للكشف وإزالة البرامج الضارة
هناك العديد من الأنواع المختلفة من برامج الكمبيوتر الخبيثة ، وتلك التي تستخدم تقنيات الجذور الخفية هي الأسوأ لأنه من الصعب اكتشافها وإزالتها.تقنية Rootkit قادرة على إخفاء تواجدها من أكثر الأدوات الأساسية المضمنة في Windows مثل Task Manager ، إلى أكثر برامج جدار الحماية أو برامج مكافحة الفيروسات الموثوقة ، ولن تعرف حتى أنها موجودة. ويتحقق ذلك من خلال تثبيت برامج تشغيل وضع kernel وتحميلها ، مما يسمح بتشغيل البرامج الضارة بامتيازات أعلى.
على الرغم من أن أنظمة تشغيل Windows 64 بت آمنة بشكل عام من الإصابة بفيروس rootkit لأن نظام التشغيل لا يقبل سوى ملفات برنامج التشغيل التي تم توقيعها ، إلا أن هناك حالات سابقة تم فيها سرقة الشهادات الرقمية المشروعة من قبل المتسللين واستخدامها لتوقيع برامج تشغيل rootkit لتجاوز برامج الأمان ودفاعات Windows. . لم تكن برامج مكافحة الفيروسات مساعدة كبيرة ، إما لأن الفيروس الوبائي Stuxnet نجح في إصابة أجهزة الكمبيوتر على مدار سنوات قبل أن يتم اكتشافه من قبل VirusBlokAda ، المطور لبرنامج VBA32 لمكافحة الفيروسات.
بما أن برامج مكافحة الفيروسات بعيدة عن الكمال في اصطياد الجذور الخفية ، فقد قمنا بوضع 15 أداة مخصصة لمكافحة الجذور الخفية لاختبارها ومعرفة ما إذا كانت قادرة على اكتشاف 3 عناصر مختلفة من keylogger (الكل في واحد Keylogger ، Invisible KeyLogger Stealth ، Elite Keylogger) يستخدم تقنية rootkit التي قمنا بتثبيتها على نظام الاختبار الخاص بنا.
هذه الأداة المضادة للجراثيم المجانية والمحمولة من أفاست! قديمًا ولم يعد يتم الاحتفاظ به منذ عام 2008 لأنه تم دمجه في برنامج مكافحة الفيروسات الخاص به ولكن لا يزال من الممكن تنزيله مباشرة من الخادم الخاص به. باستخدام تقنية اكتشاف rootkit المعتمدة على GMER ، فإن أفاست! تمكن ANTIROOTKIT فقط للكشف عن كل واحد في Keylogger في حين يغيب عن اثنين آخرين keyloggers الجذور الخفية المستندة إلى برنامج التشغيل. النقر فوق الزر "إصلاح الآن!" بنجاح حذف الملفات بعد إعادة التشغيل.
2. AVG مكافحة Rootkit
هذه الأداة المجانية المضادة للجذور الخفية من AVG تعاني من نفس مصير أفاست! لأنه تم التخلي عنها منذ عام 2006 بسبب دمج هذه الجذور الخفية في برامج مكافحة الفيروسات الخاصة بهم. يتطلب البرنامج التثبيت وإعادة التشغيل وإما تشغيلها يدويًا أو تعطيل UAC للتشغيل. نتيجة AVG Anti-Rootkit هي نفسها كما في أفاست! حيث تم اكتشاف All In One Keylogger فقط أثناء غياب Elite Keylogger و Invisible KeyLogger Stealth. لا يؤدي الزر "إزالة العناصر المحددة" إلى حذف الملفات المصابة ولكنه يحل محل آخر حرف لامتداد الملف مع تسطير أسفل السطر ، على سبيل المثال من .exe إلى .ex_
3. أداة إزالة Bitdefender / مزيل رووتكيت
لم نتمكن من تحديد ما إذا كانت الأداة المضادة للبترويد لـ Bitdefender تسمى "أداة إزالة" أو "Rootkit Remover" لأن اسم البرنامج وموقعه على الويب يختلفان بشكل مختلف عندما يكونان نفس التطبيق بالضبط. أداة إزالة Bitdefender مجانية ومحمولة ومحدثة (آخر تحديث في فبراير 2013) ولكن يمكنها فقط اكتشاف الجذور الخفية المعروفة من خلال التوقيعات وليس تلك التي لم يتم كشفها. تستغرق عملية الفحص وقتًا واحدًا فقط لتخبرك ما إذا كانت هناك أي تهديدات لبرامج rootkit تم اكتشافها. كل من الإصدارات 32 بت و 64 بت المتاحة. فشل Bitdefender Rootkit المزيل للكشف عن كل keyloggers 3 rootkit.
4. HitmanPro
HitmanPro هو ماسح ضوئي شهير للبرامج الخبيثة التي تستخدم التحليل السلوكي لأول مرة لتحديد ما إذا كان الملف يمثل تهديدًا محتملاً ثم يقوم تلقائيًا بتحميل الملف ليتم مسحه في السحاب باستخدام 5 أنواع مختلفة من الفيروسات للتأكيد. على الرغم من أن HitmanPro هو برنامج تجريبي ، يمكنك استخدامه لفحص جهاز الكمبيوتر الخاص بك مجانًا في حين أن الإزالة متوفرة فقط خلال فترة تجريبية لمدة 30 يومًا. تم اكتشاف All In One Keylogger لأن Ikarus و G Data أشاروا إلى أن الملف ضار. وجدت HitmanPro ملفات Elite Keylogger مشبوهة ولكن لم يتم الإبلاغ عنها كتهديد لأن أيا من الفيروسات لم يكتشفها كخبيثة بعد مسح السحابة. لم يتم اكتشاف KeyLogger Stealth غير المرئي على الإطلاق.
5. كاسبيرسكي TDSSKiller
بدأ Kaspersky TDSSKiller كأداة إزالة لاكتشاف وتنظيف جذر الوراثة Alureon / TDSS / TDL ونما ليتعرف على عدد قليل من الجذور الخفية الأخرى بما في ذلك bootkits. عند الاختبار ، أخطأ Kaspersky TDSSKiller بكافة 3 keyloggers rootkit وحتى تم الكشف عن 3 ملفات النظام الشرعي (.SYS) التي تنتمي إلى آلة التوقيت COMODO كأشياء مشبوهة ذات مخاطر متوسطة.
6. Malwarebytes مكافحة Rootkit
برنامج Malwarebytes Anti-Rootkit هو الطفل الجديد على الكتلة لاكتشاف وإزالة الجذور الخفية التي لا تزال في حالة BETA. وقد تلقى الكثير من المراجعات والدعاية عندما تم إصداره للجمهور لأن كل شخص لديه آمال كبيرة جدًا على المنتجات من قِبل Malwarebytes.
من غير الواضح ما هي أنواع الجذور الخفية التي يمكن كشفها بواسطة Malwarebytes Anti-Rootkit لأنه غير مذكور في موقعها الرسمي على الإنترنت ، لكنها فشلت في الكشف عن أي من 3 keyloggers rootkit أثناء الاختبار. يمكن استخدام أداة مفيدة جدًا تسمى "FixDamage" التي تأتي معًا في ملف أرشيف ZIP لإصلاح الأضرار التي أحدثتها rootkit من خلال استعادة خدمات Windows المهمة.
7. McAfee Rootkit Remover
McAfee Rootkit Remover أداة بسيطة جدًا وصغيرة (532 كيلوبايت) لاكتشاف وإزالة عائلة ZeroAccess و TDSS من الجذور الخفية. يعمل البرنامج على نافذة سطر الأوامر ، ويقوم بالتحقق تلقائيًا من التحديثات ويستغرق بضع ثوانٍ فقط للبحث عن إصابات الجذور الخفية. كما هو متوقع ، لم يكشف McAfee Rootkit Remover عن كل 3 keyloggers rootkit على أنها تهديد لأنه يمكن فقط التعرف على نوعين من الجذور الخفية التي تم ذكرها سابقًا.
8. نورتون باور ممحاة
لا نرى عادة أن Symantec تقدم أيًا من أدواتها مجانًا. حتى قرص الإنقاذ الخاص بهم والمعروف باسم Norton Bootable Recovery Tool يتطلب مفتاح منتج صالح للتشغيل. لحسن الحظ ، هناك أداة واحدة تسمى Norton Power Eraser وهي مجانية لاستخدامها في اكتشاف وإزالة البرامج الضارة المخفية داخل النظام.
وهو ملف تنفيذي محمول واحد بحجم 3 ميغابايت فقط. يتم تمكين خيار مسح Rootkit افتراضيًا في الإعدادات وسيتطلب أولاً إعادة التشغيل قبل إجراء فحص rootkit. نورتون باور ممحاة كشف الكل في واحد كيلوغغر و Invisible KeyLogger الشبح. أما بالنسبة لـ Keylogger Elite ، فإن أحد ملفات DLL يتم تمييزه على أنه غير معروف. بخلاف ذلك ، كان لديها 3 إيجابيات كاذبة عن طريق الكشف عن ملفات برنامج تشغيل آلة التوقيت COMODO باعتبارها غير آمنة.
9. تريند مايكرو RootkitBuster
RootkitBuster هي أداة مجانية من Trend Micro قادرة على التحقق من مواقع متعددة في Windows مثل سجل التمهيد الرئيسي (MBR) والملفات وإدخالات التسجيل وتصحيحات رمز kernel وخطافات خدمة نظام التشغيل وتدفق الملفات وبرامج التشغيل والمنافذ والعمليات و خدمات لتحديد وجود الجذور الخفية. تم تحديثه آخر مرة قبل شهر واحد وقد خصص للبنى 32 بت و 64 بت.
تمكن RootkitBuster فقط من اكتشاف All In One Keylogger أثناء فقده الآخر 2. كما أن لديه نفس الاكتشاف الخاطئ مثل Kaspersky TDSSKiller و Norton Power Eraser من خلال تحديد 3 ملفات برنامج النظام بشكل خاطئ على أنها تهديدات.
10. UnHackMe
UnHackMe هو القاتل الجذور الخفية كومبيوتري الوحيد مع قدرات المراقبة لفحص جهاز الكمبيوتر الخاص بك تلقائيا عن أي عدوى الجذور الخفية المحتملة. تسمح لك النسخة التجريبية من UnHackMe باستخدامها لمدة 30 يومًا دون حصر. واجهة المستخدم الخاصة بالبرنامج تبدو بسيطة بما يكفي لاستخدام المبتدئين ويمكنك حتى إرسال ملف تقرير regrunlog.txt الذي تم إنشاؤه إلى مركز الدعم الخاص بهم للحصول على النصيحة إذا لم تكن متأكدًا تمامًا أن الملف المجهول / المريب الذي تم اكتشافه خبيث بالفعل.
هناك بعض الأزرار مثل إيقاف الخدمة وحذف مفتاح التسجيل وتعطيل التشغيل التلقائي للمساعدة في تعطيل الملف المشبوه ولكننا وجدنا أن الأكثر فعالية هو "Delete File at Next Reboot" إذا كانت البرامج الضارة مستمرة للغاية. وجدت UnHackMe الكل في واحد Keylogger وغير مرئية KeyLogger الخلسة ولكن غاب النخبة Keylogger.
كما ترى من النتائج أعلاه ، فإن عددًا قليلاً جدًا من أدوات الكشف عن الجذور الخفية المؤتمتة تمكن من اكتشاف جميع الجذور الخفية الثلاثة. حقق Norton Power Eraser أفضل النتائج من خلال تأكيد عدوى 2 مع حالة غير معروفة. هناك فئة أخرى من أدوات مساعدة antirootkit تم تصميمها للمستخدمين الأكثر تقدمًا لتحليل الجذور الخفية يدويًا وتحديدها وإزالتها والتي يمكن العثور عليها في الصفحة التالية.
Read More: https://www.raymond.cc/blog/10-antirootkits-tested-to-detect-and-remove-a-hidden-rootkit/
Read More: https://www.raymond.cc/blog/10-antirootkits-tested-to-detect-and-remove-a-hidden-rootkit/
تعليقات
إرسال تعليق