Rootkitウイルスの解決方法
多くのウイルスタイプの中で最も腹立たしいのは、Rootkit(カーネル型)ワームウイルスで、ウイルス対策ソフトが検出されても効果的にクリアできない場合が多いです。このようなウィルスの特徴は、ウイルスファイルが二つ以上あり、一つはEXEという拡張子の実行可能なタイプのファイルで、一つはSYSという拡張子の駆動タイプのファイルです。EXEで実行できるファイルは伝統的なワームウイルスモジュールで、ウイルスの生成、感染、伝播、破壊などの任務を担当します。SYSファイルはRootkitモジュールです。
Rootkitもトロイの木馬ですが、私たちがよく見る「氷河」や「灰ハト」などの木馬よりも隠れています。それはプログラムを駆動する方式でシステムのカーネルに入れて、秘密の裏口を作って、システムの正常なファイルを交替します。現在発見されているこのようなモジュールは、ウイルスに対して隠されたメカニズムを提供することが多いので、これらの2つのファイルは相互に依存していることが分かります。ウイルスはすでに隠されていますが、どこからウイルスを発見しますか?ここでは、orans.sysワームウイルスに感染したコンピュータを例にとって、ウイルスの検出と検出を検討しています。
ウイルスを検出するファイル
Nortonアンチウイルスソフトウェア報告c:windowssystem 32 orans.sysファイルはRootkit型ウイルスです。ここでRootkitコードを使ったSYSファイルを見ることができますが、ウイルス対策ソフトの検出は逃れられません。このファイルを削除するとウイルスが除去されますか?答えはだめです。
まずウイルスに感染したシステムの下でこのファイルは保護されていますので、削除できません。ユーザがセキュリティモードでファイルを削除し、再起動しても、他の削除されていないウイルスファイルがシステムとともに起動し、システムを監視します。システムのレジストリが修正されたり、ウイルスのSYSファイルが削除されたりすると、ウイルスはファイルを再生成してレジストリに戻してくれます。この二つの書類を同時に見つけて一緒に処理する必要があります。しかし、感染したシステムでは、本格的なウイルス体はすでにRootkitモジュールに隠されており、ウイルス対策ソフトに検出されない。この時点では、システムのプロセスからウイルスの手がかりを見つける必要があります。システムが持っているタスクマネージャは、このタスクを完了するための高級機能が不足しています。ここでは、IceSwordまたはProcess Explorerソフトウェアを紹介します。この2つのソフトウェアは、システムの様々なプロセスとプロセスの相互関係を観察できます。また、プロセスイメージファイルの経路、コマンドライン、システムサービス名などの関連情報が表示されます。分析の過程では、よく知らないプロセスだけでなく、いくつかの正常なシステムプロセスも慎重にチェックします。IceSwordソフトウェアでは赤色で表示されるプロセスを隠しプロセスとして、しばしばカーネル型の木馬のプロセスです。
ポート分析もよく使われる方法です。ウイルスは特殊なポートを開いてリモートコマンドを実行するのを待っています。一部のウイルスはまた特定のサーバーやウェブサイトに接続しようとしています。プロセスとポートの関連を通じてウイルスプロセスを検出します。
上記の例では、正常に動作するシステムとデトックスシステムに対して比較してすぐにシステムの中のレスタープロセスが異常プロセスであると判断しました。このプロセスの映像ファイルはc:windows rester.exeで、ウイルスファイルを見つけました。このファイルを見つけた時、Nortonは警告していないことが分かりました。ウイルスファイルはウイルス対策ソフトを避けました。さらに分析すると、ウイルスはシステムにサービスを追加しており、サービス名は「rester」であり、ファイルの経路がウイルスファイルに向けられていることもわかった。
手動でウイルスを除去する
1.システムの復元機能をオフにし、「マイコンピュータ」を右クリックし、「プロパティ」を選択し、「システムのプロパティ」の中で「システムの復元」面を選択し、「すべてのドライバでシステムの復元をオフにする」にチェックを付けて、システムの復元機能をオフにします。
2.コンピュータを再起動してセキュリティモードに入り、「コントロールパネル」→「管理ツール」から「サービス」をクリックし、ウイルスはここで「rester」サービスを追加して、このサービスを無効にします。
3.手動でc:windows restore.exeとc:windows system 32 orans.sysの2つのウィルスファイルを削除します。
4.レジストリマネージャregedt 32.exeを実行し、レジストリウイルスが追加したテーブル項目を検索します。はい、 HKEY_LOCAL_MACHINESYSTEMCurrent Control Services HKEY_LOCAL_MACHINESYSTEMCOrolSet 001 Services HKEY_LOCAL_MACHINESYSTEMCOrol Services 三つの分岐の下でウイルスが追加された「orans.sys」と「restore」のレジストリ項目を発見し、この表の項目を削除します。
5.システムを正常モードに再起動し、システムの復元機能を開き、システムのためにパッチプログラムをインストールする。
このようなウイルスのバリエーションが多く、ウイルスから生成された実行可能ファイルから登録されたシステムサービス、伝播及び危害方式までが異なります。ここでは主に一つの考えを提供します。皆さんが出会った時、根源を探して問題を解決します。また、これらのウイルスの多くは、オペレーティングシステムの脆弱性や管理者のパスワードを推測して侵入するもので、複数の脆弱性を同時に利用して、試してみることもできます。ですから、パッチの重要性を十分に認識しながら、空いているか弱い管理者のパスワードを避けて、ウイルスの侵入の機会を減らすべきです。
締め括りをつける
以上はこの文章の全部の内容です。本文の内容は皆さんの学習や仕事に対して一定の参考学習価値を持ってほしいです。ありがとうございます。もっと知りたいなら、下のリンクを見てください。
Rootkitもトロイの木馬ですが、私たちがよく見る「氷河」や「灰ハト」などの木馬よりも隠れています。それはプログラムを駆動する方式でシステムのカーネルに入れて、秘密の裏口を作って、システムの正常なファイルを交替します。現在発見されているこのようなモジュールは、ウイルスに対して隠されたメカニズムを提供することが多いので、これらの2つのファイルは相互に依存していることが分かります。ウイルスはすでに隠されていますが、どこからウイルスを発見しますか?ここでは、orans.sysワームウイルスに感染したコンピュータを例にとって、ウイルスの検出と検出を検討しています。
ウイルスを検出するファイル
Nortonアンチウイルスソフトウェア報告c:windowssystem 32 orans.sysファイルはRootkit型ウイルスです。ここでRootkitコードを使ったSYSファイルを見ることができますが、ウイルス対策ソフトの検出は逃れられません。このファイルを削除するとウイルスが除去されますか?答えはだめです。
まずウイルスに感染したシステムの下でこのファイルは保護されていますので、削除できません。ユーザがセキュリティモードでファイルを削除し、再起動しても、他の削除されていないウイルスファイルがシステムとともに起動し、システムを監視します。システムのレジストリが修正されたり、ウイルスのSYSファイルが削除されたりすると、ウイルスはファイルを再生成してレジストリに戻してくれます。この二つの書類を同時に見つけて一緒に処理する必要があります。しかし、感染したシステムでは、本格的なウイルス体はすでにRootkitモジュールに隠されており、ウイルス対策ソフトに検出されない。この時点では、システムのプロセスからウイルスの手がかりを見つける必要があります。システムが持っているタスクマネージャは、このタスクを完了するための高級機能が不足しています。ここでは、IceSwordまたはProcess Explorerソフトウェアを紹介します。この2つのソフトウェアは、システムの様々なプロセスとプロセスの相互関係を観察できます。また、プロセスイメージファイルの経路、コマンドライン、システムサービス名などの関連情報が表示されます。分析の過程では、よく知らないプロセスだけでなく、いくつかの正常なシステムプロセスも慎重にチェックします。IceSwordソフトウェアでは赤色で表示されるプロセスを隠しプロセスとして、しばしばカーネル型の木馬のプロセスです。
ポート分析もよく使われる方法です。ウイルスは特殊なポートを開いてリモートコマンドを実行するのを待っています。一部のウイルスはまた特定のサーバーやウェブサイトに接続しようとしています。プロセスとポートの関連を通じてウイルスプロセスを検出します。
上記の例では、正常に動作するシステムとデトックスシステムに対して比較してすぐにシステムの中のレスタープロセスが異常プロセスであると判断しました。このプロセスの映像ファイルはc:windows rester.exeで、ウイルスファイルを見つけました。このファイルを見つけた時、Nortonは警告していないことが分かりました。ウイルスファイルはウイルス対策ソフトを避けました。さらに分析すると、ウイルスはシステムにサービスを追加しており、サービス名は「rester」であり、ファイルの経路がウイルスファイルに向けられていることもわかった。
手動でウイルスを除去する
1.システムの復元機能をオフにし、「マイコンピュータ」を右クリックし、「プロパティ」を選択し、「システムのプロパティ」の中で「システムの復元」面を選択し、「すべてのドライバでシステムの復元をオフにする」にチェックを付けて、システムの復元機能をオフにします。
2.コンピュータを再起動してセキュリティモードに入り、「コントロールパネル」→「管理ツール」から「サービス」をクリックし、ウイルスはここで「rester」サービスを追加して、このサービスを無効にします。
3.手動でc:windows restore.exeとc:windows system 32 orans.sysの2つのウィルスファイルを削除します。
4.レジストリマネージャregedt 32.exeを実行し、レジストリウイルスが追加したテーブル項目を検索します。はい、
5.システムを正常モードに再起動し、システムの復元機能を開き、システムのためにパッチプログラムをインストールする。
このようなウイルスのバリエーションが多く、ウイルスから生成された実行可能ファイルから登録されたシステムサービス、伝播及び危害方式までが異なります。ここでは主に一つの考えを提供します。皆さんが出会った時、根源を探して問題を解決します。また、これらのウイルスの多くは、オペレーティングシステムの脆弱性や管理者のパスワードを推測して侵入するもので、複数の脆弱性を同時に利用して、試してみることもできます。ですから、パッチの重要性を十分に認識しながら、空いているか弱い管理者のパスワードを避けて、ウイルスの侵入の機会を減らすべきです。
締め括りをつける
以上はこの文章の全部の内容です。本文の内容は皆さんの学習や仕事に対して一定の参考学習価値を持ってほしいです。ありがとうございます。もっと知りたいなら、下のリンクを見てください。