Вопросы Теги

Есть ли способ найти руткиты в 64-разрядном Windows 7

Я работал и добрался, справочная служба звонят по поводу довольно серьезного вредоносного заражения, и это получило меня думающий о моем собственном компьютере.

Я запускаю Windows 7 64-разрядный RC1 на моем повседневном ноутбуке. Я запускаю антивирус ESET NOD32, который делает хорошее задание совершенствования себя. Я никогда не выключал контроль учётных записей.

Я - также компьютерный профессионал, таким образом, у меня есть довольно хорошая идея если не для нажатия "ОК" на диалоговом окне окон, которое смотрит жулик.

Все, что, чтобы сказать, что я думаю, что являюсь чистым, но я хотел быть уверенным, таким образом, я загрузил в безопасный режим и загрузил и сделало быстрое сканирование с помощью хорошо рекомендуемого инструмента инструмента MalwareBytes антивируса. Это только нашло странный ключ реестра, который я удалил. Никакой файл или проблемы папки не были обнаружены. Я перезагрузил для завершения чистого, как это запросило. Я был удивлен этим, потому что все, что это сделало, было убрать ключ реестра.

О, да... еще одна вещь выполняет профессиональный выпуск BillP Studio WinPatrol.

После перезагрузки обычно, WinPatrol предупредил о новой программе MalwareBytes, который я ожидал и позволил. Но к моему удивлению это также сделало, чтобы я подтвердил установку/установку userinit (я не могу помнить, был ли это dll или exe), но информация о программе была то, что это - файл, который представляет экранную заставку окнам. Я позволил его, но это застало меня врасплох.

Одна последняя вещь. Я пытался также запустить руткит revealer и IceSword, таким образом, я мог сделать, сканирование руткита на моей машине и ни одном из них будет работать, и я вполне уверен, это - потому что я выполняю 64-разрядную ОС.

Таким образом, вот мои вопросы:

  1. Действительно ли нормально для userinit быть "переустановленным" или "re-init" после выполнения использования сканирования MalwareBytes? В противном случае, почему был запрошенный, позволяют полномочия для того файла?

  2. Есть ли, знать/рекомендовать способ сделать сканирование руткита 64-разрядной системы окон?

  3. Действительно ли возможно, что моя машина, Менее вероятно, будет иметь проблему руткита, ПОСКОЛЬКУ я работаю как 64-разрядная ОС. Разве руткит не должен был бы работать как 64-разрядный процесс и не является им, вероятно, что прямо сейчас, что руткиты не будут записаны для предназначения 64-разрядный, так как это - меньшая целевая аудитория? Моя площадь поверхности риска на самом деле меньше?

Заранее спасибо.

Seth

3
задан 01.10.2009, 20:17

3 ответа

Я использую combofix успешно на Vista на 64 бита регулярно. По моему опыту, 64 бита действительно использует в своих интересах работы системы независимо от того, делает ли приложение. Хотя я не согласился бы, что перспектива 64 является 100%-м бесплатным руткитом, намного более трудно получить руткиты на ОС на 64 бита. Для производителей аппаратных средств трудно сделать драйверы для 64 битов все еще, я не думаю, что мы будем видеть слишком много корневых наборов на 64 бита некоторое время. И если Вы ненавидите на 64 битах, привыкают к нему, нравится ли Вам это или нет, 4 ГБ поршня станут устаревшими. То, когда это сделает 64 бита, будет требоваться.

0
ответ дан 08.12.2019, 01:50

Антируткит Sophos утверждает, что смог просканировать для и удалить, руткиты в 64-разрядном Windows 7.

2
ответ дан 08.12.2019, 01:50

Есть ли, знать/рекомендовать способ сделать сканирование руткита 64-разрядной системы окон?

Существует только две программы, которым я доверяю для этого: ComboFix сопровождается RegDelNull.

Я не уверен однако относительно поддержки ComboFix 64 битов. Но если Вы создаете точку восстановления перед использованием его, необходимо смочь использовать Консоль восстановления для восстановления его в случае, если что-то идет не так, как надо.

Но я чувствую потребность сделать 2 точки здесь:

1. 64-разрядное повальное увлечение
Я должен все же понять почему настойчивость при использовании 64-разрядных версий Ваших Ose. По всем практическим причинам, там близко 0 преимуществ при этом. 64-разрядная ОС только полезна, когда 64-разрядные заявки, использующие новые функции процессора и адресное пространство, поданы господствующая тенденция. Дело не в этом. Очень немного приложений верны 64-разрядный и те, которые являются, так только по причинам совместимости. По большей части эти приложения делают нет смысла, ни один, который у них есть использование для, любая из этих функций. И затем Вы попадаете в беду, как Вы видите теперь при попытке получить специализированное программное обеспечение, которое не может работать хорошо под 64-разрядным.

2. Методы
Нет никакого ясного способа сделать проверку руткита. Даже combofix, конечно, принимает свою собственную методологию, которая позволит, чтобы другие или более новые руткиты прошли мимо невредимый. Тем не менее Ваши предпочтительные инструменты всегда будут консолью восстановления или загружающийся в безопасный режим, где многие из этих руткитов не будут работать.

С этим несколько продуктов брандмауэра предлагают защиту системного уровня (я думаю Comodo, например), который позволит Вам видеть, что системный уровень запрашивает информирование о многих изменениях, которые происходят в Вашем компьютере.

Кроме того, необходимо включить контроль учётных записей на высшем уровне и работать из не учетной записи администратора. Это - то, для чего был создан контроль учётных записей и нет действительно никакого оправдания больше для не выполнения наших машин Windows в соответствии с непривилегированной учетной записью. Никакой руткит никогда не будет обходить это, которое на самом деле означает, что Вы не должны волноваться о поиске их.

Действительно ли возможно, что моя машина, Менее вероятно, будет иметь проблему руткита, ПОСКОЛЬКУ я работаю как 64-разрядная ОС. Разве руткит не должен был бы работать как 64-разрядный процесс и не является им, вероятно, что прямо сейчас, что руткиты не будут записаны для предназначения 64-разрядный, так как это - меньшая целевая аудитория? Моя площадь поверхности риска на самом деле меньше?

К сожалению, нет. Как упомянуто, 64-разрядные системы позволяют, чтобы 32-разрядные приложения работали на любом уровне. Но внимание! Вы действительно добавляете определенный уровень защиты начиная с руткитов, там может быть, это может перестать работать под 64-разрядной ОС по многим причинам; то же как много других 32-разрядных приложений необъяснимо или не действительно также имеет тенденцию перестать работать под 64-разрядными Ose. Руткиты не неуязвимы для ошибок. Но это об этом.

Тем не менее существует также возможность определенных руткитов начать конкретно предназначаться для 64-разрядных систем. Таким образом, Вы действительно не где угодно более безопасны.

0
ответ дан 08.12.2019, 01:50
  • 1
    становятся необходимыми, если требуется использовать больше чем 3 ГБ на компьютере - которым сегодня предоставляются много компьютеров, поставлющихся. – Sanjay Sheth 01.10.2009, 21:16
  • 2
    И все же никакой 32-разрядный sofwtare не использует в своих интересах добавленное адресное пространство, и фактически ни для какого 64-разрядного программного обеспечения не нужно оно. Это - моя точка, Sanjay. Вне очень специализированного программного обеспечения в Разработке Научной и возможно поля Movie, у Вас нет текущего использования для него. – A Dwarf 01.10.2009, 21:20
  • 3
    ? – Bender 01.10.2009, 21:26
  • 4
    Это независимо от адресного пространства процессора. 32-разрядные процессоры также предлагают аппаратную виртуализацию – A Dwarf 01.10.2009, 21:30
  • 5
    Да, но память быстро становится недостаточным. – Bender 01.10.2009, 21:55

Теги

Похожие вопросы