Skocz do zawartości


tablety.pl
Zdjęcie
* * * * * 1 głosy

Wykrywanie infekcji typu rootkit




  • Zamknięty Temat jest zamknięty
4 odpowiedzi w tym temacie

#1 Gmer

Gmer

    Medium Rank

  • Użytkownicy +
  • 325 postów

Napisano 30 01 2006 - 15:17

------------------------------------------------------------------------
Dwa różne programy tego samego autorstwa, dedykowane innym obszarom zadaniowym:

GMER 1.0.15.15641
Catchme 0.3
------------------------------------------------------------------------


Dołączona grafika


Użytkownik XanTyp edytował ten post 21 11 2012 - 21:50


#2 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 19 04 2010 - 07:13

Tworzenie raportu w GMER

Obowiązkowy raport umieszczany w startowej prośbie o pomoc


Widzę jak skrzętnie jest omijany GMER w ogłoszeniu. Mimo czerwonego napisu "obowiązkowy", nie jest załączany, przy jednoczesnym przemilczeniu czy była w ogóle podejmowana jakakolwiek próba uruchomienia oraz w czym leży problem. Są i trudności w czytaniu ogłoszenia o obowiązkowym zdejmowaniu emulacji napędów i albo użytkownik natyka się na problem z uruchomieniem, albo przedstawia sfałszowany działaniem tych komponentów raport. Notuję również stosowanie wersji przestarzałych lub niezalecanych, nawet nie jest wiadomym skąd użytkownicy wygrzebują takie archaizmy jak wersje z roku ... 2007, skoro na forum jest napisane całkiem coś przeciwnego. Dlatego powstaje szczegółowy opis wytwarzania raportu w GMER. Raport jest obowiązkowy (dotyczy systemów 32-bit). Aktualne infekcje tak przeskalowały trudność, że jest niemożliwym potwierdzić stan systemu oglądając tylko proste ogólnikowe zestawienia z narzędzi kalibru OTL / DDS etc. Każdy użytkownik musi zostać zweryfikowany na okoliczność aktywności rootkit.



Pobieranie:
Strona domowa: http://www.gmer.net/

---------------------------------------------------------

Platforma: Windows NT4 / 2000 / XP / Vista / Windows 7 32-bit (x86)

GMER to program 32-bitowy i nie jest przeznaczony dla platform 64-bit

---------------------------------------------------------

Proszę kliknąć bezpośrednio w poniższy button numer jeden w poście:

Dołączona grafika Dołączona grafika
 [Mirror na serwerze SE]

Każdorazowy klik generuje plik EXE o innej nazwie. Jest to zalecana wersja o charakterystyce losowej. Proszę mieć na uwadze, że obecnie są infekcje reagujące na słowo "gmer" i skutecznie blokujące pobranie i uruchomienie programu. Nie patrząc daleko: rootkit Bagle specjalizujący się w blokowaniu otwierania wyników mających to słowo. Bagle zablokuje również i ten temat u nas na forum (przerabialiśmy to tutaj). Niestety nie da się tego uniknąć, musiałabym usunąć wszystkie hasła "gmer" i odnośniki. Proszę nie pobierać wersji wynalezionych gdzieś na Google, czy linkowanych w portalach oprogramowania.
GMER versus Windows 7: pomimo braku oficjalnej kompatybilności, aplikacja jest zdolna pracować na Windows 7.

Istotna sprawa: GMER zawsze powinien być w najnowszej wersji.



Przygotowanie prawidłowego podłoża do uruchomienia programu:
Sterownik + procedury skanujące wywoływane przez aplikację mogą wejść w kolizję z innym oprogramowaniem, które stosuje techniki niskopoziomowego dostępu / wykazuje aktywność rootkit-podobną. Widocznym znakiem może być: zawieszenie programu, jego natychmiastowe zamykanie się z błędem, fatalny niebieski ekran śmierci (na komputerach z zaznaczoną opcją auto-resetu BSOD zostanie przykryty samoresetem komputera).

Wirtualne napędy (Alcohol / DAEMON i podobne): Ten typ albo całkowicie uniemożliwia uruchomienie GMER, a jeśli nawet zdoła on wykonać zadanie, wynikowy log jest zaciemniony i prawdziwa infekcja może być ukryta "pod" działaniem tego softu. Niezbędnym jest usunięcie tego na czas diagnostyki. Szczegółowy opis eliminacji jest zlokalizowany w ogłoszeniu: Ważne - Oprogramowanie emulujące napędy. Niezależnie od tego co się danemu użytkownikowi wydaje, powinien sprawdzić dokładnie czy przypadkiem nie ma w systemie czynnej emulacji. Już tu byli tacy na forum, którzy zapewniali, że odmontowali lub nie posiadają wcale. Logi wykazały coś wręcz przeciwnego. Należy zwrócić uwagę, że prosta deinstalacja danego oprogramowania nie usuwa sterownika SPTD i może pozostać on w formie czynnej, zresztą sterownik ten to nie jedyna możliwość w obszarze sterowników emulacji.

Należy maksymalnie zredukować liczbę pracujących w tle procesów, w tym wyłączyć oprogramowanie zabezpieczające typu antywirus / firewall etc. Wprawdzie te akcje nie zdejmą określonych aktywności w sposób całkowity, ale w tym przypadku trudno jest namawiać użytkownika, by deinstalował wszystko z systemu.




Pierwsze uruchomienie / konfiguracja programu / zapis raportu:
1. Pobrany wcześniej plik EXE uruchamiamy przez dwuklik.

Dołączona grafika

Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

Dołączona grafika


2. Aplikacja otwiera się automatycznie w karcie Rootkit/Malware. Inicjuje się automatycznie pre-skanowanie, o formie skróconej. Proszę cierpliwie przeczekać ten etap. Niezależnie od tego czy okno finałowe będzie puste, czy pojawi się w nim określony odczyt, czy będzie zgłoszenie o rootkicie, należy wywołać kompletne skanowanie systemu - patrz na punkt 3. Wielu użytkowników na forum zakańcza zadanie z GMER na tym etapie, silnie zasugerowanych, że pojawiło się coś w oknie, ergo jest to wynik końcowy. Wyniki z wstępnego skanowania mogą być rozbieżne od wyników skanowania pełnego.

Dołączona grafika

Przy komunikacie o obecności rootkita, proszę nie podejmować żadnych akcji dezynfekcyjnych. Wyniki muszą zostać zweryfikowane!


3. Przed uruchomieniem skanu pełnego należy zweryfikować ustawienia skanera (patrz na powyższy obrazek). Proszę zostawić wszystko na domyślnej konfiguracji i nie zmieniać układu proponowanego domyślnie. Tzn.:
  • Wszystkie boxy od pozycji "System" do "Pliki" + "ADS" powinny być zaptaszkowane. Opcja "Pokaż wszystko" powinna pozostać odptaszkowana i zszarzona w takiej konfiguracji.
  • W sekcji dysków twardych domyślnie będzie zaznaczony tylko dysk systemowy (tu w przykładzie C:). Przy obecności większej ilości dysków pozostałe są odptaszkowane i proszę ich nie nie zaznaczać. Interesuje nas tylko partycja systemowa. Zaznaczenie wszystkich dysków spowoduje też potworne wydłużenie się skanowania, bez widocznych benefitów w "rozszerzonym raporcie".
4. Po upewnieniu się w kwestii prawidłowości ustawień należy kliknąć w buttonik Szukaj. Rozpocznie się skanowanie właściwe zobrazowane przez zmieniające się lokalizacje na spodzie okna GMER i zamianę buttonika Szukaj w Stop:

Dołączona grafika

W zależności od dostępnych zasobów systemowych, rozległości skanowanego dysku, oraz innych czynników skanowanie może długo trwać (nawet kilka godzin). Proszę cierpliwie czekać, zostawić system "na bezczynności" dopóki GMER wykazuje objawy życia. Znakiem ukończenia skanowania jest zmiana buttonika "Stop" w "Szukaj". Wynikowa zawartość okna może być znacznie szersza niż z początkowego pre-skanowania:

Dołączona grafika

Jeżeli wśród obiektów wystąpi zjawisko rootkit, korespondujące wyniki zostaną zamalowane na czerwono, a GMER w osobnym okienku to ogłosi:

Dołączona grafika

Przy komunikacie o obecności rootkita, proszę nie podejmować żadnych akcji dezynfekcyjnych. Wyniki muszą zostać zweryfikowane!


4. Po ukończeniu skanu należy wybrać buttonik Kopiuj. Pojawi się poniższy komunikat. Log jest w schowku. CTRL+V do Notatnika (lub posta), by zachować / wkleić wyniki.

Dołączona grafika




W przypadku wystąpienia trudności:
1. Jeżeli GMER przechodzi pomyślnie preskan, ale nie jest możliwe wykonanie skanowania pełnego, proszę umieścić w poście skopiowane wyniki preskanu, o ile wynik jest inny niż puste okno.

2. Na okoliczność zawieszeń programu / wystąpień błędów / BSOD pomocna może się okazać redukcja procesów, to znaczy próba uruchomienia programu z poziomu Trybu awaryjnego. Należy jednak zwrócić uwagę, że raport powstały z poziomu Trybu awaryjnego może nie wykazać wszystkich aktywności rootkit (to zależy jeszcze od typu infekcji - aktualnie na forum zanotowane infekcje mające w głębokim poważaniu tryby Windows). Z FAQ GMERa:

Question: Can I launch GMER in Safe Mode ?
Answer: Yes, you can launch GMER in Safe Mode, however rootkits which doesn't work in Safe Mode won't be detected.


Kilku użytkowników zgłosiło mi problem obciętego okna GMER w Trybie awaryjnym. Nie udało mi się zreprodukować tego efektu (zapewne coś do rzeczy ma określona rozdzielczość ekranowa). Tutaj mam obrazek z naszego forum w jaki sposób to wygląda: KLIK. Było to dawno temu już raz przeze mnie rozwiązywane. Powinna metoda działać i dziś. Należy posłużyć się narzędziem ResizeEnable i za jego pomocą wymusić rozciągnięcie okna GMER, by uwidocznić buttoniki. Zmiana jest sesyjna, zachodzi tylko podczas działania narzędzia ResizeEnable.

3. Jeżeli w ogóle jest niemożliwe uruchomienie GMER, proszę popatrzyć na alternatywę RootRepeal.

W temacie z prośbą o pomoc należy dokładnie opisać wszelkie dewiacje / trudności w uruchamianiu GMER.







Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

Użytkownik picasso edytował ten post 20 04 2010 - 09:57


#3 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 19 04 2010 - 07:14

Tworzenie raportu w RootRepeal

Opcjonalny raport dla przypadków niemożności uruchomienia GMER



W przypadku gdy w ogóle nie jest możliwe uruchomienie GMER, z powodu niesprecyzowanych czynników (mimo dostosowania się do zaleceń z opisu), istnieje możliwość wytworzenia raportu z innego programu.


Pobieranie:
Strona domowa: http://sites.google....ite/rootrepeal/

---------------------------------------------------------

Platforma: Windows 2000 SP4 / XP / 2003 Server / Vista / 2008 Server 32-bit (x86)

RootRepeal to program 32-bitowy i nie jest przeznaczony dla platform 64-bit

---------------------------------------------------------

Klik klik w buttoniki:

Dołączona grafikaDołączona grafika
[Mirror 1 | Mirror 2] [Mirror 1 | Mirror 2]

RootRepeal versus Windows 7: na stronie domowej nie ma adnotacji o kompatybilności i wygląda na to, że jest to zgodne ze stanem faktycznym. Na moim Windows 7 x86 aplikacja wyrzuca błędy przy uruchomieniu.




Przygotowanie prawidłowego podłoża do uruchomienia programu:
Zasady są takie same jak przy uruchamianiu GMER: należy wykonać ustęp numer dwa z instrukcji GMER i pozbyć się z systemu całej emulacji wirtualnych napędów, a także w miarę możliwości zredukować procesy pracujących w tle programów zabezpieczających (typu antywirus / firewall etc.).




Pierwsze uruchomienie / konfiguracja programu / zapis raportu:
1. Pobrany plik rozpakowujemy archiwizerem i uruchamiamy plik wykonywalny przez dwuklik.

Dołączona grafika

Vista: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

Dołączona grafika


2. Pojawi się okno inicjujące start aplikacji:

Dołączona grafika

Program otwiera się w karcie Drivers:

Dołączona grafika


3. Należy przejść do karty Report i kliknąć w button Scan. Padnie pierwsze pytanie konfiguracyjne skanu, należy zaznaczyć wszystkie sekcje:

Dołączona grafika

Następnie ujawni się pytanie o dyski, które mają zostać przeskanowane. Przy obecności więcej niż jednego należy wybrać tylko dysk systemowy.

Dołączona grafika


3. Rozpocznie się skanowanie właściwe, aplikacja będzie "przechodzić" między kartami tematycznymi i notować postęp zadaniowy:

Dołączona grafika


4. Po ukończeniu skanowania w oknie zostanie zaprezentowany raport, równocześnie otwiera się także Notatnik z raportem.

Dołączona grafika

Plik loga jest umieszczany w root partycji systemowej.




W przypadku wystąpienia trudności:
Disk Access Level - Funkcja sterująca sposobem w jaki RootRepeal odczytuje dysk przy skanowaniu ukrytych plików i serwisów. Domyślnie ustawiony jest odpowiedni do większości przypadków. Jednakże przy wystąpieniu niespodziewanych błędów aplikacji (program może także zgłosić alert o niemożności skanowania relatywny do poziomów) bądź też nieprzewidywalnych wyników skanowania należy wypróbować zmiany poziomu. Funkcja konfiguracyjna poziomów jest zlokalizowana w Settings > Options > General. Metodą prób i błędów należy ponowić skanowanie na kolejnych poziomach. Przy podejrzeniu obecności rootkita MBR, powinno się wybrać najniższy z możliwych poziomów i ponowić skanowanie.

Dołączona grafika






Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

Użytkownik picasso edytował ten post 20 04 2010 - 03:52


#4 SLAVOO

SLAVOO

    Very Good Rank

  • Użytkownicy +
  • 839 postów
  • Płeć:Mężczyzna
  • Lokalizacja:C:\boot.ini

Napisano 18 03 2011 - 10:17

VBA32arkit

Do wykrywania Rootkitów - jeśli GMER nie działa

SYSTEM: WinXP/Win2003/Vista/Win2008/Win 7 (32-bit )

Pobierz: >VBA32 AntiRootkit

Instrukcja obsługi:


prawoklik na ikonkę

Dołączona grafika

>Wypakuj pliki (utworzony zostanie nowy folder) >OK

Otwórz folder

Dołączona grafika


Uruchom poprzez dwuklik

Dołączona grafika

VISTA >prawoklik> Uruchom jako Administrator

Dołączona grafika


Pokaże się

Dołączona grafika


>>File>> Logging State

Dołączona grafika


>>kliknij na przycisk "Start"

Dołączona grafika


rozpocznie się skan i robienie logu

Dołączona grafika


pojawi się okienko Zapisywania, więc w nim kliknij na "Zapisz"

Dołączona grafika


pojawi się pytanie, czy otworzyć log - (wybierz albo "tak"), albo "nie"

Dołączona grafika


teraz jeden z tych plików trzeba umieścić na hoście zewnętrznym - np. http://www.speedyshare.com/, a w poście daj tylko link do tego

Dołączona grafika


..:: 99% problemów z komputerem siedzi na przeciwko monitora ::..
W dziale Wirusy i Spyware - Bezpieczeństwo w sieci, obowiązkowo podajemy logi z programów OTL i Gmer
Przed wykonaniem logów należy wyłączyć oprogramowanie emulujące napędy.
Opis jak to wykonać znajduje się TUTAJ.


#5 Natsuki Kuga

Natsuki Kuga

    Very Good Rank

  • Na emeryturze
  • 1045 postów
  • Płeć:Wybierz

Napisano 01 10 2011 - 09:45

AntiZeroAccess

Dołączona grafika

Obsługiwane systemy: Windows XP/Vista/7 32-bit

* Pomimo, że istnieje wersja Rootkita na systemy 64-bit, to narzędzie w tych systemach nie działa.

Dołączona grafika

Kliknij na obrazek, by pobrać plik. AntiZeroAccess w wersji .exe .

AntiZeroAccess to narzędzie, które pomaga w detekcji i usuwaniu coraz bardziej popularnego Rootkita ZeroAccess.


1. Otwieramy plik z dwukliku, potwierdzamy ostrzeżenie: (Windows Vista/7: PPM na plik -> Otwórz jako Administrator)

Dołączona grafika

2. Otworzy się DOSowe okienko, należy wklepać y i potwierdzić Enterem:

Dołączona grafika

3. Rozpocznie się sprawdzanie systemu:

Dołączona grafika

4. Wyświetli się końcowy wynik:

Dołączona grafika

5. Na pulpicie pojawi się plik tekstowy, w którym są wyniki skanowania.

Przykładowy log może wyglądać tak:

Webroot AntiZeroAccess 0.8 Log File
Execution time: 29/09/2011 - 21:13
Host operation SystemL Windows XP x86 version 5.1.2600 Dodatek Service Pack 2
21:13:06 - CheckSystem - Begin to check system...
21:13:06 - OpenRootDrive - Opening system root volume and physical drive...
21:13:06 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0068D5c1 sectors.
21:13:06 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".
21:13:06 - InstallAndStartDriver - Main driver state is OK.
21:13:06 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
21:13:06 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
21:13:06 - Execution Ended!





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych