ルートキットを手動で検索するためのツールやテクニックはありますか?
私はsysinternalsのツールをさまざまなタスク(プロセスモニターなど)に使用していますが、ルートキットプロセスを非表示にできるため、これらのプログラムを使用して手動でルートキットを検出できるかどうかはわかりません。
役立つと思われる信頼できるツールはありますか?スキャナーが新しい脅威を検出できないため、AVスキャナーなどの自動化されたソリューションソフトウェアは探していません。
ルートキットの定義により、システムは最下位レベルでシステムを完全に制御できる可能性が高いため、ルートキットを「チェック」するために実行するコマンド自体が危険にさらされ、誤ったデータが返される可能性があります。
従来の方法は、システム上のすべてのファイルをハッシュして、それらを既知の良好なシステムと比較し、どのシステムファイルが一致しないかを確認することです。
しかし、メモリダンプを実行して、現在実行中のプロセスとライブラリの内容を既知の正常なコピーと比較し、プロセスのメモリ内の内容とディスク上の内容を比較する必要がある場合があります。同じプロセス。
また、ドライバーまたはブートレベルでも、同様の有効性チェックを実行する必要があります。
別のオプションは、システムを離れるネットワークトラフィックを分析し、それがどこから来ているかを確認することです。たとえば、WindowsエクスプローラーがロシアのIPと通信している場合、ルートキットを見つけた可能性があります。
要約すると、ルートキットが見つかった、または疑われた場合、それらを削除するための100%確実な方法は一般にありません...代わりに、システムを再構築する必要があります。