我有 Windows 7,NTFS 硬盘。我检测到了 rootkit 文件,但无法通过 Windows 资源管理器删除它们,显然是因为它们不可见。是否有其他文件浏览器使用低级函数调用,低于 win api,以便我可以尝试在删除之前查看和研究这些文件。我知道确切的位置。我知道我可以加载一些 live CD 并删除它们,但我想知道第一个可能的解决方案。
答案1
Windows 会刻意阻止你直接访问硬件——这才是重点。;) 因此,如果 Windows 被 Rootkit(尤其是内核级的 Rootkit)攻陷,那么你基本上必须从另一个操作系统(Windows 或非 Windows,只是不是受感染的操作系统)访问文件系统,对受感染的文件执行任何操作。
从维基百科:
“rootkit 检测的根本问题是,如果操作系统已被破坏,特别是被内核级 rootkit 破坏,则无法信任它找到对自身或其组件的未经授权的修改。诸如请求正在运行的进程列表或目录中的文件列表之类的操作无法信任其按预期运行。换句话说,在受感染系统上运行时工作的 rootkit 检测器仅对伪装有缺陷的 rootkit 或以比内核中的检测软件更低的用户模式权限运行的 rootkit 有效”
“有没有万无一失的办法可以知道 rootkit 的存在?
一般来说,不是在正在运行的系统内。内核模式 rootkit 可以控制系统行为的任何方面,因此任何 API 返回的信息(包括 RootkitRevealer 执行的注册表配置单元和文件系统数据的原始读取)都可能受到损害。虽然比较系统的在线扫描和从安全环境(例如启动到基于 CD 的操作系统安装)进行的离线扫描更可靠,但 rootkit 可以针对此类工具来逃避检测。
希望有帮助...
答案2
格林梅尔是一个很好的开始,找出那里有什么,然后你可以启动一个 Live CD 并将你想要的文件复制到不同的地方/分区或 USB 记忆棒 - 上面的工具Parted Magic可以帮你做到这一点。
GMER 是一款检测并删除 rootkit 的应用程序。它会扫描:
- 隐藏进程
- 隐藏主题
- 隐藏模块
- 隐藏服务
- 隐藏文件
- 隐藏的备用数据流
- 隐藏的注册表项
- 驱动程序挂钩 SSDT
- 驱动程序挂钩 IDT
- 驱动程序挂钩 IRP 调用
- 内联钩子
答案3
从 Ubuntu CD 启动以浏览驱动器
相关文章在这里
。
你最好使用下面的方法来消毒你的电脑
。
1.) 在未受感染的 PC 上,制作启动 AV 光盘,然后从受感染 PC 上的光盘启动并扫描硬盘,删除它发现的任何感染,我自己更喜欢卡巴斯基光盘。如果您在扫描时连接到互联网,新 2010 卡巴斯基光盘可以更新 AV dat 文件,建议在扫描前进行更新。
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
2.)然后:安装免费的 MBAM,运行该程序并转到“更新”选项卡并进行更新,然后转到“扫描仪”选项卡并进行快速扫描,选择并删除它找到的任何内容。
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3.) 当 MBAM 完成安装 SAS 免费版本后,运行快速扫描,删除其自动选择的内容。 http://www.superantispyware.com/download.html
最后这两个不是像 Norton 这样的 AV 软件,它们是按需扫描程序,仅在您运行程序时扫描恶意软件,不会干扰您安装的 AV,它们可以每天或每周运行一次,以确保您没有受到感染。请确保在每次每日或每周扫描之前更新它们。
。