有没有办法在 64 位 Windows 7 上找到 rootkit

有没有办法在 64 位 Windows 7 上找到 rootkit

当时我正在上班,接到一个服务台电话,说有一个相当严重的恶意软件感染,这让我开始担心我自己的电脑。

我每天使用的笔记本电脑都运行 Windows 7 64 位 RC1。我运行 ESET NOD32 防病毒软件,它可以很好地保持自身更新。我从未关闭过 UAC。

我也是一名计算机专业人士,因此我很清楚什么时候不要在看起来很不正常的 Windows 对话框中单击“确定”。

所有这些都表明我认为我已经清理干净了,但我想确定一下,所以我启动了安全模式,下载了备受推荐的反恶意软件工具 MalwareBytes,并进行了快速扫描。它只发现了一个奇怪的注册表项,我将其删除了。没有检测到文件或文件夹问题。我重新启动以按照它的要求完成清理。我对此感到惊讶,因为它所做的只是清理了一个注册表项。

哦是的...另一件事是运行 WinPatrol 的 BillP Studio 专业版。

正常重启后,WinPatrol 警告我出现了新程序 MalwareBytes,这是我预料到的,并允许了。但令我惊讶的是,它还让我确认 userinit 的安装/设置(我不记得它是 dll 还是 exe),但程序信息显示这是向 Windows 显示启动屏幕的文件。我允许了它,但它让我措手不及。

最后一件事。我还尝试运行 root-kit revealer 和 IceSword,以便在我的计算机上进行 rootkit 扫描,但它们都无法运行,我很确定这是因为我运行的是 64 位操作系统。

我的问题是:

  1. 使用 MalwareBytes 进行扫描后,userinit 被“重新安装”或“重新初始化”是否正常?如果不是,为什么会提示允许该文件的权限?

  2. 有没有已知/推荐的方法来对 64 位 Windows 系统进行 rootkit 扫描?

  3. 是不是因为我运行的是 64 位操作系统,所以我的机器不太可能出现 rootkit 问题。rootkit 是否必须以 64 位进程运行?由于 64 位的目标受众较小,现在 rootkit 不太可能被写入目标 64 位?我的风险面实际上更小吗?

提前致谢。

塞斯

答案1

我经常在 64 位 Vista 上成功使用 combofix。根据我的经验,无论应用程序是否利用系统操作,64 位都会利用系统操作。虽然我不同意 Vista 64 完全没有 rootkit,但在 64 位操作系统上获取 rootkit 要困难得多。硬件制造商仍然很难为 64 位制作驱动程序,我认为我们在一段时间内不会看到太多 64 位 root kit。如果你讨厌 64 位,那就习惯它吧,不管你喜欢与否,4GB 内存都会过时。到那时,就需要 64 位了。

答案2

Sophos 反Rootkit声称能够扫描并删除 64 位 Windows 7 上的 rootkit。

答案3

有没有已知/推荐的方法来对 64 位 Windows 系统进行 rootkit 扫描?

对于这一点,我只信任两个程序: 组合修复其次是删除空值

不过我不确定 ComboFix 是否支持 64 位。但如果您在使用前创建还原点,那么在出现问题时您应该能够使用恢复控制台进行还原。

但我觉得有必要在这里说明两点:

1. 64位热潮
我还不明白为什么坚持使用 64 位版本的操作系统。出于所有实际原因,这样做几乎没有任何好处。只有当利用新处理器功能和地址空间的 64 位应用程序成为主流时,64 位操作系统才有用。事实并非如此。很少有应用程序是真正的 64 位,而那些应用程序只是为了兼容性原因。大多数情况下,这些应用程序不使用任何这些功能,也不需要任何这些功能。然后,正如您现在所看到的,当您尝试获取可能无法在 64 位下运行良好的专用软件时,您就会遇到麻烦。

2.方法
没有明确的方法来检查 rootkit。即使 combofix 也采用了自己的方法,可以让其他或较新的 rootkit 安然无恙。也就是说,您选择的工具始终是恢复控制台或启动到安全模式,其中许多 rootkit 不会运行。

因此,一些防火墙产品提供了系统级保护(我认为科摩多,例如),它将允许您查看系统级提示,告知您计算机中正在发生的许多变化。

此外,您应该将 UAC 启用到最高级别,并从非管理员帐户运行。这就是 UAC 的用途,现在没有理由不以非特权帐户运行我们的 Windows 计算机。没有 rootkit 可以绕过这一点,这实际上意味着您无需担心搜索它们。

是不是因为我运行的是 64 位操作系统,所以我的机器不太可能出现 rootkit 问题。rootkit 是否必须以 64 位进程运行?由于 64 位的目标受众较小,现在 rootkit 不太可能被写入目标 64 位?我的风险面实际上更小吗?

不幸的是,不行。如上所述,64 位系统允许 32 位应用程序以任何级别。但请注意!您确实添加了一定级别的保护,因为可能存在一些 rootkit,它们可能会因多种原因在 64 位操作系统下失败;与许多其他 32 位应用程序一样,它们也往往会在 64 位操作系统下莫名其妙地失败。Rootkit 并不能免受错误的影响。但仅此而已。

尽管如此,某些 rootkit 也有可能开始专门针对 64 位系统。所以你真的没有任何地方更安全。

相关内容