web-dev-qa-db-ja.com

64ビットのWindows7でルートキットを見つける方法はありますか

私は仕事をしていて、かなり深刻なマルウェア感染についてヘルプデスクに電話があり、自分のコンピューターについて考えさせられました。

私は毎日のラップトップでWindows764ビットRC1を実行しています。私はESETNOD32アンチウイルスを実行しています。これは、最新の状態に保つのに役立ちます。 UACをオフにしたことはありません。

私はコンピューターの専門家でもあるので、不正に見えるWindowsダイアログで[OK]をクリックしない場合はかなり良い考えがあります。

私はきれいだと思いますが、確実にしたかったので、セーフモードで起動してダウンロードし、推奨されるマルウェア対策ツールMalwareBytesツールを使用してクイックスキャンを実行しました。削除した奇妙なレジストリエントリしか見つかりませんでした。ファイルまたはフォルダの問題は検出されませんでした。再起動して、要求どおりにクリーンアップを完了しました。レジストリエントリをクリーンアップするだけだったので、これには驚きました。

そうそう...もう1つ、WinPatrolのBillPStudioのプロフェッショナル版を実行します。

正常に再起動した後、WinPatrolは、私が期待して許可した新しいプログラムMalwareBytesについて警告しました。しかし、驚いたことに、userinitのインストール/セットアップも確認しました(dllかexeかは思い出せません)が、プログラム情報は、これがWindowsに起動画面を表示するファイルであるというものでした。私はそれを許可しましたが、それは私を不意を突かれた。

最後に一つだけ。ルートキットリビールとIceSwordも実行しようとしたので、自分のマシンでルートキットスキャンを実行できましたが、どちらも実行されませんでした。64ビットOSを実行しているためだと確信しています。

だからここに私の質問があります:

  1. MalwareBytesを使用してスキャンを実行した後、userinitが「再インストール」または「再初期化」されるのは正常ですか?そうでない場合、なぜそのファイルのアクセス許可を許可するように求められたのですか?

  2. 64ビットWindowsシステムのルートキットスキャンを実行するための既知の/推奨される方法はありますか?

  3. 64ビットOSとして実行しているため、私のマシンでルートキットの問題が発生する可能性が低い可能性はありますか?ルートキットは64ビットプロセスとして実行する必要はありませんか。また、ターゲットオーディエンスが少ないため、ルートキットがターゲット64ビットに書き込まれない可能性はありませんか。私のリスク表面積は実際には少ないですか?

前もって感謝します。

セス

3
Seth Spearman

私は64ビットVistaでcombofixを定期的に使用しています。私の経験では、64ビットは、アプリケーションが使用するかどうかに関係なく、システム操作を利用します。 Vista 64が100%ルートキットフリーであることに同意しませんが、64ビットOSでルートキットを入手するのははるかに困難です。ハードウェアのメーカーが64ビット用のドライバーを作成することはまだ難しいです。しばらくの間、64ビットのルートキットが多すぎるとは思われません。また、64ビットが嫌いな場合は、好むと好まざるとにかかわらず、4GBのRAMは廃止されます。その場合、64ビットが必要になります。

0
Max

Sophos Anti-Rootkit 64ビットWindows7でルートキットをスキャンして削除できると主張しています。

2
raven

64ビットWindowsシステムのルートキットスキャンを実行するための既知の/推奨される方法はありますか?

私がこれについて信頼しているプログラムは2つだけです: ComboFix の後に RegDelNull

ただし、ComboFix64ビットのサポートについてはよくわかりません。ただし、使用する前に復元ポイントを作成すると、問題が発生した場合に備えて回復コンソールを使用して復元できるはずです。

しかし、私はここで2つのポイントを作る必要があると感じています。

1。 64ビットブーム
64ビットバージョンのOSを使用することを主張する理由はまだわかりません。すべての実用的な理由から、そうすることにはほぼ0の利点があります。 64ビットOSは、新しいプロセッサ機能とアドレス空間を利用する64ビットアプリケーションが主流になった場合にのみ役立ちます。そうではありません。真の64ビットアプリケーションはほとんどありませんが、互換性の理由からです。ほとんどの場合、これらのアプリケーションはこれらの機能を使用せず、使用もしません。そして、64ビットではうまく動作しない可能性のある特殊なソフトウェアを入手しようとすると、今見ているように問題が発生します。

2。メソッド
ルートキットチェックを行う明確な方法はありません。コンボフィックスでさえ、他のまたは新しいルートキットが無傷で通過できるようにする独自の方法論を確かに採用しています。とは言うものの、選択するツールは常に回復コンソールまたはセーフモードでの起動であり、これらのルートキットの多くは動作しません。

これにより、いくつかのファイアウォール製品はシステムレベルの保護を提供し(たとえば、私は考えています Comodo )、コンピューターで発生している多くの変更を通知するシステムレベルのプロンプトを表示できます。

さらに、UACを最高レベルで有効にし、管理者以外のアカウントから実行する必要があります。これがUACの目的であり、特権のないアカウントでWindowsマシンを実行しないという言い訳はもうありません。ルートキットがそれをバイパスすることはありません。つまり、ルートキットを検索することを心配する必要はありません。

64ビットOSとして実行しているため、私のマシンでルートキットの問題が発生する可能性が低い可能性はありますか?ルートキットは64ビットプロセスとして実行する必要はありませんか。また、ターゲットオーディエンスが少ないため、ルートキットがターゲット64ビットに書き込まれない可能性はありませんか。私のリスク表面積は実際には少ないですか?

残念だけど違う。前述のように、64ビットシステムでは、32ビットアプリケーションを任意のレベルで実行できます。しかし注意!多くの理由で、64ビットOSではルートキットが失敗する可能性があるため、特定のレベルの保護を追加します。他の多くの32ビットアプリケーションと同じように、不可解に、またはそうではなく、64ビットOSでも失敗する傾向があります。ルートキットはバグの影響を受けません。しかし、それはそれについてです。

そうは言っても、特定のルートキットが64ビットシステムを特にターゲットにし始める可能性もあります。ですから、あなたは本当にどこよりも安全ではありません。

0
A Dwarf