernelről és még sok másról, de ehhez képest kicsi.

A kis memóriakiíratok^(Memory) hasznosabbak annak elemzésében, hogy miért fordult elő BSOD . A rootkitek észleléséhez a teljes vagy kernel verzió hasznosabb lesz.

Kernel módú dump fájl létrehozása^{(Creating A Kernel-Mode Dump File)}

Kernel módú^{(Kernel-Mode)} dump fájl háromféleképpen hozható létre :

• Engedélyezze a kiíratási fájlt a Vezérlőpulton^{(Control Panel)} , hogy lehetővé tegye a rendszer összeomlását
• Engedélyezze a kiíratási fájlt a Vezérlőpultról^{(Control Panel)} a rendszer összeomlásának kényszerítéséhez
• Használjon hibakereső eszközt, hogy létrehozzon egyet Önnek

Mi a harmadik számú választással fogunk menni. 

A szükséges dump fájl végrehajtásához csak a következő parancsot kell beírnia a WinDbg ^(Command)parancsablakába^(WinDbg) .

Cserélje ki a FileName -et a kiíratási fájl megfelelő nevére és a „?” egy f -vel^(f) . Ügyeljen arra, hogy az „f” kisbetű legyen, különben más típusú dump fájlt hoz létre.

Miután a hibakereső lefutott (az első vizsgálat jelentős perceket vesz igénybe), létrejön egy kiíratási fájl, és elemezni tudja az eredményeket.

Ahhoz, hogy megértsük, mit keres, például az illékony memória ( RAM ) használatát, a rootkit jelenlétének meghatározásához tapasztalatra és tesztelésre van szükség. Lehetséges, bár kezdőknek nem ajánlott, élő rendszereken tesztelni a rosszindulatú programok felfedező technikáit. Ehhez ismét szakértelemre és a WinDbg működésével kapcsolatos alapos ismeretekre van szükség , hogy véletlenül ne telepítsünk élő vírust a rendszerébe.

Vannak biztonságosabb, kezdőbarátabb módszerek is a jól elrejtett ellenségünk felderítésére.

További szkennelési módszerek^{(Additional Scanning Methods)}

A kézi észlelés és a viselkedéselemzés szintén megbízható módszerek a rootkitek kimutatására. A rootkit helyének felderítése komoly fájdalommal járhat, ezért ahelyett, hogy magát a rootkitet célozná meg, inkább rootkit-szerű viselkedést kereshet.

A letöltött szoftvercsomagokban rootkitet kereshet a Speciális^(Advanced) vagy az Egyéni^(Custom) telepítési beállítások használatával a telepítés során. Amit meg kell keresnie, az a részletekben felsorolt ​​ismeretlen fájlok. Ezeket a fájlokat el kell dobni, vagy gyorsan kereshet az interneten rosszindulatú szoftverekre való hivatkozások után.

A tűzfalak és naplózási jelentéseik hihetetlenül hatékony módja a rootkit felfedezésének. A szoftver értesíti Önt, ha a hálózat ellenőrzés alatt áll, és a telepítés előtt karanténba helyez minden felismerhetetlen vagy gyanús letöltést. 

Ha arra gyanakszik, hogy egy rootkit már megtalálható a gépen, belevessen a tűzfal naplózási jelentéseibe, és keressen a szokásostól eltérő viselkedést.

Tűzfalnaplózási jelentések áttekintése^{(Reviewing Firewall Logging Reports)}

Érdemes áttekinteni a jelenlegi tűzfalnaplózási jelentéseket, és egy nyílt forráskódú alkalmazást, például a tűzfalnapló-szűrési képességekkel rendelkező IP Traffic Spy -t nagyon hasznos eszközzé tenni. ^{(IP Traffic Spy)}A jelentések megmutatják, mit kell látnia támadás esetén. 

Ha nagy hálózata van önálló kilépésszűrő tűzfallal, az IP Traffic Spy nem szükséges. Ehelyett a tűzfalnaplókon keresztül látnia kell a hálózat összes eszközére és munkaállomására érkező bejövő és kimenő csomagokat.

Akár otthonról, akár kisvállalkozásról van szó, használhatja az internetszolgáltatója^(ISP) által biztosított modemet, vagy ha rendelkezik ilyennel, személyes tűzfalat vagy útválasztót a tűzfalnaplók lekéréséhez. Azonosítani tudja majd az ugyanahhoz a hálózathoz csatlakoztatott minden egyes eszköz forgalmát. 

Hasznos lehet a Windows tűzfal naplófájljainak^{(Windows Firewall Log)} engedélyezése is . Alapértelmezés szerint a naplófájl le van tiltva, ami azt jelenti, hogy nincs információ vagy adat írva.

• Naplófájl létrehozásához nyissa meg a Futtatás^(Run) funkciót a Windows key + R megnyomásával .
• Írja be a wf.msc mezőbe, és nyomja meg az Enter billentyűt .

• A Windows Firewall and Advanced Security ablak bal oldali menüjében jelölje ki a „Windows Defender Firewall with Advanced Security on Local Computer” elemet. ^{(Advanced Security)}A jobb oldali menüben a „Műveletek” alatt kattintson a Tulajdonságok elemre^(Properties) .

• Az új párbeszédablakban lépjen át a „Privát profil” fülre, és válassza a Testreszabás^(Customize) lehetőséget, amely a „Naplózás” részben található.

• Az új ablakban kiválaszthatja, hogy mekkora naplófájlt írjon, hova szeretné elküldeni a fájlt, és hogy csak az eldobott csomagokat, a sikeres csatlakozást vagy mindkettőt naplózza-e.

• Az eldobott^(Dropped) csomagok azok, amelyeket a Windows tűzfal^{(Windows Firewall)} blokkolt az Ön nevében.
• Alapértelmezés szerint a Windows tűzfal^{(Windows Firewall)} naplóbejegyzései csak az utolsó 4 MB adatot tárolják, és a %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Ne feledje, hogy a naplók adathasználatára vonatkozó méretkorlát növelése hatással lehet számítógépe teljesítményére.
• Nyomja meg az OK gombot , ha végzett.
• Ezután ismételje meg ugyanazokat a lépéseket, amelyeket a „Privát profil” lapon végzett, ezúttal csak a „Nyilvános profil” lapon.
  • A naplók mostantól mind a nyilvános, mind a privát kapcsolatokhoz készülnek. Megtekintheti a fájlokat egy szövegszerkesztőben, például a Jegyzettömbben^(Notepad) , vagy importálhatja őket egy táblázatba.
  • Mostantól exportálhatja a naplófájlokat egy adatbázis-elemző programba, például az IP Traffic Spy -be, hogy szűrje és rendezze a forgalmat az egyszerű azonosítás érdekében.

Ügyeljen arra, hogy a naplófájlokban ne legyen semmi szokatlan. Még a legkisebb rendszerhiba is rootkit fertőzést jelezhet. Valami a túlzott processzor-^(CPU) vagy sávszélesség-használathoz hasonló, ha nem használ túl nagy igénybevételt, vagy egyáltalán nem, ez komoly nyom lehet.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are υsed by hackers to hidе persistent, seemingly undetectable malware within your device that will silently steal data or resources, sometimes over the course of multiple yeаrs. They can also be used in keylogger fashion where your kеystrokes and communications are surveilled providing the onlooker with privacy information.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Töltse le a Windows 10 útmutatókat kezdőknek a Microsofttól

• A Windows 10 PC használata – Alapvető oktatóanyag és tippek kezdőknek

• Töltse le a Windows Ink Guide for Windows 10 rendszert a Microsofttól

• Töltse le a Windows 10 útmutatókat kezdőknek a Microsofttól

• Csoportházirend-beállítások kézikönyve Windows 10 rendszerhez

• [Útmutató] A Windows 10 biztonságossá tétele

• Hálózati adathasználat visszaállítása Windows 10 rendszeren [ÚTMUTATÓ]

• Az Ashampoo WinOptimizer egy ingyenes szoftver a Windows 10 optimalizálására

• Útmutató a Windows 10 Feladatkezelőhöz – II. rész

• A Performance Monitor használata Windows 10 rendszeren (Részletes ÚTMUTATÓ)

• A legjobb ingyenes vonalkódolvasó szoftver Windows 10 rendszerhez

• Ultimate Windows 10 WiFi hibaelhárítási útmutató

• HDG Ultimate útmutató képernyőképek készítéséhez Windows 10 rendszerben

• A 3 legnépszerűbb Reddit alkalmazás Windows 10 rendszerhez, amelyek elérhetők a Windows Áruházban

• Nem lehet csatlakozni az Xbox Live-hoz; Javítsa ki az Xbox Live hálózati problémát a Windows 10 rendszerben

• Hogyan lépjünk be a BIOS-ba Windows 10 rendszeren [ÚTMUTATÓ]

• Hozzon létre egy billentyűparancsot kedvenc webhelyének megnyitásához a Windows 10 rendszerben

• A képernyőzár letiltása a Windows 10 rendszerben [ÚTMUTATÓ]

• 158-as eseményazonosító hiba – Azonos lemez GUID-ok hozzárendelése a Windows 10 rendszerben

• Engedélyezze a továbbfejlesztett hamisítás-ellenőrzést a Windows 10 Hello Face Authentication rendszerben