сряда, 3 декември 2008 г.

Откриване на rootkit комплекти с Gmer

Повечето съвременни потребители на Windows ползват различни антивирусни програми за защита на компютъра. Независимо от това обаче, системата остава уязвима за различни заплахи. Затова е важна редовната профилактика и одит на компютъра с различни приложения за откриване на пропуски в сигурността.
Gmer е една от онези изключително полезни програми, които ще се чудите как не сте ползвали преди да я откриете. Това компактно приложение е предназначено за откриване и премахване на rootkit инструменти. Програмата сканира компютъра за скрити процеси, нишки на стартираните клиент сървър услуги, модули, файлове, Alternate Data Streams от NTFS файловата система, ключове в системния регистър, и драйвери прихващащи SSDT, IDT и IRP заявки.
Модерните вируси ползват сложни алгоритми, за да маскират своята подмолна дейност от операционната система, на която работят. Известните троянски коне и другия зловреден софтуер разполагат с редица мощни методи за защита срещу тривиалните антивирусни програми. Това означава, че дори да разполагате с последната версия на утвърден антивирусен пакет и да се грижите за редовното обновяване на неговите дефиниции, все още съществува реална опасност вашата система да бъде атакувана от зловредни приложения. Съществуват множество примери за привидно защитени системи с антивирусни програми, които откриват зловредния софтуер, но за съжаление не могат да го премахнат напълно от клиентската операционна система. Именно тук се корени и голямата мощ на Gmer. Приложението позволява да се унищожат работните процеси на редица системни библиотеки, които могат да са модифицирани от кода на различни вируси, след което да стартирате на чисто обновена антивирусна програма, за да сме сигурни, че ще изчистим всички нежелани програми.
Работата с Gmer е изключително опростена. Просто трябва да го стартирате, да отидете на табчето озаглавено Rootkit, и да натиснете бутона Scan. Поради нарасналата популярност на приложението сред експертите по информационна сигурност, вече има и rootkit комплекти, разпознаващи Gmer (например Gromozon), които не ви позволяват да го стартирате. За да се справите с този проблем просто преименувайте изпълнимият файл на Gmer - gmer.exe например на test.exe и го стартирайте отново.
За да прегледате всички NTFS потоци отново трябва да посетите Rootkit табчето, да поставите отметка на опциите Files, ADS, Show all опциите и да стартирате сканирането. Редовното профилактично сканиране на вашата Windows операционна система, ще ви подсигури срещу евентуална кражба на информация и всякакви други заплахи свързани с обработваните от вас документи. Добра идея е регулярно да сканирате компютъра си за зловреден софтуер. Gmer запазва цялата информация за стартираните процеси в журнален файл, намиращ се в C:\WINDOWS\gmer.log. Не забравяйте да преместите стария файл преди да стартирате новото сканиране. Сравнявайки информацията от журналните файлове, ще сте наясно с настъпилите промени и новопоявилите се приложения работещи на вашата система. В случай че откриете нещо нередно, имате възможност бързо да реагирате и да предотвратите заплахата преди тя да се е разраснала и разпространила.
Gmer може да се ползва и за наблюдение на различни системни функции, сред които създаването на процеси в паметта, зареждането на драйвери и библиотеки, различни файлови функции, системния регистър и TCP/IP връзки. Приложението е безплатно за употреба и работи под управлението на Windows NT/2000/XP и Vista. Редовната употреба на програми от независими софтуерни архитекти като Gmer е от изключително значение за безопасността на компютрите и данните обработвани от тях особено, ако се ползва операционна система, за която няма достъп до изходния код.
Програмата може да се свали от тук.

Няма коментари: