10 công cụ AntiRootkits cần và nên có trong hệ thống

 

Như mọi người đã biết, rootkit là 1 chương trình khá độc hại với nhiều khả năng phá hoại tiềm tàng. Bên cạnh đó là khả năng ngụy trang, che đậy tinh vi nên những chương trình phổ biến hầu như không thể phát hiện được, chúng chỉ bị phát hiện bởi những công cụ chuyên dùng.

 

Hầu hết rootkit dành toàn bộ thời gian để trú ẩn và tìm cách đạt được quyền điều khiển hệ thống mà không bị phát hiện. Điển hình, nếu bạn sử dụng công cụ Task Manager của Windows, Anvir, Process Explorer hoặc bất cứ chương trình nào tương tự, đều không thể phát hiện được hành vi của rootkit, nó cũng có khả năng làm ẩn toàn bộ file và thư mục trong cho dù bạn có thiết lập chế độ hiển thị file ẩn và hệ thống.

Gần đây, đã xuất hiện nhiều công cụ điều khiển trojan từ xa có thêm lựa chọn tạo server file cùng với rootkit nhưng rất may mắn rằng, chúng hiếm khi được sử dụng vì những tính năng trên vô cùng nhạy cảm, thêm vào đó nếu người lập trình hoặc điều khiển không “chắc tay” thì chúng sẽ gây ra hiện tượng mất ổn định trên nạn nhân hoặc không thể chiếm được quyền điều khiển cũng như các tài nguyên khác như mong muốn.

Khi tiến hành thử nghiệm sau, tác giả đã sử dụng 1 chương trình keylogger có chức năng rootkit để tự ẩn mình, sau đó tiến hành với các chương trình AntiRootkit khác nhau xem chương trình nào có thể phát hiện và loại bỏ rootkit, keylogger khỏi hệ thống. Tác giả không công bố tên cụ thể của chương trình keylogger được sử dụng, vì việc này sẽ khiến cho hacker cảnh giác hơn khi biết được chương trình chúng đang sử dụng an toàn hoặc không an toàn ở mức nào.

Và sau đây là danh sách sau khi kiểm tra:

1. McAfee Rootkit Detective 1.1:

Lần cập nhật cuối cùng: tháng 10/2007
Hỗ trợ : không
Phát hiện: có khả năng (trên XP)
Cách thức loại bỏ: đổi tên file thực thi và lây nhiễm (trên XP)

2. Trend Micro RootkitBuster 2.8:

Lần cập nhật cuối cùng: tháng 11/2009
Hỗ trợ Windows 7: có
Phát hiện: có
Cách thức loại bỏ: thất bại trên cả và 7 (file thực thi và lây nhiễm không thể bị xóa)

3. Sophos Anti-Rootkit 1.5:

Lần cập nhật cuối cùng: tháng 07/2009
Hỗ trợ Windows 7: có
Phát hiện: có
Cách thức loại bỏ: thành công 100%

4. F-Secure BackLight 2.2:

Lần cập nhật cuối cùng: tháng 09/2008
Hỗ trợ Windows 7: không
Phát hiện: có (trên XP)
Cách thức loại bỏ: thành công (trên XP) bằng cách đổi tên file

5. Avira AntiRootkit Tool 1.1:

Lần cập nhật cuối cùng: tháng 11/2009
Hỗ trợ Windows 7: có
Phát hiện: có
Cách thức loại bỏ: có (trên XP), không (trên Win 7)
Lưu ý: cần có 1 chương trình bảo mật của Avira cài đặt trên hệ thống để kích hoạt công cụ AntiRootKit

6. RootkitRevealer 1.7:

Lần cập nhật cuối cùng: tháng 11/2006
Hỗ trợ Windows 7: không
Phát hiện: không
Cách thức loại bỏ: không

7. Tizer Rootkit Razor 2.0:

Lần cập nhật cuối cùng: tháng 03/2010
Hỗ trợ Windows 7: có
Phát hiện: có (phát hiện hành vi của rootkit trong Process Scan)
Cách thức loại bỏ: có (kích chuột phải > Terminate Process and Delete File)

8. SanityCheck 2.0:

Lần cập nhật cuối cùng: tháng 11/2009
Hỗ trợ Windows 7: có
Phát hiện: có
Cách thức loại bỏ: không (thậm chí chương trình không có chức năng loại bỏ, tiêu diệt rootkit)

9. RemoveAny 2.8:

Lần cập nhật cuối cùng: tháng 05/2010
Hỗ trợ Windows 7: có
Phát hiện: không (chỉ 1 file thư viện DLL bị phát hiện và nhiều nhận định sai ở chế độ Expert trong khi chế độ Simple không thể phát hiện được bất cứ gì)
Cách thức loại bỏ: không

10. GMER 1.0:

Lần cập nhật cuối cùng: tháng 12/2009
Hỗ trợ Windows 7: có
Phát hiện: có
Cách thức loại bỏ: có

Lưu ý rằng, trên Windows 7, khi chạy bất cứ chương trình antirootkit nào, bạn cần quyền Administrator (kích phải vào chương trình và chọn Run as administrator) vì chương trình cần cài đặt driver hỗ trợ trước khi hoạt động. Hoặc nếu bạn đã tắt bỏ tính năng User Account Control thì không cần thực hiện thao tác trên. Hơn nữa, tại thời điểm bài viết này hoàn thành, tác giả chỉ thí nghiệm với mẫu rootkit duy nhất, cho nên đây không phải là phương pháp toàn diện nhất đối với nhiều người. Đây chỉ là kinh nghiệm chia sẻ, và các bạn sẽ dễ dàng tìm thấy thứ mình cần trong trường hợp khẩn cấp.

T.Anh (theo Raymond)

Bài viết liên quan