Главная стр. Поиск Поиск

Программы для удаления руткитов (часть первая)

 17 февраля 2012,  Павел Данилов

Как бороться с руткитами? Вот этот прагматический вопрос, на самом деле, весьма сложен. На момент написания этой статьи очень многие антивирусные продукты, по заявлению разработчиков, способны отслеживать эти программы. Однако, далеко не все версии антивирусных приложений имеют такие модули. К тому же, большинство антивирусов распознает руткиты, пока те неактивны (см. статью «Что такое руткиты?»). Поэтому не грех проверить ПК специальными утилитами, которые целенаправленно ищут именно руткиты.

Обнаружение руткитов доступног далеко не всем антивирусам

Сейчас существует множество специализированных программ по розыску и уничтожению руткитов на ПК. Позвольте мне кратко описать несколько, наиболее известных из них и реально эффективных. В данной статье я не стараюсь выбрать лучшее программное обеспечение для удаления руткитов или охватить абсолютно все программы, лишь опишу те утилиты, которыми успешно пользовался сам.

GMER

Интерфейс GMER

Это компактная утилита, предназначенная для выявления и уничтожения руткитов. На сайте предлагают загрузить исполняемый файл с сформированным автоматически случайным именем, что весьма кстати, так как некоторые вирусы отслеживают и запрещают запуск файлов антивирусных решений, ориентируясь по их названиям.
GMER отображает скрытые процессы и сервисы, а также выводит список скрытых файлов, ключей реестра и драйверов, показывает программы, библиотеки, модули, а кроме того, все запускаемые автоматически компоненты системы.
Чем еще лично мне нравится GMER, тем, что он может мониторить такие события как: создание процессов, загрузки драйверов и динамических библиотек, обращение к файлам, изменения системного реестра Windows и активность соединений по стеку TCP/IP. Важный, на мой взгляд, плюс этой программы – ее портативность. Соответственно, можно ее запустить с CD-диска или флешки, вставленной в USB-порт. Не нужно постоянно держать ее установленной в системе, зато проверить ПК, подозреваемый в наличии руткитов – запросто.

Следует отметить, что утилита довольно сложна в управлении. Это не инструмент из разряда «запустил и забыл». Для работы с этой программой как минимум, нужно ознакомиться с документацией. Для обычного пользователя я бы рекомендовал что-нибудь попроще.

Скачать GMER

VBA32 Antirootkit

Интерфейс VBA32 Antirootkit

Это пример антируткита с хорошим функционалом и достаточно простым управлением. Данное приложение умеет работать в трех режимах, которые, фактически, сводятся к наличию или отсутствию поддержки антивирусного ядра Vba32:

  1. Режим работы с поддержкой антивирусных баз, когда ответственный за это модуль находится в папке %VBA32%.
  2. Режим с поддержкой антивирусных баз с загрузкой антивирусного ядра в память. Этот режим включается в случае, если программе не удается получить доступ к COM-объекту.
  3. Режим без поддержки антивирусного ядра Vba32. В этом случае проверки обнаруженных объектов антивирусным ядром производиться не будет.

Из достоинств этой программы хотелось бы отметить то, что она может быть использована совместно с любым антивирусным приложением, установленным на ПК и поддерживает скрипты. Кроме того, программа портативна – не требует установки, что тоже явный плюс для приложений данного вида. Еще вместе с программой скачивается достаточно подробная справка, в том числе и на русском языке.

Кроме сканирования системы на предмет обнаружения руткитов, с помощью данного приложения можно вывести на экран списки модулей и драйверов системы (в том числе отсортировать те, что не подписаны соответствующей цифровой подписью – я по этому признаку пару раз отлавливал руткиты). Кроме этого, с помощью инструментария VBA32 Antirootkit можно получить массу сведений о ядре системы и о т.н. kernel hooks.

Вообще для полноценного использования данной программы нужен некий багаж знаний о функционировании системы. Однако даже малоопытным пользователям будет не вредно просканировать установленную ОС с помощью VBA32 Antirootkit с настройками по умолчанию. Рекомендую быть весьма осторожными, так как в список обнаруженного подозрительного ПО программа с легкостью относит антивирусы, драйвера виртуальных приводов, работающие портативные программы и т.п. Однако это болезнь практически все антируткитов.
Смотрите далее продолжение обзора программ этой категории...

Скачать VBA32 Antirootkit

Последние отзывы к этой статье

Текущая оценка статьи: 5 из 5 баллов  

Отзыв  Salah Ad Din | 21 апреля 2012, 01:28 | Оценка: 5
Очень хорошо, актуально. Спасибо! Зичу творчої наснаги!

Все отзывы Смотреть предыдущие (все) комментарии (1)

***

Обзоры
Computer FAQ