安全技巧:Rootkit能被彻底删除吗

在之前有关rootkit和僵尸网络的系列文章中,我看到了很多读者的反馈,尤其是有关如何移除rootkit的讨论更是热烈。因此在本文中,我将结合实际情况以及安全专家们的建议,讨论如何移除rootkit。

为何rootkit难以被删除

老实说,我的调查显示成功删除rootkit是一件很偶然的事情,并不是在任何情况下都能采用相同的方法来删除rootkit。其中一个重要原因是rootkit的复杂性日益增加。比如以下一些复杂性:

· 利用操作系统的特权等级安装的rootkit可以让它们对恶意软件扫描程序免疫。

· 通过高级的QoS 参数缩短了从概念验证型rootkit向in the wild 型rootkit过渡的时间。使得恶意软件扫描程序很难获得有效的标记。

· 内置的演变功能可以让rootkit随意改变自身特征,使得采用模式识别的扫描程序无用武之地。

这只是少数几个原因,但是已经足够了。不过我们仍然有希望,我肯定的说,只要我们能确定系统中被植入了rootkit,就有办法将其删除。关键问题在于怎么将其删除。

常犯的错误

下面三点是我经常犯的错误,我相信犯错的肯定不止我一个人。因此在进行任何杀毒工作前,先做以下三个步骤:

· 根据我的经验,杀毒过程的耗时和难度要比我们想象的更长更难。在执行杀毒工作的过程中,一定要时刻牢记这一点。这样不论工作比想象的简单还是更复杂,你都可以做好充足的准备。

· 确保电脑的操作系统,驱动以及应用程序都打上了最新的补丁以及采用了最新的版本。这可以有效的防止rootkit的再次入侵。有关这方面的经验和方法,可以参考我之前的文章 “Botnets: Keep Computers Up to Date or Else.”

· 如果可能,将被感染的电脑单独隔离在一个子网内,并接入互联网。有很多建议都要求电脑断开网络,但是实际上大部分杀毒软件或者扫描程序都需要接入网络以获取最新的病毒特征文件。另外我们也许还会用到在线扫描工具。

开始吧

每个人都有自己偏爱的扫描软件,这也许是因为他之前一直在使用这款扫描软件。和大家一样,我也有自己偏爱的软件。问题是rootkit并不是通用的,因此某个扫描软件可能只能扫描出某些rootkit,却漏掉了另一些。

我曾经使用过很多扫描软件,让我对它们进行评价和推荐是毫无问题的。当然,还有一些扫描软件我没有使用过,因此我在此对它们也不予评论。另外,好像有不少rootkit的开发者也偏爱某些扫描器,针对它们设计了反扫描机制。因此接下来,我将要介绍几种常见的并且能够有效删除用户模式和内核模式rootkit的扫描软件。

趋势科技的RUBotted

RUBotted 是一款后台工作的扫描软件。对于那些不想对扫描器进行过多配置或者不想对删除rootkit动作进行选择的用户来说,这款软件最为合适。它也是我在处理此类问题时的首选工具。我曾经使用RUBotted 成功的删除了Windows XP 系统中的用户模式的rootkit。

  深度剖析:Rootkit能被彻底删除吗

F-Secure公司的BlackLight

F-Secure的 Security Center 网站上有大量实用信息,包括在线扫描器,以及我们将要介绍的BlackLight扫描器。BlackLight是一款类似RUBotted的独立的扫描软件,基本不需要用户进行交互操作。这两款扫描器的最大不同在于,BlackLight 是根据用户需要进行扫描的,它不会驻留在后台。另外网站上的removal tools 页面还提供了大量恶意软件专杀工具。

  深度剖析:Rootkit能被彻底删除吗