Как обнаружить руткиты в Windows 10 (подробное руководство)

Код руткита в функции wow64transition ошибка стандартной нейтрализации

Как обнаружить руткиты в Windows 10 (подробное руководство)

Руткиты используются хакерами для сокрытия постоянных, казалось бы, не обнаруживаемых вредоносных программ в вашем устройстве, которые будут молча красть данные или ресурсы, иногда в течение нескольких лет. Они также могут быть использованы в кейлоггерном режиме, где ваши нажатия клавиш и сообщения отслеживаются, предоставляя зрителю информацию о конфиденциальности.

Этот конкретный метод взлома стал более актуальным до 2006 года, когда Microsoft Vista не требовала от производителей цифровой подписи всех драйверов компьютеров. Защита от исправлений ядра (KPP) заставила авторов вредоносных программ изменить свои методы атаки, и только недавно, начиная с 2018 года, Zacinlo рекламная мошенничество, руткиты снова попали в центр внимания.

Все руткиты, выпущенные до 2006 года, были специально созданы на основе операционной системы. Ситуация с Zacinlo, руткитом из семейства вредоносных программ Detrahere, дала нам что-то еще более опасное в виде руткита на основе прошивки. Несмотря на это, руткиты составляют лишь около одного процента от всего объема вредоносных программ, наблюдаемых ежегодно.

Тем не менее, из-за опасности, которую они могут представлять, было бы разумно понять, как работает обнаружение руткитов, которые, возможно, уже проникли в вашу систему.

Обнаружение руткитов в Windows 10 (в глубине)

Zacinlo фактически был в игре почти шесть лет, прежде чем был обнаружен на платформе Windows 10. Компонент rootkit был легко настраиваемым и защищал себя от процессов, которые он считал опасными для своей функциональности, и был способен перехватывать и расшифровывать соединения SSL.

Он будет шифровать и хранить все свои данные конфигурации в реестре Windows и, пока Windows завершает работу, перезаписывать себя из памяти на диск под другим именем и обновлять свой раздел реестра. Это помогло избежать обнаружения вашим стандартным антивирусом.

Это говорит о том, что стандартного антивирусного или вредоносного программного обеспечения недостаточно для обнаружения руткитов. Хотя существует несколько программ для защиты от вредоносных программ высшего уровня, которые предупредят вас о подозрении на руткит-атаку.

5 ключевых атрибутов хорошего антивирусного программного обеспечения

Большинство известных антивирусных программ сегодня будут выполнять все пять из этих известных методов обнаружения руткитов.

Выполнение сканирования руткитов

Выполнение сканирования руткитов – лучшая попытка обнаружения заражения руткитами. Чаще всего вашей операционной системе нельзя доверять, чтобы идентифицировать руткит самостоятельно, и это затрудняет определение его присутствия. Руткиты – главные шпионы, скрывающие свои следы практически на каждом шагу и способные оставаться скрытыми на виду.

Если вы подозреваете, что на вашем компьютере произошла атака вируса руткита, хорошей стратегией обнаружения будет отключение компьютера и выполнение сканирования из известной чистой системы. Безошибочный способ найти руткит на вашем компьютере – анализ дампа памяти. Руткит не может скрыть инструкции, которые он дает вашей системе, поскольку он выполняет их в памяти машины.

Использование WinDbg для анализа вредоносных программ

Microsoft Windows предоставляет собственный многофункциональный инструмент отладки, который можно использовать для сканирования отладки приложений, драйверов или самой операционной системы. Он будет отлаживать код режима ядра и пользовательского режима, помогать анализировать аварийные дампы и проверять регистры процессора.

Некоторые системы Windows будут поставляться с WinDbg уже в комплекте. Те, кто без, должны будут загрузить его из Microsoft Store. Предварительный просмотр WinDbg Это более современная версия WinDbg, предоставляющая более наглядные визуальные эффекты, более быстрые окна, полный сценарий и те же команды, расширения и рабочие процессы, что и в оригинале.

Как минимум, вы можете использовать WinDbg для анализа памяти или аварийного дампа, включая Blue Screen Of Death (BSOD). По результатам вы можете найти индикаторы атаки вредоносного ПО. Если вы чувствуете, что одной из ваших программ может препятствовать присутствие вредоносного ПО или она использует больше памяти, чем требуется, вы можете создать файл дампа и использовать WinDbg для его анализа.

Полный дамп памяти может занимать значительное дисковое пространство, поэтому может быть лучше вместо этого выполнить дамп режима ядра или небольшой дамп памяти. Дамп режима ядра будет содержать всю информацию об использовании памяти ядром во время сбоя. Небольшой дамп памяти будет содержать основную информацию по различным системам, таким как драйверы, ядро ​​и т. Д., Но по сравнению с ним крошечный.

Небольшие дампы памяти более полезны для анализа причин возникновения BSOD. Для обнаружения руткитов будет полезна полная версия или версия ядра.

Создание файла дампа в режиме ядра

Файл дампа в режиме ядра можно создать тремя способами:

Мы пойдем с выбором номер три.

Чтобы выполнить необходимый файл дампа, вам нужно всего лишь ввести следующую команду в командном окне WinDbg.

Замените FileName на соответствующее имя для файла дампа и «?» с ф. Убедитесь, что буква «f» в нижнем регистре, иначе вы создадите файл дампа другого типа.

Как только отладчик запустит свой курс (первое сканирование займет много времени), будет создан файл дампа, и вы сможете проанализировать свои выводы.

Понимание того, что вы ищете, например использование энергозависимой памяти (RAM) для определения наличия руткита, требует опыта и тестирования. Возможно, хотя и не рекомендуется для новичка, протестировать методы обнаружения вредоносных программ в реальной системе. Для этого снова потребуются знания и глубокие знания о работе WinDbg, чтобы случайно не внедрить живой вирус в вашу систему.

Есть более безопасные, более удобные для начинающих способы раскрыть нашего хорошо скрытого врага.

Дополнительные методы сканирования

Ручное обнаружение и поведенческий анализ также являются надежными методами обнаружения руткитов. Попытка обнаружить местоположение руткита может быть большой болью, поэтому вместо того, чтобы ориентироваться на сам руткит, вы можете вместо этого искать поведение, похожее на руткит.

Вы можете искать руткиты в загруженных пакетах программного обеспечения, используя расширенные или пользовательские параметры установки во время установки. Вам нужно найти какие-то незнакомые файлы, перечисленные в деталях. Эти файлы должны быть удалены, или вы можете сделать быстрый поиск в Интернете для любых ссылок на вредоносное программное обеспечение.

Брандмауэры и их отчеты о регистрации – невероятно эффективный способ обнаружить руткит. Программное обеспечение уведомит вас, если ваша сеть находится под пристальным вниманием, и должно поместить на карантин любые нераспознаваемые или подозрительные загрузки перед установкой.

Если вы подозреваете, что на вашем компьютере уже может быть руткит, вы можете погрузиться в отчеты о регистрации брандмауэра и посмотреть на необычное поведение.

Просмотр отчетов журнала брандмауэра

Вы захотите просмотреть свои текущие отчеты о регистрации брандмауэра, сделав приложение с открытым исходным кодом, такое как IP Traffic Spy, с возможностями фильтрации журнала брандмауэра, очень полезным инструментом. Отчеты покажут вам, что необходимо увидеть в случае атаки.

Если у вас большая сеть с автономным выходным брандмауэром с фильтрацией выходных данных, IP Traffic Spy не понадобится. Вместо этого вы должны видеть входящие и исходящие пакеты для всех устройств и рабочих станций в сети через журналы брандмауэра.

Независимо от того, где вы находитесь – в доме или в небольшом бизнесе, вы можете использовать модем, предоставленный вашим провайдером, или, если у вас есть, персональный брандмауэр или маршрутизатор для просмотра журналов брандмауэра. Вы сможете идентифицировать трафик для каждого устройства, подключенного к той же сети.

Также может быть полезно включить файлы журнала брандмауэра Windows. По умолчанию файл журнала отключен, то есть информация или данные не записываются.

Следите за чем-то необычным в файлах журналов. Даже малейшая системная ошибка может указывать на заражение руткитом. Нечто похожее на чрезмерное использование ЦП или пропускной способности, когда вы не запускаете ничего слишком требовательного или вообще, может быть главной подсказкой.

5 методов решения ошибок LUA в World of Warcraft

Многие игроки World of Warcraft жалуются на появление ошибок LUA при запуске игры. В сообщении таких ошибок обычно указывается, что некоторые из аддонов работают не совсем корректно. Ошибки не препятствуют игровому процессу, однако их постоянное появление в чат-боксе может изрядно раздражать. Windows 7, 8 и 10 — от этих ошибок страдают пользователи всех современных версий ОС Майкрософт.

Что такое LUA?

Прежде чем мы двинемся дальше, важно понять, что такое LUA и с чем его едят.

LUA — это скриптовый язык программирования, который привносит модулярность в самые разные приложения посредством эмбеддинга. LUA — излюбленный язык моддерского сообщества WoW, а все потому, что он относительно прост в освоении и с его помощью можно разрабатывать действительно впечатляющие модификации.

Ознакомившись с проблемой поближе, мы пришли к выводу, что LUA-ошибки в World of Warcraft могут возникать по следующему ряду причин:

Как исправить LUA-ошибку в World of Warcraft

Метод №1 Перезагрузка игрового интерфейса WoW

Если ошибка возникла в результате бага или ситуации, когда не все аддоны загрузились вместе с WoW, вы должны легко избавиться от нее, выполнив перезагрузку интерфейса посредством консольной команды. Впрочем, стоит сразу предупредить, что ошибка практически наверняка является симптомом какой-то иной проблемы, например, устаревшего аддона, который отказывается нормально работать с текущей сборкой WoW.

Итак, чтобы перезагрузить интерфейс WoW, вам нужно просто открыть игровой чат (чат-бокс) и выполнить в нем следующую команду:

/reload

Заметка: этот метод не работает на самых последних версиях WoW, однако он должен сработать на «ванильной» версии.

Метод №2 Полный сброс интерфейса WoW и удаление аддон-менеджера

Если элементарная перезагрузка интерфейса не устранила ошибку LUA, то мы рекомендуем заняться полным сбросом интерфейса WoW, чтобы избавиться от всего ненужного кода, который мог остаться в вашей игре от ранее удаленного аддона или аддон-менеджера.

Также очень важно избавиться от используемого вами в данный момент (!) аддон-менеджера и файлов аддонов, расположенных в трех основных папках WoW.

Проверьте, перестала ли появляться ошибка LUA или нет.

Метод №3 Сброс переменных кастомной консоли

Перезагрузка/сброс основного интерфейса не произвел желаемого эффекта? Тогда вы должны попробовать осуществить сброс всех переменных кастомной консоли WoW. Подобная процедура сработает только в том случае, если вы ранее устанавливали и играли с аддонами, которые имели параметры, потенциально входящие друг с другом в конфликт.

Вот как производиться сброс переменных консоли WoW:

Заметка: игнорируйте любые ошибки о правах после ввода этих команд — все нормально.

Метод №4 Удаление аддона Cartographer (или любого другого устаревшего аддона)

Оказывается, LUA-ошибки можно получить в том случае, если вы запускаете WoW с устаревшими аддонами, которые больше не могут работать с текущей версией игры. Вам необходимо избавиться от всех устаревших аддонов, после чего снова зайти в игру и проверить, была ли решена проблема. Сразу хочется отметить, что каждый аддон удаляется по разному, а поэтому мы не сможем помочь вам с процессом деинсталляции. Интересный факт: зачастую ошибки LUA возникают из-за аддона Cartographer.

Метод №5 Отключение сообщений ошибок LUA

Если у вас не получается избавиться от надоедливых LUA-ошибок (или вы не можете определить причину их появления), то мы рекомендуем не заморачиваться и попросту отключить сообщения о них. Делается это следующим образом:

После этого вы гарантировано перестанете видеть ошибки LUA. Выполните команду /console scriptErrors 1, чтобы снова активировать функцию отображения сообщений об ошибках.