Gibt es einen Dateibrowser, der Low-Level-Funktionen zum Durchsuchen der Festplatte verwendet?

1

Ich habe Windows 7, NTFS-Festplatte. Ich habe Rootkit-Dateien erkannt, kann sie jedoch nicht über den Windows-Explorer löschen, da sie offensichtlich nicht sichtbar sind. Gibt es einen anderen Dateibrowser, der Low-Level-Funktionsaufrufe verwendet, niedriger diese Win-API, so dass ich versuchen kann, diese Dateien vor dem Entfernen zu sehen und zu studieren. Ich kenne die genauen Standorte. Ich weiß, dass ich einige Live-CDs laden und löschen kann, aber ich frage mich, welche Lösung ich zuerst finden kann.

watbywbarif
quelle
Sinnlos: Sobald Ihr System auf einer so niedrigen Ebene kompromittiert wurde, besteht die einzige vernünftige Lösung darin, es zu formatieren.
o0 '.

Antworten:

7

Windows versucht absichtlich, Sie daran zu hindern, direkt auf Hardware zuzugreifen - genau das ist der Punkt. ;) Also , wenn Windows wurde durch einen Rootkit (insbesondere eine Kernel-Ebene eins) kompromittiert dann viel Sie recht haben , um das Dateisystem von einem anderen Betriebssystem (Windows oder nicht zugreifen - nur nicht die infizierte OS) etwas mit der Infektion zu tun sind Dateien.

Aus Wikipedia :

"Das grundlegende Problem bei der Erkennung von Rootkits besteht darin, dass das Betriebssystem, wenn es von einem Rootkit auf Kernel-Ebene untergraben wurde, nicht als vertrauenswürdig eingestuft werden kann, um nicht autorisierte Änderungen an sich selbst oder seinen Komponenten zu ermitteln. Aktionen wie das Anfordern einer Liste ausgeführter Prozesse oder Bei einer Liste von Dateien in einem Verzeichnis kann nicht davon ausgegangen werden, dass sie sich wie erwartet verhalten. Mit anderen Worten, Rootkit-Detektoren, die auf infizierten Systemen ausgeführt werden, sind nur gegen Rootkits wirksam, deren Tarnung fehlerhaft ist oder die mit einem niedrigeren Benutzermodus ausgeführt werden Berechtigungen als die Erkennungssoftware im Kernel "

Auf der RootkitRevealer-Seite von MS :

"Gibt es einen sicheren Weg, um die Anwesenheit eines Rootkits zu erkennen?

Im Allgemeinen nicht aus einem laufenden System. Ein Kernel-Modus-Rootkit kann jeden Aspekt des Systemverhaltens steuern, sodass Informationen, die von einer API zurückgegeben werden, einschließlich der Rohdaten von Registrierungsstruktur- und Dateisystemdaten, die von RootkitRevealer ausgeführt werden, gefährdet werden können. Der Vergleich eines Online-Scans eines Systems und eines Offline-Scans aus einer sicheren Umgebung wie dem Booten einer CD-basierten Betriebssysteminstallation ist zwar zuverlässiger, aber Rootkits können auf solche Tools abzielen, um selbst von ihnen erkannt zu werden. "

Ich hoffe, das hilft...

ƬᴇcƬᴇιʜ007
quelle
1
+1 die einzig gute
antwort
+1 - Wenn eine High-Level-Funktion von einem Rootkit verknüpft werden kann, kann dies auch für eine Kernel-Level-Funktion gelten.
afrazier
Gute Antwort, aber ich bin immer noch an einer Art Tool interessiert, das Dateisysteme mit niedrigeren Kernelfunktionen oder eigenen Festplattenzugriffsfunktionen anzeigen kann. Mir ist aufgefallen, dass das Rootkit keine C: \ xxx-Notation verwendet. Er greift über die Notation \ Devices \ .... \ xxx darauf zu. Ich kann mich nicht an den vollständigen Pfad erinnern, den er verwendet hat, aber ich frage mich, ob ich auf dieselbe Weise auf diese Dateien zugreifen kann.
Watbywbarif
2

GMER ist ein guter Anfang, um herauszufinden, was sich dort befindet. Dann können Sie eine Live-CD starten und die gewünschten Dateien auf einen anderen Ort / eine andere Partition oder einen anderen USB-Stick kopieren. Die Tools auf Parted Magic helfen Ihnen dabei.

GMER ist eine Anwendung, die Rootkits erkennt und entfernt. Es sucht nach:

  • versteckte Prozesse
  • versteckte Fäden
  • versteckte Module
  • versteckte Dienste
  • versteckte Dateien
  • versteckte alternative Datenströme
  • versteckte Registrierungsschlüssel
  • Treiber, die SSDT einbinden
  • Treiber, die IDT einbinden
  • Treiber, die IRP-Anrufe entgegennehmen
  • Inline-Haken
Linker3000
quelle
1

Booten Sie von einer Ubuntu-CD, um das Laufwerk zu durchsuchen

Verwandte Artikel hier

http://www.howtogeek.com/howto/windows-vista/use-ubuntu-live-cd-to-backup-fileses-from-your-dead-windows-computer/

.

Verwenden Sie die unten beschriebene Methode, um Ihren PC zu desinfizieren

.

1.) Erstellen Sie auf einem PC, der nicht infiziert ist, eine Boot-AV-Disk und booten Sie dann von der Disk auf dem infizierten PC. Scannen Sie die Festplatte, entfernen Sie alle gefundenen Infektionen. Ich bevorzuge die Kaspersky-Disk. Die neue 2010-Kaspersky-CD kann die AV-Datendateien aktualisieren, wenn Sie zum Zeitpunkt des Scans mit dem Internet verbunden sind. Es wird empfohlen, diese vor dem Scan zu aktualisieren.

http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

2.) Dann: Installieren Sie das kostenlose MBAM, führen Sie das Programm aus und gehen Sie zur Registerkarte "Aktualisieren" und aktualisieren Sie es. Gehen Sie dann zur Registerkarte "Scanner" und führen Sie einen schnellen Scan durch, wählen Sie alles aus und entfernen Sie es.

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3.) Wenn MBAM fertig ist, installieren Sie die kostenlose SAS-Version, führen Sie einen schnellen Scan durch und entfernen Sie das, was automatisch ausgewählt wird. http://www.superantispyware.com/download.html

Die letzten beiden sind keine AV-Software wie Norton. Es handelt sich um On-Demand-Scanner, die nur dann nach Unannehmlichkeiten suchen, wenn Sie das Programm ausführen, und die installierten AV-Geräte nicht beeinträchtigen. Diese können einmal pro Tag oder Woche ausgeführt werden, um sicherzustellen, dass Sie nicht infiziert sind. Stellen Sie sicher, dass Sie sie vor jedem täglichen / wöchentlichen Scan aktualisieren.

.

Moab
quelle