Хакери користе рутките да би сакрили упорни, наизглед невидљиви малвер унутар вашег уређаја који ће тихо украсти податке или ресурсе, понекад током више година. Такође се могу користити на начин кеилоггер-а где се надгледају ваши притисак на тастере и комуникација пружајући посматрачу информације о приватности.  

Ова конкретна метода хаковања била је више релевантна пре 2006. године, пре него што је Мицрософт Виста^{(Microsoft Vista)} захтевала од добављача да дигитално потпишу све управљачке програме рачунара. Заштита кернел закрпа^{(Kernel Patch Protection)} ( КПП^(KPP) ) је изазвала писце злонамерног софтвера да промене своје методе напада и тек недавно, од 2018. године, са операцијом за превару реклама Зацинло^{(Zacinlo ad fraud operation)} , руткити су поново ушли у центар пажње.

Руткити пре 2006. су сви били базирани на оперативним системима. Ситуација Зацинло^(Zacinlo) , руткит из породице малвера Детрахере^{(Detrahere malware)} , дала нам је нешто још опасније у облику руткита заснованог на фирмверу. Без обзира^(Regardless) на то , рооткитови су само око један проценат укупног излаза злонамерног софтвера који се види годишње. 

Чак и тако, због опасности коју могу представљати, било би мудро разумети како функционише откривање руткита који су се можда већ инфилтрирали у ваш систем.

Откривање руткита у оперативном систему Виндовс 10^{(Windows 10)} ( у дубини^(In-Depth) )

Зацинло^(Zacinlo) је заправо био у игри скоро шест година пре него што је откривено да циља на Виндовс 10^{(Windows 10)} платформу. Руткит компонента је била веома конфигурабилна и штитила се од процеса које је сматрала опасним по њену функционалност и била је способна да пресретне и дешифрује ССЛ^(SSL) комуникације.

Шифровао би и чувао све своје конфигурационе податке у Виндовс регистру^{(Windows Registry)} и, док се Виндовс^(Windows) гасио, преписивао се са меморије на диск користећи друго име и ажурирао свој кључ регистратора. Ово му је помогло да избегне откривање вашег стандардног антивирусног софтвера.

Ово показује да стандардни антивирусни или антималвер софтвер није довољан за откривање руткита. Иако, постоји неколико врхунских антималвер програма који ће вас упозорити на сумњу у напад на рооткит. 

5 кључних атрибута доброг антивирусног софтвера^{(The 5 Key Attributes Of a Good Antivirus Software)}

Већина истакнутих антивирусних програма данас ће извести свих пет ових значајних метода за откривање руткита.

• Анализа заснована на потписима^{(Signature-based Analysis)} – Антивирусни софтвер ће упоредити евидентиране датотеке са познатим потписима руткита. Анализа ће такође тражити обрасце понашања који опонашају одређене оперативне активности познатих руткита, као што је агресивна употреба портова.
• Откривање пресретања^{(Interception Detection)} – Виндовс^(Windows) оперативни систем користи табеле показивача за покретање команди за које се зна да подстичу руткит да реагује. Пошто руткитови покушавају да замене или модификују било шта што се сматра претњом, ово ће обавестити ваш систем о њиховом присуству.
• Поређење података из више извора^{(Multi-Source Data Comparison)} – Руткитови^(Rootkits) , у покушају да остану скривени, могу изменити одређене податке представљене у стандардном прегледу. Враћени резултати системских позива високог и ниског нивоа могу да одају присуство руткита. Софтвер такође може да упореди процесну меморију учитану у РАМ^(RAM) са садржајем датотеке на чврстом диску.
• Провера интегритета^{(Integrity Check)} – Свака системска библиотека поседује дигитални потпис који је креиран у време када се систем сматрао „чистим“. Добар безбедносни софтвер може да провери библиотеке за било какву измену кода који се користи за креирање дигиталног потписа.
• Поређења регистра^{(Registry Comparisons)} – Већина антивирусних програма их има по унапред подешеном распореду. Чиста датотека ће бити упоређена са клијентском датотеком, у реалном времену, како би се утврдило да ли клијент има или садржи незатражену извршну датотеку (.еке).

Извођење скенирања руткита^{(Performing Rootkit Scans)}

Скенирање руткита је најбољи покушај за откривање инфекције руткит-а. Најчешће се не може веровати вашем оперативном систему да сам идентификује рооткит и представља изазов да се утврди његово присуство. Руткити су главни шпијуни, који прикривају своје трагове на скоро сваком кораку и способни су да остану скривени на видику.

Ако сумњате да се на вашој машини догодио руткит вирусни напад, добра стратегија за откривање би била да искључите рачунар и извршите скенирање са познатог чистог система. Сигуран начин да лоцирате рооткит у вашој машини је анализа меморије. Руткит не може сакрити упутства која даје вашем систему док их извршава у меморији машине.

Коришћење ВинДбг-а за анализу злонамерног софтвера^{(Using WinDbg For Malware Analysis)}

Мицрософт Виндовс^{(Microsoft Windows)} је обезбедио сопствени вишенаменски алат за отклањање грешака који се може користити за скенирање апликација, драјвера или самог оперативног система. Он ће отклонити грешке у коду у режиму језгра и коду корисничког режима, помоћи у анализи депонија пада и испитаће ЦПУ^(CPU) регистре.

Неки Виндовс^(Windows) системи ће доћи са ВинДбг^(WinDbg) већ у пакету. Они без њих ће морати да га преузму из Мицрософт продавнице^{(Microsoft Store)} . ВинДбг Превиев^{(WinDbg Preview)} је модернија верзија ВинДбг-а^(WinDbg) , која пружа лакши визуелни приказ, брже прозоре, комплетно писање скриптова и исте команде, проширења и токове рада као оригинал.

У најмању руку, можете да користите ВинДбг^(WinDbg) за анализу меморије или депоније, укључујући плави екран ^{(Blue Screen)}смрти^(Death) ( БСОД^(BSOD) ) . Из резултата можете потражити индикаторе напада злонамерног софтвера. Ако сматрате да један од ваших програма може бити ометен присуством малвера или да користи више меморије него што је потребно, можете да направите думп датотеку и користите ВинДбг^(WinDbg) да бисте је анализирали.

Комплетан думп меморије може заузети значајан простор на диску, тако да би можда било боље извести думп у режиму језгра^{(Kernel-Mode)} или думп мале меморије^(Memory) . Думп режима кернела ће садржати све информације о употреби меморије од стране кернела у тренутку пада. Думп мале меморије^(Memory) ће садржати основне информације о различитим системима као што су драјвери, језгро и још много тога, али је мален у поређењу.

Мале меморије^(Memory) су корисније у анализи зашто је дошло до БСОД- а. ^(BSOD)За откривање руткита, комплетна верзија или верзија кернела ће бити од помоћи.

Креирање Думп датотеке у режиму кернела^{(Creating A Kernel-Mode Dump File)}

Думп датотека у режиму језгра^{(Kernel-Mode)} може се креирати на три начина :

• Омогућите думп датотеку са контролне табле^{(Control Panel)} да бисте омогућили да се систем сам сруши
• Омогућите думп датотеку са контролне табле^{(Control Panel)} да бисте натерали систем да се сруши
• Користите алатку за отклањање грешака да бисте је направили за себе

Ићи ћемо са избором број три. 

Да бисте извршили неопходну думп датотеку, потребно је само да унесете следећу команду у командни^(Command) прозор ВинДбг^(WinDbg) .

Замените ФилеНаме^(FileName) одговарајућим именом за думп датотеку и „?" са ф^(f) . Уверите се да је „ф“ мала слова или ћете у супротном креирати другу врсту датотеке за испис.

Када програм за отклањање грешака заврши својим током (прво скенирање ће потрајати доста минута), биће креирана думп датотека и моћи ћете да анализирате своје налазе.

Разумевање онога што тражите, као што је употреба нестабилне меморије ( РАМ^(RAM) ), да бисте утврдили присуство руткита, захтева искуство и тестирање. Могуће је, иако се не препоручује почетницима, тестирати технике откривања малвера на живом систему. Да бисте то урадили, поново ће бити потребна стручност и дубинско знање о функционисању ВинДбг-^(WinDbg) а како не бисте случајно применили живи вирус у ваш систем.

Постоје сигурнији начини за откривање добро скривеног непријатеља који су погоднији за почетнике.

Додатне методе скенирања^{(Additional Scanning Methods)}

Ручно откривање и анализа понашања су такође поуздане методе за откривање руткита. Покушај да се открије локација руткита може представљати велики проблем, тако да уместо циљања на сам руткит можете тражити понашања налик на руткит.

Можете тражити роотките у преузетим пакетима софтвера коришћењем опција напредне^(Advanced) или прилагођене^(Custom) инсталације током инсталације. Оно што ћете морати да потражите су непознате датотеке наведене у детаљима. Ове датотеке треба одбацити или можете брзо претражити на мрежи за било какве референце на злонамерни софтвер.

Заштитни зидови и њихови извештаји о евидентирању су невероватно ефикасан начин да се открије рооткит. Софтвер ће вас обавестити ако је ваша мрежа под надзором и требало би да стави у карантин сва непрепознатљива или сумњива преузимања пре инсталације. 

Ако сумњате да је рооткит можда већ на вашој машини, можете заронити у извештаје о евидентирању заштитног зида и потражити било шта необично.

Прегледавање извештаја о евидентирању заштитног зида^{(Reviewing Firewall Logging Reports)}

Пожелећете да прегледате своје тренутне извештаје о евидентирању заштитног зида, чинећи апликацију отвореног кода као што је ИП Траффиц Спи^{(IP Traffic Spy)} са могућностима филтрирања евиденције заштитног зида, веома корисним алатом. Извештаји ће вам показати шта је потребно да видите у случају да дође до напада. 

Ако имате велику мрежу са самосталним заштитним зидом за филтрирање излаза, ИП Траффиц Спи^{(IP Traffic Spy)} неће бити потребан. Уместо тога, требало би да будете у могућности да видите долазне и одлазне пакете за све уређаје и радне станице на мрежи преко евиденције заштитног зида.

Без обзира да ли се налазите у кућном или малом пословном окружењу, можете користити модем који је обезбедио ваш ИСП^(ISP) или, ако га поседујете, лични заштитни зид или рутер да бисте извукли евиденцију заштитног зида. Моћи ћете да идентификујете саобраћај за сваки уређај повезан на исту мрежу. 

Такође може бити корисно да омогућите датотеке евиденције Виндовс заштитног зида^{(Windows Firewall Log)} . Подразумевано, датотека евиденције је онемогућена, што значи да се не уписују информације или подаци.

• Да бисте креирали датотеку евиденције, отворите функцију Покрени^(Run) притиском на Windows key + R Р.
• Укуцајте вф.мсц^(wf.msc) у поље и притисните Ентер^(Enter) .

• У прозору Виндовс заштитни зид^{(Windows Firewall)} и напредна безбедност^{(Advanced Security)} означите „Виндовс Дефендер заштитни зид са напредном безбедношћу^{(Advanced Security)} на локалном рачунару“ у менију са леве стране. На крајњем десном бочном менију под „Радње“ кликните на Својства^(Properties) .

• У новом прозору за дијалог, идите до картице „Приватни профил“ и изаберите Прилагоди^(Customize) , што се може наћи у одељку „Евиденција“.

• Нови прозор ће вам омогућити да изаберете величину датотеке евиденције коју желите да упишете, где желите да се датотека пошаље и да ли ћете евидентирати само испуштене пакете, успешну везу или обоје.

• Отпуштени^(Dropped) пакети су они које је Виндовс заштитни зид^{(Windows Firewall)} блокирао у ваше име.
• Подразумевано, уноси евиденције Виндовс заштитног зида^{(Windows Firewall)} ће чувати само последњих 4МБ података и могу се наћи у %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Имајте на уму да повећање ограничења величине за коришћење података за евиденције може утицати на перформансе вашег рачунара.
• Притисните ОК^(OK) када завршите.
• Затим поновите исте кораке кроз које сте управо прошли на картици „Приватни профил“, само овај пут на картици „Јавни профил“.
  • Евиденције ће се сада генерисати и за јавне и за приватне везе. Можете да видите датотеке у уређивачу текста као што је Нотепад^(Notepad) или да их увезете у табелу.
  • Сада можете да извозите датотеке евиденције у програм за анализу базе података као што је ИП Траффиц Спи^{(IP Traffic Spy)} да бисте филтрирали и сортирали саобраћај ради лакше идентификације.

Пазите на било шта необично у датотекама евиденције. Чак и најмања грешка у систему може указивати на инфекцију рооткита. Нешто у смислу прекомерне употребе ЦПУ-а^(CPU) или пропусног опсега када не користите ништа превише захтевно или уопште, може бити главни траг.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are used by hackers to hide persistent, sеemіngly undetectable malware within your deνice that will ѕilently stеal data or resources, sоmetіmes over the course of mυltiple years. They can also be used in keylogger fashion where уour keystrokes and communications are surveilled providing the onlooker with privacy information.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Преузмите Виндовс 10 водиче за почетнике од Мицрософта

• Како користити Виндовс 10 ПЦ - Основни водич и савети за почетнике

• Преузмите Водич за Виндовс Инк за Виндовс 10 од Мицрософта

• Преузмите Виндовс 10 водиче за почетнике од Мицрософта

• Референтни водич за подешавања групних смерница за Виндовс 10

• Како користити Монитор перформанси на Виндовс 10 (Детаљан ВОДИЧ)

• Онемогућите закључани екран у оперативном систему Виндовс 10 [ВОДИЧ]

• Пречице на тастатури за Виндовс 10: Ултимативни водич

• Асхампоо ВинОптимизер је бесплатни софтвер за оптимизацију оперативног система Виндовс 10

• Лако покрените датотеке помоћу миЛаунцхер-а за Виндовс 10 рачунаре

• Грешка ИД-а догађаја 158 – Додела идентичних ГУИД-ова диска у оперативном систему Виндовс 10

• ОТТ водич за прављење резервних копија, слике система и опоравак у оперативном систему Виндовс 10

• Додајте штампач у Виндовс 10 [ВОДИЧ]

• [Водич] Како да обезбедите Виндовс 10

• Водич за решавање проблема са плавим екраном смрти за Виндовс 10

• Како инсталирати НумПи користећи ПИП на Виндовс 10

• Како прилагодити Виндовс 10: Потпуни водич

• Како онемогућити аутоматско ажурирање драјвера у оперативном систему Виндовс 10

• Врхунски водич за решавање проблема за Виндовс 10 који не иде у стање спавања

• Како ући у БИОС на Виндовс 10 [ВОДИЧ]