wat*_*rif 1 security windows-7 rootkit
我有 Windows 7,NTFS 硬盘。我检测到 rootkit 文件,但无法通过 Windows 资源管理器删除它们,显然是因为它们不可见。是否有其他一些文件浏览器正在使用低级函数调用,降低 win api,以便我可以在删除之前尝试查看和研究这些文件。我知道确切的位置。我知道我可以加载一些实时 CD 并删除它们,但我想知道第一个可能的解决方案。
Windows 有目的地试图阻止您直接访问硬件——这就是重点。;) 因此,如果 Windows 受到了 Rootkit(尤其是内核级的)的危害,那么您几乎必须从另一个操作系统(无论是否为 Windows — 只是不是受感染的操作系统)访问文件系统来处理感染的文件。
来自维基百科:
“rootkit 检测的根本问题在于,如果操作系统已被破坏,尤其是被内核级 rootkit 破坏,则无法信任它发现对自身或其组件的未经授权的修改。诸如请求正在运行的进程列表之类的操作,或目录中的文件列表,不能像预期的那样运行。换句话说,在受感染系统上运行时工作的rootkit检测器仅对伪装有缺陷或以较低用户模式运行的rootkit有效权限高于内核中的检测软件”
“有没有一种可靠的方法可以知道 rootkit 的存在?
通常,不是来自正在运行的系统内。内核模式 rootkit 可以控制系统行为的任何方面,因此任何 API 返回的信息,包括注册表配置单元的原始读取和 RootkitRevealer 执行的文件系统数据,都可能受到损害。虽然比较系统的在线扫描和从安全环境(例如引导到基于 CD 的操作系统安装)的离线扫描更可靠,但 rootkit 可以针对此类工具来逃避检测。”
希望有帮助...
| 归档时间: |
|
| 查看次数: |
1213 次 |
| 最近记录: |