Top 7 phần mềm chống rootkit cho Windows
Có nhiều sự nhầm lẫn giữa hai thuật ngữ malware và rootkit. Rootkit là một phần của malware, nó đảm bảo rằng tội phạm không gian mạng có thể duy trì quyền truy cập của chúng vào hệ thống bị nhiễm. Ngay cả khi công cụ phần mềm độc hại chính bị xóa khỏi hệ thống bị nhiễm, nó vẫn có thể được tái nhiễm bằng rootkit. Cùng Bizfly Cloud tìm hiểu thông tin rõ hơn qua bài viết dưới đây.
Một ví dụ điển hình về rootkit chế độ nhân là một tệp trình điều khiển thiết bị nhân, đó là rootkit.sys. Tệp này sử dụng Registry (cơ sở dữ liệu dùng để lưu trữ các thông số kỹ thuật của Windows và lưu lại những thông tin về sự thay đổi, lựa chọn cũng như những thiết lập từ người sử dụng Windows) để tải chính nó trong khi hệ thống khởi động, sau đó theo dõi các sự kiện như thay đổi registry, các quy trình mới, registry của hệ thống tệp mới và phương tiện di dời được như ổ USB. Về mặt lịch sử, thuật ngữ rootkit bắt nguồn từ khi các tội phạm mạng bắt đầu sử dụng các tệp nhị phân đã sửa đổi để duy trì quyền truy cập siêu người dùng "root" trên các hệ thống Unix.
Một malware payload thường có thể được loại bỏ bằng cách ngăn chặn Windows exe/DLL chịu trách nhiệm thực hiện hoạt động. Nó có thể hoạt động bằng cách khởi động Windows ở chế độ An toàn để làm sạch các khóa registry và các tệp chịu trách nhiệm khởi động phần mềm độc hại. Tuy nhiên, rootkit là tập hơn các phần mô-đun phức tạp ẩn sâu bên trong hệ điều hành (OS) cùng với phần mềm hợp pháp (như trình điều khiển thiết bị cần thiết cho hoạt động của hệ điều hành). Ví dụ như rootkit TDL được sử dụng bởi dòng phần mềm độc hại Cutwail.
Phần mềm chống rootkit là gì?
Phần mềm chống rootkit là công cụ được thiết kế để xác định các mối đe dọa khác nhau như các quy trình đáng ngờ, các hook hoặc mô-đun, các khóa registry, tệp đã sửa đổi và rootkit đã biết hoặc chưa biết. Phần mềm chống rootkit có thể làm được những việc này bởi các kỹ thuật như nhận dạng các hook process, kiểm tra trình điều khiển thiết bị, chữ ký số và hoạt động mạng trên hệ thống đang được quan sát. Tính hữu ích của phần mềm chống rootkit thường dựa trên các yếu tố sau:
Tính hiệu quả: Độ thường xuyên của các bản cập nhật chống rootkit là như thế nào?
Sự sử dụng: Tài liệu của phần mềm chống rootkit đa dạng đến mức nào?
Thực hiện cụ thể: Các kỹ thuật chống rootkit có hiệu quả như thế nào, đặc biệt là với các rootkit phức tạp đang thay đổi nhanh chóng?
Bộ kỹ năng: Trình độ kỹ năng và kinh nghiệm của người dùng với một hệ điều hành có lẽ là yếu tố quan trọng nhất trong khi sử dụng phần mềm chống rootkit.
Một số phương pháp được sử dụng bởi phần mềm chống rootkit bao gồm so sánh các tập tin, registry (registry thu được từ hệ thống sạch), bảng gọi hệ thống nhân (với ảnh đĩa tương ứng), phát hiện sử dụng luồng dữ liệu thay thế và bộ nhớ nhân đến các chữ ký rootkit đã biết.
Phạm vi
Phần mềm chống rootkit cho Windows có thể được chia thành hai loại:
1. Phân tích và chẩn đoán
Việc sử dụng các công cụ tinh vi này đòi hỏi phải có vốn kiến thức đáng kể về bên trong của hệ điều hành Windows. Những công cụ tiềm năng này hỗ trợ các chuyên gia với một cái nhìn tổng quan về hệ thống bị nhiễm. Một người dùng máy tính chưa có kinh nghiệm không có khả năng hiểu được đầu ra của các công cụ này (tương tự với các công cụ khác được đề xuất). Những phần mềm chống rootkit này đủ trong suốt để hiển thị một cái nhìn bị phân tách của hệ thống. Hầu như tất cả những phần mềm này đều gắn kèm với cảnh báo sử dụng 'tự chịu trách nhiệm về rủi ro của mình". Do đó, bạn nên sao lưu dữ liệu của mình trước hoặc sử dụng nó trên máy thử nghiệm. Vì mỗi một công cụ xử lý các nội bộ hệ điều hành quan trọng, bất kỳ một lỗi vô tình nào cũng có thể dẫn đến một hệ thống không ổn định và mất dữ liệu. Vài cái tên phổ biến nằm trong số công cụ xử lý này là GMER, Rootkit Unhooker và RootRepeal.
2. Quét và sửa chữa
Đây là loại công cụ sửa chữa nhanh chóng hơn trong số các công cụ chống rootkit. Điều đó có nghĩa là để quét và loại bỏ rootkit, các chức năng của công cụ chống rootkit này giống như phần mềm diệt virus truyền thống. Tuy nhiên, hiệu quả của phần mềm chống rootkit như vậy phụ thuộc vào tần suất cập nhật của chúng. Ví dụ, một công cụ chống rootkit được phát hành vào năm 2007 sẽ không thể phát hiện các rootkit TDL khét tiếng (được phát hiện lần đầu tiên vào năm 2008).
Tạo một công cụ chống rootkit cơ bản để chống lại tất cả các loại mối đe dọa rootkit đã biết có thể là một công việc rất khó khăn. Đây thường là công việc phù hợp hơn cho một gói phần mềm chống virus đã phát triển hoàn thiện. Một vài ví dụ phổ biến của các giải pháp này là Dr. Web CureIt, RootKitRevealer và F-Secure BlackLight.
Dưới đây là những phần mềm chống rootkit tốt nhất mà chúng tôi tổng hợp được:
1. GMER
Loại: Phân tích
GMER là một trong những phần mềm chống rootkit tốt nhất hiện có trên Internet. Nó quét các quy trình, các luồng, mô-đun, dịch vụ, tệp ẩn, luồng dữ liệu thay thế và các khóa registry ẩn. GMER cũng giám sát trình điều khiển hook (cơ chế cài đặt và điều khiển xử lý thông điệp trao nhận trên Windows) bảng giao thức điều khiển thiết bị (SSDT), bảng mô tả gián đoạn (IDT), các cuộc gọi IRP và các hook nội tuyến. Đây là một công cụ phải có nếu bạn quan tâm đến việc loại bỏ rootkit.
2. RootRepeal
Loại: Phân tích
Root Repeal là một công cụ phát hiện và loại bỏ rootkit khác. Công cụ chống rootkit này quét các trình điều khiển, tệp, quy trình, SSDT và các đối tượng lén lút ẩn. Công cụ có một giao diện thân thiện và một tập hợp các tính năng tốt.
3. VBA32 arkit
Loại: Phân tích
Đây là một giải pháp chống rootkit có công suất lớn. Nó có một tính năng tốt có thể kiểm tra chữ ký số của các tập tin được quét.
4. Rootkit Unhooker
Loại: Phân tích
Đây là phần mềm chống rootkit khá phổ biến.
5. Dr. WebCureIt
Loại: Quét và sửa chữa
Đây là một công cụ quét và loại bỏ hiệu quả và dễ sử dụng. Phiên bản miễn phí của phần mềm chống rootkit này chỉ có sẵn cho máy tính tại nhà và thực hiện quét nhanh.
6. Sysreveal
Loại: Phân tích
Sysreveal là một công cụ chống rootkit sắp ra mắt. Nó có các tính năng cho phép xem các quy trình, trình điều khiển, SSDT, IDT và các loại hook khác nhau.
7. IceSword
Loại: Phân tích
IceSword quét và giám sát các quy trình, cổng, mô-đun nhân, chương trình khởi động, dịch vụ Windows, quy trình các log và tạo luồng. Đây là một công cụ tuyệt vời để chẩn đoán và đánh bại rootkit. Vì nó đã được viết bởi một lập trình viên người Trung Quốc, nên chỉ có sự hỗ trợ hạn chế cho thứ ngôn ngữ khác đó là tiếng Anh.
Ngoài những phần mềm chống rootkit phổ biến trên, những phần mềm quét và sửa lỗi rootkit sau đây rất đáng chú ý.
- RootkitRevealer bởi Windows Sysinternals
- F-Secure BlackLight
- McAfee Rootkit Detective
- Panda Anti Rootkit
- Trend Micro Rootkit Buster
- Sophos Anti-Rootkit
VCCLoud via computerweekly.com