Jak uruchomić skanowanie Rootkit z Kaspersky Internet Security

Aby uzyskać najlepsze wyniki Wyjdź ze wszystkich aplikacji i utrzymuj system bezczynności podczas procesu skanowania RootkitReVeler.

Ograniczenia i ostrzeżenia

Aplikacja Kaspersky ma szereg niekrytycznych ograniczeń operacyjnych.

Ograniczenia działania niektórych komponentów i automatyczne przetwarzanie plików

Kluczowe punkty:

  1. Zakażone pliki i złośliwe linki są przetwarzane automatycznie zgodnie z regułami tworzonymi przez specjalistów Kaspersky.
  2. Nie możesz zmodyfikować tych zasad ręcznie.
  3. Reguły można aktualizować po aktualizacji baz danych i modułów aplikacji.
  4. Zasady zapory ogniowej, ochrony kamery internetowej, menedżera aplikacji i zapobiegania włamaniom są aktualizowane automatycznie.
  5. Pliki wykryte na urządzeniu mogą być automatycznie przetwarzane na żądanie mojego kaspersky bez potwierdzenia.

1. Jak przetwarzane są zainfekowane pliki i złośliwe linki w aplikacji Kaspersky?

Zakażone pliki i złośliwe linki są przetwarzane automatycznie zgodnie z regułami tworzonymi przez specjalistów Kaspersky. Te reguły nie można zmodyfikować ręcznie.

2. Czy zapobieganie zapobieganiu aplikacjom i zapobieganiu zapobieganiu zapobieganiu zapobieganiu zapobiegawom w kamerach internetowych, menedżera aplikacji?

Nie, zasady tych komponentów są aktualizowane automatycznie i nie można ich modyfikować ręcznie.

3. Czy pliki wykryte na urządzeniu przetwarzane automatycznie na żądanie mojego Kaspersky?

Tak, pliki wykryte na urządzeniu mogą być automatycznie przetwarzane na żądanie mojego Kaspersky bez potwierdzenia.

Ograniczenia połączenia z Kaspersky Security Network

Kluczowe punkty:

  1. Aplikacja może zapytać Kaspersky Security Network w celu uzyskania informacji podczas jej działania.
  2. Jeśli dane z Kaspersky Security Network nie mogłyby zostać odzyskane, aplikacja podejmuje decyzje oparte na lokalnych bazach danych antywirusowych.

4. Czy informacje o Kaspersky Application zapytanie Kaspersky Security w celu uzyskania informacji?

Tak, aplikacja może zapytać Kaspersky Security Network w celu uzyskania informacji podczas jej działania.

5. Co się stanie, jeśli dane z Kaspersky Security Network nie można odzyskać?

Jeśli dane z Kaspersky Security Network nie mogłyby zostać odzyskane, aplikacja podejmuje decyzje oparte na lokalnych bazach danych antywirusowych.

Ograniczenia funkcjonalności obserwatora systemu

Kluczowe punkty:

  1. Ochrona przed krypttorami (złośliwe oprogramowanie, które szyfruje pliki użytkowników) ma pewne ograniczenia.
  2. Folder systemu temp służy do obsługi tej funkcji.
  3. Pliki tymczasowe są usuwane automatycznie po zamknięciu aplikacji Kaspersky lub wyłączonym komponentem obserwatora systemu.
  4. W przypadku zakończenia awaryjnego aplikacji Kaspersky pliki tymczasowe nie są usuwane automatycznie.
  5. Ochrona przed szyfratorami jest zapewniana tylko dla plików znajdujących się na napędach danych w systemie plików NTFS.
  6. Liczba plików, które można przywrócić, nie może przekroczyć 50 na jeden proces szyfrowania.
  7. Całkowita liczba modyfikacji plików nie może przekroczyć 100 MB.
  8. Modyfikacje plików zainicjowane za pośrednictwem interfejsu sieciowego nie są monitorowane.
  9. Pliki szyfrowane z EFS nie są obsługiwane.
  10. Musisz ponownie uruchomić komputer, aby umożliwić ochronę przed szyfratorami po zainstalowaniu aplikacji Kaspersky.

6. Jaki jest folder systemu temp używany w funkcjonalności obserwatora systemu?

Folder systemowy TEMP służy do obsługi funkcjonalności ochrony przed krypttorami (złośliwe oprogramowanie, które szyfruje pliki użytkowników).

7. Czy pliki tymczasowe usunięte automatycznie w aplikacji Kaspersky?

Tak, pliki tymczasowe są usuwane automatycznie po zamknięciu aplikacji Kaspersky lub wyłączonym komponentem obserwatora systemu.

8. Co dzieje się z aktami tymczasowymi w przypadku zakończenia awaryjnego aplikacji Kaspersky?

W przypadku zakończenia awaryjnego aplikacji Kaspersky pliki tymczasowe nie są usuwane automatycznie. Musisz ręcznie wyczyścić folder tymczasowy.

9. Które pliki są chronione przed szyfratorami w Kaspersky?

Ochrona przed szyfratorami jest zapewniana tylko dla plików znajdujących się na napędach danych w systemie plików NTFS.

10. Jakie są ograniczenia liczby plików, które można przywrócić w Kaspersky?

Liczba plików, które można przywrócić, nie może przekroczyć 50 na jeden proces szyfrowania.

11. Jaki jest wolumin modyfikacji plików obsługiwanych w Kaspersky?

Całkowita liczba modyfikacji plików nie może przekroczyć 100 MB. Pliki z modyfikacjami przekraczającymi ten limit nie można przywrócić.

12. Czy modyfikacje plików inicjowane za pośrednictwem interfejsu sieciowego monitorowane w Kaspersky?

Nie, modyfikacje plików zainicjowane za pośrednictwem interfejsu sieciowego nie są monitorowane w Kaspersky.

13. Czy pliki szyfrowane za pomocą EFS (Szyfrowanie systemu plików) obsługiwane w Kaspersky?

Nie, pliki zaszyfrowane z EFS nie są obsługiwane w Kaspersky.

14. Czy musisz ponownie uruchomić komputer, aby umożliwić ochronę przed szyfrowanymi po zainstalowaniu Kaspersky?

Tak, musisz ponownie uruchomić komputer, aby umożliwić ochronę przed szyfrowanymi po zainstalowaniu aplikacji Kaspersky.

Szyfrowane połączenia Skanowania ograniczenia

Kluczowe punkty:

  1. Skanowanie zaszyfrowanych połączeń nie obsługuje pewnych rozszerzeń TLS 1.0 protokołu i późniejszych wersji.
  2. Połączenia za pośrednictwem tych protokołów mogą być ograniczone.
  3. Kaspersky nie obsługuje przetwarzania ruchu proxy HTTPS/2.
  4. Kaspersky zapobiega wymianie danych w stosunku do protokołu Quic.
  5. Kaspersky monitoruje tylko te zaszyfrowane połączenia, które jest w stanie odszyfrować.
  6. Aplikacja nie monitoruje połączeń dodanych do listy wyłączeń (link witryn w oknie Ustawienia sieci).
  7. Bezpieczne przeglądanie, bezpieczne pieniądze i URL Doradcy Doradcy Domyślnie wykonują deszyfrowanie i skanowanie zaszyfrowanego ruchu.
  8. Kaspersky Application odszyfrowuje ruch zaszyfrowany, podczas gdy użytkownik korzysta z przeglądarki Google Chrome, jeśli rozszerzenie ochrony Kaspersky jest wyłączone.
  9. Aplikacja Kaspersky nie monitoruje ruchu, jeśli przeglądarka ładuje stronę internetową lub jej elementy z lokalnej pamięci podręcznej zamiast z Internetu.

15. Które rozszerzenia protokołu TLS nie są obsługiwane w skanowaniu połączeń zaszyfrowanych?

Skanowanie zaszyfrowanych połączeń nie obsługuje pewnych rozszerzeń TLS 1.0 protokołu i późniejszych wersji.

16. Czy Kaspersky obsługuje przetwarzanie ruchu proxy HTTPS/2?

Nie, Kaspersky nie obsługuje przetwarzania ruchu proxy HTTPS/2.

17. Czy Kaspersky zapobiega wymianie danych w stosunku do protokołu Quic?

Tak, Kaspersky zapobiega wymianie danych w stosunku do protokołu Quic.

18. Które komponenty wykonują deszyfrowanie i skanowanie zaszyfrowanego ruchu domyślnie w Kaspersky?

Bezpieczne przeglądanie, bezpieczne pieniądze i komponenty doradcy URL wykonują deszyfrowanie i skanowanie zaszyfrowanego ruchu domyślnie w Kaspersky.

19. Czy aplikacja Kaspersky odszyfrowana jest szyfrowana szyfrowana ruch w przeglądarce Google Chrome?

Tak, aplikacja Kaspersky odszyfrowuje ruch zaszyfrowany, podczas gdy użytkownik korzysta z przeglądarki Google Chrome, jeśli rozszerzenie ochrony Kaspersky jest wyłączone.

20. Czy Kaspersky monitoruje ruch, jeśli przeglądarka ładuje stronę internetową lub jej elementy z lokalnej pamięci podręcznej zamiast z Internetu?

Nie, aplikacja Kaspersky nie monitoruje ruchu, jeśli przeglądarka ładuje stronę internetową lub jej elementy z lokalnej pamięci podręcznej zamiast z Internetu.

Ograniczenia skanowania połączeń zaszyfrowanych przez klienta BAT

Kluczowe punkty:

  1. Klient poczty nietoperzy korzysta z własnego sklepu certyfikatów.
  2. Kaspersky identyfikuje certyfikat używany do ustanowienia połączenia HTTPS między klientem BAT a serwerem jako niezaufanym.
  3. Aby temu zapobiec, skonfiguruj klienta poczty nietoperzy do pracy z lokalnym sklepem z certyfikatami systemu Windows.

21. Jaki problem z certyfikatem może wystąpić podczas skanowania połączeń zaszyfrowanych przez klienta BAT?

Kaspersky identyfikuje certyfikat używany do ustanowienia połączenia HTTPS między klientem BAT a serwerem jako niezaufanym.

22. Jak zapobiec problemowi certyfikatu podczas skanowania połączeń zaszyfrowanych klienta BAT?

Aby zapobiec wydaniu certyfikatu, skonfiguruj klienta poczty nietoperzy do pracy z lokalnym sklepem z certyfikatami systemu Windows.

Ograniczenia zaszyfrowanych połączeń skanujących

Kluczowe punkty:

  1. Zaszyfrowane połączenia ze stronami dodanymi do wyłączeń mogą być nadal skanowane przez niektóre komponenty.
  2. Antykanner, doradca URL i prywatne elementy przeglądania mogą nadal skanować zaszyfrowane połączenia.
  3. Bezpieczne pieniądze i bezpieczne elementy przeglądania nie skanują stron internetowych, które zostały dodane do wyłączeń.

23. Czy zaszyfrowane połączenia ze stronami dodanymi do wyłączeń są całkowicie wykluczone z skanowania?

Nie, zaszyfrowane połączenia z stronami dodanymi do wyłączeń mogą być nadal skanowane przez niektóre komponenty.

24. Które komponenty mogą nadal skanować szyfrowane połączenia z stronami internetowymi dodanymi do wyłączeń?

Antykanner, doradca URL i prywatne elementy przeglądania mogą nadal skanować zaszyfrowane połączenia z stronami internetowymi dodanymi do wyłączeń.

25. Wykonuj bezpieczne pieniądze i bezpieczne elementy przeglądania witryny, które zostały dodane do wyłączeń?

Nie, bezpieczne pieniądze i bezpieczne elementy przeglądania nie skanują stron internetowych, które zostały dodane do wyłączeń.

Ograniczenia tworzenia kopii zapasowych i przywracania

Kluczowe punkty:

  1. Przechowywanie kopii kopii zapasowych staje się niedostępne po wymianie dysku twardego lub komputera.
  2. Edycja plików serwisowych pamięci kopii zapasowej może spowodować utratę danych kopii zapasowej.

26. Co dzieje się z przechowywaniem kopii kopii zapasowych online po wymianie dysku twardego lub komputera?

Przechowywanie kopii kopii zapasowych staje się niedostępne po wymianie dysku twardego lub komputera.

27. Może edytować pliki serwisowe pamięci kopii zapasowej, co spowoduje utratę danych kopii zapasowej?

Tak, edycja plików usług pamięci kopii zapasowej może spowodować utratę danych kopii zapasowej.

Jak uruchomić skanowanie Rootkit z Kaspersky Internet Security

Aby uzyskać najlepsze wyniki Wyjdź ze wszystkich aplikacji i utrzymuj system bezczynności podczas procesu skanowania RootkitReVeler.

Ograniczenia i ostrzeżenia

Aplikacja Kaspersky ma szereg niekrytycznych ograniczeń operacyjnych.

Ograniczenia działania niektórych komponentów i automatyczne przetwarzanie plików

Zakażone pliki i złośliwe linki są przetwarzane automatycznie zgodnie z regułami tworzonymi przez specjalistów Kaspersky. Nie możesz zmodyfikować tych zasad ręcznie. Reguły można aktualizować po aktualizacji baz danych i modułów aplikacji. Zasady zapory ogniowej, ochrony kamer internetowych, menedżera aplikacji i zapobiegania włamaniom są również aktualizowane automatycznie.

Jeśli skanowanie urządzenia zostanie uruchomione z mojego kaspersky, pliki będą przetwarzane automatycznie na podstawie reguł określonych w aplikacji. Pliki wykryte na urządzeniu mogą być automatycznie przetwarzane na żądanie mojego kaspersky bez potwierdzenia.

Ograniczenia połączenia z Kaspersky Security Network

Podczas działania aplikacja może zapytać o sieć bezpieczeństwa Kaspersky’ego w celu uzyskania informacji. Jeśli dane z Kaspersky Security Network nie mogłyby zostać odzyskane, aplikacja podejmuje decyzje oparte na lokalnych bazach danych antywirusowych.

Ograniczenia funkcjonalności obserwatora systemu

Ochrona przed krypttorami (złośliwe oprogramowanie szyfrowane pliki użytkowników) ma następujące ograniczenia:

  • Folder systemu temp służy do obsługi tej funkcji. Jeśli napęd systemowy z folderem tymczasowym ma niewystarczającą przestrzeń dysku do tworzenia plików tymczasowych, nie jest zapewniana ochrona przed kryptorami. W takim przypadku aplikacja nie wyświetla powiadomienia, że ​​pliki nie są kopie zapasowe (ochrona nie jest zapewniona).
  • Pliki tymczasowe są usuwane automatycznie po zamknięciu aplikacji Kaspersky lub wyłączonym komponentem obserwatora systemu.
  • W przypadku zakończenia awaryjnego aplikacji Kaspersky pliki tymczasowe nie są usuwane automatycznie. Aby usunąć pliki tymczasowe, ręcznie wyczyść folder tymczasowy. Aby to zrobić, otwórz okno przebiegu i w otwartym polu typu %temp % . Kliknij OK .
  • Ochrona przed szyfratorami jest zapewniana tylko dla plików znajdujących się na napędach danych, które zostały sformatowane za pomocą systemu plików NTFS.
  • Liczba plików, które można przywrócić, nie może przekroczyć 50 na jeden proces szyfrowania.
  • Całkowita liczba modyfikacji plików nie może przekroczyć 100 MB. Pliki z modyfikacjami przekraczającymi ten limit nie można przywrócić.
  • Modyfikacje plików zainicjowane za pośrednictwem interfejsu sieciowego nie są monitorowane.
  • Pliki szyfrowane z EFS nie są obsługiwane.
  • Musisz ponownie uruchomić komputer, aby umożliwić ochronę przed szyfratorami po zainstalowaniu aplikacji Kaspersky.

Szyfrowane połączenia Skanowania ograniczenia

Ze względu na techniczne ograniczenia wdrażania algorytmów skanowania, skanowanie zaszyfrowanych połączeń nie obsługuje pewnych rozszerzeń TLS 1.0 protokołu i późniejszych wersji (szczególnie NPN i ALPN). Połączenia za pośrednictwem tych protokołów mogą być ograniczone. Przeglądarki z obsługą protokołu SPDY Użyj protokołu HTTP ponad TLS zamiast SPDY, nawet jeśli serwer, na który jest ustalone połączenie, obsługuje SPDY. Nie wpływa to na poziom bezpieczeństwa połączenia. Jeśli serwer obsługuje tylko protokół SPDY i nie można nawiązać połączenia za pośrednictwem protokołu HTTPS, aplikacja nie monitoruje ustalonego połączenia.

Kaspersky nie obsługuje przetwarzania ruchu proxy HTTPS/2. Aplikacja nie przetwarza ruchu przesyłanego przez rozszerzenia protokołu HTTP/2.

Kaspersky zapobiega wymianie danych w stosunku do protokołu Quic. Przeglądarki używają standardowego protokołu transportu (TLS lub SSL), niezależnie od tego, czy obsługa protokołu Quic jest włączona w przeglądarce.

Kaspersky monitoruje tylko te zaszyfrowane połączenia, które jest w stanie odszyfrować. Aplikacja nie monitoruje połączeń dodanych do listy wyłączeń (link witryn w oknie Ustawienia sieci).

Następujące komponenty domyślnie wykonują deszyfrowanie i skanowanie szyfrowanego ruchu:

  • Bezpieczne przeglądanie;
  • Bezpieczne pieniądze;
  • Doradca URL.

Kaspersky Application odszyfrował ruch zaszyfrowany, podczas gdy użytkownik używa przeglądarki Google Chrome, jeśli rozszerzenie ochrony Kaspersky jest wyłączone w tej przeglądarce.

Aplikacja Kaspersky nie monitoruje ruchu, jeśli przeglądarka ładuje stronę internetową lub jej elementy z lokalnej pamięci podręcznej zamiast z Internetu.

Ograniczenia skanowania połączeń zaszyfrowanych przez klienta BAT

Ponieważ klient poczty nietoperzy korzysta z własnego sklepu certyfikatów, aplikacja Kaspersky identyfikuje certyfikat używany do ustanowienia połączenia HTTPS między tym klientem a serwerem jako niezaufanym. Aby temu zapobiec, skonfiguruj klienta poczty nietoperzy do pracy z lokalnym sklepem z certyfikatami systemu Windows.

Ograniczenia zaszyfrowanych połączeń skanujących

Gdy skanowanie zaszyfrowanych połączeń ze stronami, które zostały dodane do wykluczeń, niektóre komponenty, takie jak antykanner, doradca URL i prywatne przeglądanie, mogą nadal skanować szyfrowane połączenia. Bezpieczne pieniądze i bezpieczne przeglądanie komponentów nie skanują stron internetowych, które zostały dodane do wyłączeń.

Ograniczenia tworzenia kopii zapasowych i przywracania

W celu tworzenia kopii zapasowych i przywracania obowiązują następujące ograniczenia:

  • Przechowywanie kopii kopii zapasowych staje się niedostępne po wymianie dysku twardego lub komputera. Odwiedź stronę wsparcia technicznego Kaspersky, aby uzyskać informacje na temat przywrócenia połączenia z pamięcią online po wymianie sprzętu.
  • Edycja plików serwisowych pamięci kopii zapasowej może spowodować utratę dostępu do pamięci kopii zapasowej i niemożność przywrócenia danych.
  • Ponieważ aplikacja jest kopia zapasowa za pośrednictwem usługi Kopiuj system systemu, plik danych Offline Outlook (.OST) nie jest zawarty w zestawie kopii zapasowej, ponieważ nie jest zaprojektowany do tworzenia kopii zapasowych.

Ograniczenia sekretnej funkcji sklepienia

Po utworzeniu tajnego sklepienia w systemie plików FAT32, rozmiar tajnego pliku skoku na dysku nie może przekraczać 4 GB.

Szczegóły skanowania pamięci jądra dla korzeniowych w trybie chronionej przeglądarki

Po wykryciu niezaufanego modułu w trybie chronionej przeglądarki, nowa karta przeglądarki otwiera się z powiadomieniem o wykryciu złośliwego oprogramowania. Jeśli tak się stanie, zaleca się wyjście z przeglądarki i uruchomienie pełnego skanowania komputera.

Szczegóły ochrony danych schowka

Aplikacja Kaspersky umożliwia aplikację dostęp do schowka w następujących przypadkach:

  • Aplikacja z aktywnym oknem próbuje umieścić dane w schowku. Aktywne okno to okno, którego obecnie używasz.
  • Zaufany proces aplikacji próbuje umieścić dane w schowku.
  • Zaufany proces aplikacji lub proces z aktywnym oknem próbuje odbierać dane ze schowka.
  • Proces aplikacji, który wcześniej umieścił dane w schowku, próbuje odebrać te dane ze schowka.

Szczegółowe przetwarzanie plików według komponentów aplikacji

Domyślnie aplikacja może usunąć zainfekowane pliki, których nie można dezynfekować. Domyślnie usuwanie można wykonać podczas przetwarzania plików przez takie komponenty, jak zapobieganie włamaniu, antywirus pocztowy, antywirus plików, podczas zadań skanowania, a także gdy obserwator systemu wykrywa złośliwą aktywność aplikacji.

Ograniczenia mające zastosowanie do niektórych komponentów w przypadku instalacji aplikacji wraz z zapobieganiem oszustwom Kaspersky dla punktów końcowych

Działanie następujących komponentów aplikacji Kaspersky jest ograniczone w chronionej przeglądarce, jeśli aplikacja jest zainstalowana wraz z zapobieganiem oszustwom Kaspersky dla punktów końcowych:

  • Bezpieczne przeglądanie, z wyjątkiem anty-fhishing;
  • Doradca URL
  • Anti-Banner

Szczegóły działania procesu Autorun

Proces Autorun rejestruje wyniki jego działania. Dane są rejestrowane w plikach tekstowych o nazwie “Kl-Autorun-.dziennik”. Aby wyświetlić dane, otwórz okno Uruchom i w otwartym polu % temp % i kliknij OK .

Wszystkie pliki śledzenia są zapisywane na ścieżce plików konfiguracyjnych, które zostały pobrane podczas działania procesu Autorun. Dane są przechowywane na czas działania procesu Autorun i usuwane trwale po zakończeniu tego procesu. Dane nie są nigdzie wysyłane.

Ograniczenia aplikacji Kaspersky w ramach Microsoft Windows 10 RS4 z włączonym trybem ochrony urządzenia

Działanie następującej funkcjonalności jest częściowo ograniczone:

  • Ochrona schowka
  • Ochrona przeglądarki przed klawiaturą i myszy emulatorami wejściowymi (fałszowanie wejściowe)
  • Ochrona przed aplikacjami do zarządzania zdalnym
  • Ochrona przeglądarki (zarządzanie za pośrednictwem interfejsu API, ochrona przed atakami, które wykorzystują niebezpieczne wiadomości do przeglądarki, ochrona przed zarządzaniem kolejką wiadomości)
  • Analiza heurystyczna (emulacja uruchamiania złośliwych zastosowań)

Jeśli tryb UMCI jest włączony w systemie Windows, aplikacja Kaspersky nie wykrywa szafek ekranu.

O rejestrowaniu zdarzeń w dzienniku zdarzeń systemu Windows, które są powiązane z umową licencyjną użytkownika końcowego i Kaspersky Security Network

Wydarzenia związane z przyjęciem i odrzuceniem warunków umowy licencyjnej użytkownika końcowego, a także akceptowania i spadku uczestnictwa w Kaspersky Security Network, są rejestrowane w dzienniku zdarzeń systemu Windows.

Ograniczenia lokalnych kontroli reputacji adresów w Kaspersky Security Network

Linki do lokalnych zasobów nie są skanowane w Kaspersky Security Network.

Ostrzeżenie o aplikacjach, które zbierają informacje

Jeśli aplikacja, która zbiera informacje i wysyła je do przetwarzania, jest zainstalowana na komputerze, aplikacja Kaspersky może zaklasyfikować tę aplikację jako złośliwe oprogramowanie. Aby tego uniknąć, możesz wykluczyć aplikację ze skanowania, konfigurując aplikację Kaspersky, jak opisano w tym dokumencie.

Ostrzeżenie przed utworzeniem raportu instalacji aplikacji

Plik raportu instalacji jest tworzony, gdy aplikacja jest zainstalowana na komputerze. Jeśli instalacja aplikacji została zakończona błędem, plik raportu instalacji jest zapisany i możesz wysłać go na wsparcie techniczne Kaspersky. Możesz wyświetlić zawartość pliku raportu instalacji, klikając link w oknie aplikacji. Jeśli aplikacja zostanie pomyślnie zainstalowana, plik raportu instalacji jest natychmiast usuwany z komputera.

Ograniczenia kontroli kamery internetowej w systemie operacyjnym Microsoft Windows 10 Anniversary Aktualizacja (Redstone 1)

Po zainstalowaniu aplikacji w systemie operacyjnym Microsoft Windows 10 rocznicowym (Redstone 1), kontrola dostępu do kamery internetowej nie jest gwarantowana, dopóki komputer nie zostanie ponownie uruchomiony.

Ograniczenie dotyczące tworzenia kopii zapasowych i przywracania danych z kopii zapasowych

Nie można jednocześnie uruchomić zadania tworzenia kopii zapasowych Kaspersky, a Kaspersky Przywróć zadania odzyskiwania danych na użyteczności na tym samym komputerze.

Firewall nie kontroluje połączeń lokalnych, które są instalowane przez kontrolowane aplikacje.

Ograniczenia komponentu zapobiegania włamaniu

Jeśli na komputerze zainstalowano Veracrypt, aplikacja Kaspersky może zakończyć się podczas pracy z komponentem zapobiegania włamaniu. Aby rozwiązać ten problem, uaktualnij Veracrypt do wersji 1.19 lub później.

Ograniczenia po uruchomieniu aplikacji po raz pierwszy po aktualizacji z Microsoft Windows 7 do Microsoft Windows 10

Jeśli zaktualizowałeś Microsoft Windows 7 do Microsoft Windows 8 /8.1 lub Microsoft Windows 10 / RS1 / RS2 / RS3, aplikacja Kaspersky działa z następującymi ograniczeniami po rozpoczęciu po raz pierwszy:

  • Uruchomi się tylko pliki antywirusowe (ochrona w czasie rzeczywistym). Inne komponenty aplikacji nie działają.
  • Samoobrona plików i rejestr systemu. Samoobrona procesów nie działa.
  • Interfejs aplikacji nie jest dostępny, dopóki nie uruchomisz komputera. Aplikacja wyświetla powiadomienie stwierdzające, że niektóre komponenty aplikacji nie są uruchomione i że komputer musi zostać ponownie uruchomiony po zakończeniu adaptacji do nowego systemu operacyjnego.
  • Tylko opcja wyjścia jest dostępna w menu kontekstowym ikony aplikacji w obszarze powiadomień.
  • Aplikacja nie wyświetla powiadomień i automatycznie wybiera zalecane działanie.

Ostrzeżenie o błędach dostosowujących sterowniki aplikacji podczas aktualizacji systemu operacyjnego z systemu Windows 7 do Windows 10

Uaktualnienie systemu Windows 7 do Windows 10 może spowodować błąd dostosowywania sterowników aplikacji Kaspersky. Kierowcy są dostosowani w tle, co oznacza, że ​​nie otrzymujesz powiadomień o jego postępach.

Jeśli wystąpił błąd dostosowujący sterowniki, nie będziesz mógł użyć następujących funkcji aplikacji:

  • Zapora
  • Wykrywanie zagrożenia podczas ładowania systemu operacyjnego
  • Ochrona procesów aplikacyjnych za pomocą technologii chronionego światła procesowego (PPL) Microsoft Corporation

Możesz użyć następujących metod, aby naprawić błąd:

  • Uruchom ponownie komputer i ponownie uruchom adaptację aplikacji z powiadomienia w centrum powiadomień.
  • Odinstaluj aplikację i ponownie ją zainstaluj.

Urządzenia w moich ograniczeniach funkcjonalności komponentów sieciowych

Zmiana ustawień sieci Ethernet w rejestrze systemu może spowodować, że urządzenia w moim komponencie sieciowym pokazują sieć Ethernet na liście wykrytych sieci Wi-Fi i wyświetlanie urządzeń podłączonych do tej sieci.

Ograniczenia skanowania ruchu wysyłane przez HTTPS w przeglądarce Firefox Mozilla

W Mozilla Firefox 58.x i późniejsze wersje, aplikacja nie skanuje ruchu przesyłanego przez protokół HTTPS, jeśli modyfikacja ustawień przeglądarki jest chroniona przez hasło podstawowe. Po wykryciu hasła podstawowego w przeglądarce aplikacja pokazuje powiadomienie zawierające link do artykułu w bazie wiedzy. Artykuł zawiera instrukcje dotyczące rozwiązania tego problemu.

Jeśli ruch HTTPS nie jest monitorowany, działanie następujących komponentów jest ograniczone:

  • Bezpieczne przeglądanie;
  • Anty-fhishing;
  • Kontrola rodzicielska;
  • Ochrona prywatności;
  • Anty-Banner;
  • Bezpieczne dane wejściowe danych;
  • Bezpieczne pieniądze

Ograniczenia rozszerzenia ochrony Kaspersky w Google Chrome i Mozilla Firefox

Kaspersky Protection Extension nie działa w Google Chrome i Mozilla Firefox, jeśli na komputerze jest zainstalowane MalwareBytes dla systemu Windows.

Specjalne rozważania podczas instalowania aplikacji w pakiecie serwisowym Microsoft Windows 7 i pakiecie serwisowym 1

Podczas instalowania aplikacji w systemie operacyjnym, który nie obsługuje certyfikatów z podpisem cyfrowym SHA256, aplikacja instaluje własny zaufany certyfikat.

O automatycznym testowaniu funkcjonalności aplikacji Kaspersky

Aplikacje Kaspersky Lab, w tym aplikacja Kaspersky, mają specjalny interfejs API (interfejs programowania aplikacji) do automatycznego testowania funkcjonalności aplikacji. Ten interfejs API jest używany tylko przez programistów Kaspersky.

Jak uruchomić skanowanie Rootkit z Kaspersky Internet Security

Jak uruchomić Skanowanie Rootkit Kaspersky Internet Security

Możesz użyć polecenia run, aby rozpocząć skanowanie rootkit z Kaspersky Internet Security. Używasz tego również do całkowitej wersji bezpieczeństwa programu. Polecenie Uruchom działa poprzez ręczne aktywowanie skanowania za pośrednictwem plików danych programu.

1. Otwórz menu Windows Start i wyszukaj “Uruchomić”, Następnie otwórz aplikację Run.

Otwórz aplikację Uruchom

2. Wprowadź następujący tekst do aplikacji Uruchom. Pamiętaj o uwzględnieniu znaków cytatowych.
„%programów programowych (x86)%\ Kaspersky Lab \”

Kaspersky Directory

3. Otworzy się nowy folder. Znajdź i zwróć uwagę na folder bezpieczeństwa Kaspersky. Będzie to całkowite bezpieczeństwo lub bezpieczeństwo internetowe.

4. Ponownie otwórz aplikację Uruchom i dodaj docelową folder, które właśnie znalazłeś.
„%programów programowych (x86)%\ Kaspersky Lab \ Kaspersky Total Security 20.0 \ “

5. Dodaj AVP.com przed ostatnim znakiem cytatu.

6. Zakończ go przestrzenią “Rozpocznij skan_qscan”, Bez cudzysłowów.
„%programów programowych (x86)%\ Kaspersky Lab \ Kaspersky Total Security 20.0 \ avp.com “start scan_qscan

Uruchom skan Kaspersky Rootkit

7. Naciskać “OK” Aby przetestować, że to działa. Okno wiersza polecenia powinno się uruchomić, a Kaspersky zacznie uruchamiać skanowanie rootkit.

Aplikacja uruchomiona będzie zapisywać tekst aktywacji skanowania rootkit. Pozostanie tam, chyba że go usuniesz lub wykonasz przywrócenie systemu. Dobrym pomysłem byłoby skopiowanie i wklejanie polecenia run w dokumencie tekstowym, który możesz zapisać na później.

Co to jest skan Kaspersky Rootkit?

Skan rootkit to specjalistyczny skan, który szuka tylko rootkitów w twoim systemie. Ponieważ jest ograniczony, zajmuje znacznie mniej czasu i powoduje mniej obciążenia systemu.

Co to jest rootkit?

Rootkits to rodzaj złośliwego oprogramowania, który ukrywa się w plikach i przechwytuje funkcje systemu. Mogą zainstalować więcej narzędzi w tle, aby umożliwić zdalny dostęp do urządzenia. Są zazwyczaj dość złośliwe i należy je natychmiast usunąć, jeśli są zarażone.

Jak często powinieneś uruchomić skanowanie rootkit?

Kaspersky poprowadzi skanowanie rootkit codziennie wkrótce po startup. Jest to ustawienie domyślne, które pomaga zmaksymalizować ochronę. Dobrym pomysłem jest pozwolenie na działanie codziennie, aby upewnić się, że system jest czysty z każdego złośliwego oprogramowania.Domyślny harmonogram powinien być w porządku dla większości użytkowników.

Jeśli znajdziesz się w środowisku wysokiego ryzyka (odwiedzając niebezpieczne strony internetowe i regularne pobieranie), dobrym pomysłem byłoby przeprowadzanie częstszych skanów. Możesz wybrać ręczne inicjowanie skanów rootkit, a nawet skorzystać z pełnego skanu.

Jak długo trwa skanowanie Rootkit?

Skanowanie rootkit przeszukują tylko ważne pliki na komputerze. Pomaga to przyspieszyć proces i czyni go optymalnym codziennym skanowaniem tła. Większość użytkowników powinna zobaczyć skanowanie zakończone w mniej niż 15 minut.

Jak wyłączyć skanowanie Rootkit w Kaspersky

Możesz wyłączyć automatyczny skanowanie rootkit poprzez ustawienia wydajności.To jest n’Zalecano, chyba że ty’Re już codziennie z pełnym skanowaniem.

1. Otwórz swoją wersję Kaspersky, Internet lub Total Security.

2. Wybierz Ustawienia za pomocą ikony COG.

3. Wybierz wydajność z kategorii.

4. Odznacz opcję, która mówi “Wyszukaj oprogramowanie, które ma ukryć ślady złośliwego programu w systemie (rootkits)”.

Czy musisz uruchomić skanowanie rootkit, jeśli uruchomisz pełny skan?

Jesteś skończony’T nie trzeba uruchomić skanowania Rootkit, jeśli już przeprowadziłeś pełny skan z Kaspersky Internet Security. Pełny skan będzie szukał rootkitów, a także wielu innych złośliwych infekcji.

Co to jest pełny skan Kaspersky?

Pełny skan to bardziej szczegółowe wyszukiwanie wszystkich plików na komputerze. Szukam czegoś złośliwego lub nie na miejscu. Kaspersky wykorzysta wyższy odsetek procesora, aby skutecznie przeprowadzić pełny skan. Podczas pracy możesz zauważyć znaczny spadek wydajności z komputera. Aby upewnić się, że Twoja wydajność’t interfere with your use you may want to schedule your Full Scans to run while you’nie w twoim systemie.

Jak często powinieneś prowadzić pełny skan?

Większość użytkowników powinna prowadzić pełny skan Kaspersky przynajmniej raz w tygodniu. Jeśli kiedykolwiek uważasz, że twój system mógł zostać naruszony, zaleca się, aby jak najszybciej przeprowadzić pełny skan. Jeśli jesteś w środowisku wysokiego ryzyka, powinieneś prowadzić skan codziennie lub co drugi dzień.

Możesz zaplanować pełny skan, aby działać codziennie zarówno z Kaspersky Total Security, jak i Bezpieczeństwo Internetu. Jest to jednak zalecane tylko w silniejszych systemach lub gdy urządzenie ISN’t w użyciu.

Jak długo potrwa pełny skan?

Czas, w którym pełny skan będzie się różnić. Na maszynach o wyższej wydajności skan zwykle trwa od 10 minut i godziny. Urządzenia o niższej wydajności mogą zająć kilka godzin.

Proces skanowania będzie przeszukiwał wszystkie pliki na twoim komputerze. Im więcej plików na datnicy, tym więcej plików musi skanować. Oznacza to, że im mniej dokumentów Twoje urządzenie, tym szybciej będzie skanowanie.

Program działa za pomocą procesora. Często będzie działać szybciej, jeśli ty’nie korzystać z innych aplikacji podczas działania skanu. Nowoczesny procesor będzie mógł lepiej obsługiwać wielozadaniowe podczas uruchamiania niezbędnych skanów Kaspersky.

Końcowe przemyślenia

Funkcja skanowania Rootkit Kaspersky oferuje doskonałą ochronę przed złośliwym oprogramowaniem. Służy jako dobry codzienny skan, który można zrobić w ciągu kilku minut w tle. Dobrym pomysłem jest pozwolenie na skanowanie Rootkit odbywać się codziennie i ręcznie skanować’Niepewne co do bezpieczeństwa.

Chociaż standardowy skanowanie rootkit jest optymalne, nie jest zamiennikiem pełnego skanowania. Nadal powinieneś umożliwić Kasperskyowi pełne skanowanie tak często, jak to możliwe. Można to ręcznie aktywować lub zaplanować. To’S Zalecane, aby użyć zarówno funkcji RootKit, jak i Full Scan oferowanych przez Kaspersky.

Bezpłatny TDSSSKILLER KASPERSKII wykopuje rootkits

Niedawno spędziłem trochę czasu na ratowaniu laptopa mojej szwagierki przed poważnie paskudnym złośliwym oprogramowaniem. Nawet po uruchomieniu narzędzi, takich jak MalwareBytes Anti-Malware, a następnie użycie Uncide do przywrócenia brakujących ikon i folderów systemu, coś było porwanie przeglądarków internetowych. Ilekroć kliknę link w Internet Explorer lub Firefox (najnowsze wersje obu, FYI), jakiś złośliwy kod przekierował przeglądarkę na stronę phishingową. To porwanie w pigułce i to jest niezwykle frustrujące.

Ponieważ działo się to w obu przeglądarkach, wiedziałem, że istnieje głębszy problem niż tylko nieuczciwa wtyczka lub pasek narzędzi. Najlepiej zgadnij: rootkit, forma złośliwego oprogramowania, która może ukryć się przed normalnymi metodami wykrywania. I, na pewno, były to notoryczne TDSS, które, jak donosiły tylko przez IDG News, są teraz dystrybuowane przez niektóre blogi napędzane WordPress. Ten laptop mógł zostać zainfekowany tylko po odwiedzeniu pozornie nieszkodliwej strony internetowej.

Jak więc wyrzuca TDSS, gdy zwykłe czyszczenia złośliwego oprogramowania zawodzą? Bezpłatny TDSSSKILLER KASPERSKIS. w końcu. Kiedy po raz pierwszy pobrałem i uruchomiłem narzędzie, nic się nie wydarzyło. Interfejs nigdy się nie pojawił, więc nie mogłem rozpocząć skanowania. Okazuje się, że TDSS jest tak paskudny, że może nawet zablokować bieganie TDSSSKILLER. Na szczęście Kaspersky opublikował zaktualizowaną wersję, która załatwiła sprawę.

Gdy odesłałem TDSS z powrotem do piekła, przeglądanie przeglądarki przestało. Twój przebieg może oczywiście różnić się, ale jeśli wypróbowałeś inne miary, a twój system nadal wykazuje objawy infekcji, TDSSSKILLER może być ostateczną zaszczepieniem, którego potrzebujesz.

Uwaga: przycisk pobierania przenosi Cię na stronę dostawcy, gdzie możesz pobrać najnowszą wersję oprogramowania.

  • 10 najpotężniejszych firm cyberbezpieczeństwa
  • 7 Hot Cyberbezpieczeństwo (i 2 zimne)
  • Apache Log4J luki: harmonogram
  • Korzystanie z ram NIST Cyberbezpieczeństwo w celu rozwiązania ryzyka organizacyjnego
  • 11 Narzędzia do testowania penetracji, których używają profesjonaliści
  • Cyberprzestępczość
  • Antywirus
  • Złośliwe oprogramowanie
  • Bezpieczeństwo
  • Aplikacje korporacyjne
  • Narzędzia
  • Kaspersky Lab

Od ponad 20 lat Rick Broida pisał o wszelkiego rodzaju technologii, od Amigas po serwery biznesowe po palmpilots. Jego kredyty obejmują dziesiątki książek, blogów i czasopism. Śpi z iPadem pod poduszką.

Copyright © 2012 IDG Communications, Inc.

Rootkitreealer v1.71

Pobierać

Pobierz rootKitReVealer (231 KB)
Biegnij teraz z Sysinternals na żywo.

Wstęp

Rootkitreealer to zaawansowane narzędzie wykrywania rootkit. Działa w systemie Windows XP (32-bit) i Windows Server 2003 (32-bit), a jego wyjście wymienia rozbieżności API rejestru i systemu plików, które mogą wskazywać na obecność w trybie użytkownika lub rootkit w trybie jądra. RootKitReVeLer z powodzeniem wykrywa wiele trwałych rootkitów, w tym AFX, Vanquish i HackerDefender (Uwaga: RootKitReVealer nie ma na celu wykrywania rootkitów, takich jak FU, które nie próbują ukrywać swoich plików lub klawiszy rejestru). Jeśli użyjesz go do zidentyfikowania obecności rootkit, daj nam znać!

Powodem, dla którego nie ma już wersji wiersza poleceń, jest to, że autorzy złośliwego oprogramowania zaczęli atakować skanowanie RootKitReVelera, używając jego nazwy wykonywalnej. Dlatego zaktualizowaliśmy RootKitReVeler, aby wykonać swój skan z losowo nazwanej kopii, która działa jako usługa systemu Windows. Ten typ wykonania nie sprzyja interfejsie wiersza poleceń. Zauważ, że możesz użyć opcji wiersza poleceń, aby wykonać automatyczny skanowanie z wyników zarejestrowane do pliku, który jest równoważnym zachowaniem wiersza polecenia.

Co to jest rootkit?

Termin rootkit jest używany do opisania mechanizmów i technik, w których złośliwe oprogramowanie, w tym wirusy, oprogramowanie szpiegujące i trojany, próbuje ukryć swoją obecność przed blokerami szpiegującymi, antywirusem i użytkami zarządzania systemem. Istnieje kilka klasyfikacji rootkit w zależności od tego, czy złośliwe oprogramowanie przetrwa ponowne uruchomienie i czy wykonuje się w trybie użytkownika lub w trybie jądra.

Trwałe rootkits
Trwałe rootkit jest związane z złośliwym oprogramowaniem, które aktywuje się za każdym razem, gdy system systemowy. Ponieważ takie złośliwe oprogramowanie zawiera kod, który musi być wykonany automatycznie każdy uruchamianie systemu lub gdy użytkownik się zaloguje, muszą przechowywać kod w trwałym sklepie, takim jak rejestr lub system plików, i skonfigurować metodę, w której kod wykonywa się bez interwencji użytkownika.

Rootkits oparty na pamięci
Rootkits oparty na pamięci są złośliwym oprogramowaniem, które nie ma trwałego kodu i dlatego nie przetrwa ponownego uruchomienia.

Rootkits w trybie użytkownika
Istnieje wiele metod, za pomocą których rootkity próbują uniknąć wykrycia. Na przykład rootkit w trybie użytkownika może przechwycić wszystkie połączenia z interfejsami Windows FindFirstFile/FindNextFile, które są używane przez narzędzia eksploracyjne systemu plików, w tym Explorer i wiersz polecenia, w celu wyliczenia zawartości katalogów systemów plików. Gdy aplikacja wykonuje listę katalogu, która w przeciwnym razie zwróci wyniki zawierające wpisy identyfikujące pliki powiązane z rootkit, rootkit przechwytuje i modyfikuje dane wyjściowe w celu usunięcia wpisów.

Natywny interfejs API systemu Windows służy jako interfejs między klientami w trybie użytkownika a usługami w trybie jądra a bardziej wyrafinowanymi funkcjami plików, rejestru i wyliczania procesu Native API. Zapobiega to wykryciu przez skanery, które porównują wyniki wyliczenia interfejsu API Windows z wynikami zwróconymi przez natywne wyliczenie interfejsu API.

Korekty w trybie jądra
Rootkits w trybie jądra mogą być jeszcze mocniejsze, ponieważ nie tylko mogą przechwycić natywny interfejs API w trybie jądra, ale mogą również bezpośrednio manipulować strukturami danych w trybie jądra. Powszechną techniką ukrywania obecności procesu złośliwego oprogramowania jest usunięcie procesu z listy aktywnych procesów jądra. Ponieważ interfejsy API zarządzania procesami polegają na zawartości listy, proces złośliwego oprogramowania nie będzie wyświetlał narzędzi zarządzania procesami, takimi jak Manager lub Explorer Process Explorer.

Jak działa rootKitReVeler

Ponieważ trwałe rootkity działają poprzez zmianę wyników interfejsu API, tak że widok systemu za pomocą interfejsów API różni się od faktycznego widoku przechowywania, rootKitReVeLer porównuje wyniki skanowania systemu na najwyższym poziomie z wynikiem na najniższym poziomie. Najwyższym poziomem jest interfejs API Windows, a najniższy poziom to surowa zawartość objętości systemu plików lub ula rejestru (plik Hive to format przechowywania rejestru). Zatem rootkits, czy to tryb użytkownika, czy w trybie jądra, które manipulują interfejsem API Windows lub Native API w celu usunięcia ich obecności z listy katalogu, na przykład będzie widać przez rootkitReVelerer jako rozbieżność między informacjami zwróconymi przez interfejs API Windows i te obserwowane w surowym skaniem tłuszczowego lub ntfs objętości objętości tomu NTFS.

Czy rootkit może ukryć się przed rootkitreealer
Teoretycznie możliwe jest, że rootkit może ukryć się przed rootkitreealer. Takie postępowanie wymagałoby przechwytywania odczytów danych rejestru danych lub danych systemu plików oraz zmiany zawartości danych, tak aby dane lub pliki rejestru RootKit nie były obecne. Wymagałoby to jednak poziomu wyrafinowania, którego do tej pory nie widziano w rootkits. Zmiany w danych wymagałyby zarówno intymnej wiedzy o NTFS, tłuszczu i rejestru formatów HIVE, a także możliwości zmiany struktur danych, aby ukrywają rootkit, ale nie powodują niespójnych lub niepoprawnych struktur lub rozbieżności skutków ubocznych, które byłyby oznaczone przez rootkitReVealer.

Czy istnieje pewny sposób, aby poznać obecność Rootkita
Ogólnie rzecz biorąc, nie z systemu działającego. Rootkit w trybie jądra może kontrolować dowolny aspekt zachowania systemu, więc informacje zwrócone przez dowolne interfejsy API, w tym surowe odczyty rejestru Hive i danych systemu plików wykonane przez rootkitReveLer, mogą zostać naruszone. Porównując skanowanie systemu systemu i skanowanie off-line z bezpiecznego środowiska, takiego jak rozruch w instalacji systemu operacyjnego opartego na CD, jest bardziej niezawodna, rootkits może ukierunkować takie narzędzia do uniknięcia wykrywania przez nich.

Najważniejsze jest to, że nigdy nie będzie uniwersalnego skanera Rootkit, ale najpotężniejszymi skanerami będą skanery porównawcze on-line/off-line, które integrują się z antywirusem.

Za pomocą rootkitReVealer

RootKitReVeLer wymaga, aby konto, z którego jego uruchomienie przypisało mu pliki kopii zapasowych i katalogi, załadować sterowniki i wykonywać zadania konserwacji woluminów (w Windows XP i wyższych) uprawnień. Grupa administratorów jest domyślnie przypisana tych uprawnień. Aby zminimalizować fałszywe pozytywy, uruchom rootkitReVealer w systemie bezczynności.

Aby uzyskać najlepsze wyniki Wyjdź ze wszystkich aplikacji i utrzymuj system bezczynności podczas procesu skanowania RootkitReVeler.

Jeśli masz pytania lub problemy, odwiedź forum sysinternals RootkiTreealer.

Skanowanie ręczne

Aby zeskanować system, uruchom go w systemie i naciśnij przycisk skanowania. RootKitReVeLer skanuje system zgłaszający swoje działania w obszarze statusu na dole okna i odnotowując rozbieżności na liście wyjściowych. Opcje, które możesz skonfigurować:

  • Ukryj pliki metadanych NTFS: Ta opcja jest domyślnie włączona i ma rootKitReVeLer nie pokazuje standardowych plików metadanych NTFS, które są ukryte przed interfejsem API Windows.
  • Skanowanie rejestru: Ta opcja jest domyślnie włączona. Doznanie go ma rootkitReVeler nie wykonuje skanowania rejestru.

Uruchomienie automatycznego skanowania

RootKitReVeLer obsługuje kilka opcji dla systemów automatycznego skanowania:

Zastosowanie: rootkitReVeLer [-a [-c] [-m] [-r] wyjściowy plik]

Parametr Opis
-A Automatycznie skanuj i wyjdź po zakończeniu.
-C Formatuj wyjście jako CSV.
-M Pokaż pliki metadanych NTFS.
-R Nie skanuj rejestru.

Należy zauważyć, że lokalizacja wyjściowa pliku musi znajdować się na lokalnym wolumenie.

Jeśli określisz opcję -C, nie zgłasza postępu, a rozbieżności są drukowane w formacie CSV, aby ułatwić import do bazy danych. Możesz wykonywać skany systemów zdalnych, wykonując je za pomocą narzędzia Pseksec Sysinternals za pomocą wiersza polecenia, takiej jak następujące:

psexec \\ remote -c rootkiTReVealer.exe -a c: \ Windows \ System32 \ rootkit.dziennik

Interpretacja wyników

To jest zrzut ekranu rootkitreealer wykrywający obecność popularnego hackerdefender rootkit. Rozbieżności kluczy rejestru pokazują, że klawisze rejestru przechowujące sterownik urządzenia i usługi HackerDefender nie są widoczne dla interfejsu API Windows, ale są obecne w skanowaniu surowego danych rejestru danych Hive. Podobnie pliki związane z HackerDefender nie są widoczne dla skanowania katalogu API Windows, ale są obecne w skanowaniu danych systemu plików RAW.

Powinieneś zbadać wszystkie rozbieżności i określić prawdopodobieństwo, że wskazują one na obecność rootkitu. Niestety, nie ma ostatecznego sposobu ustalenia, na podstawie wyjścia, jeśli jest obecny rootkit, ale powinieneś zbadać wszystkie zgłoszone rozbieżności, aby upewnić się, że można je wyjaśnić. Jeśli ustalisz, że masz zainstalowany rootkit, przeszukaj Internet w poszukiwaniu instrukcji usuwania. Jeśli nie masz pewności, jak usunąć rootkit, powinieneś sformatować dysk twardy systemu i ponownie zainstaluj system Windows.

Oprócz poniższych informacji o możliwych rozbieżnościach rootkitreealer, forum rootkitreealer w sysinternalach omawia wykryte korzeniowe i określone fałszywie dodatkowe.

Ukryty przed interfejsem API Windows

Te rozbieżności są te wykazywane przez większość rootkitów; Jeśli jednak nie sprawdziłeś plików metadanych Hide NTFS, powinieneś spodziewać się wielu takich wpisów w dowolnym tomie NTFS, ponieważ NTFS ukrywa swoje pliki Metada, takie jak $ MFT i $ Secure, z Windows API. Pliki metadanych obecne w wolumenach NTFS różnią się w zależności od funkcji NTFS i funkcji NTFS, które zostały włączone na wolumin. Istnieją również produkty antywirusowe, takie jak Kaspersky Antivirus, które wykorzystują techniki rootkit do ukrywania danych, które przechowują w NTFS Alternatywne strumienie danych. Jeśli uruchamiasz taki skaner wirusa. RootKitReVeLer nie obsługuje filtrów wyjściowych, ponieważ rootkity mogą skorzystać z dowolnego filtrowania. Wreszcie, jeśli plik zostanie usunięty podczas skanowania, możesz również zobaczyć tę rozbieżność.

Jest to lista plików metadanych NTFS zdefiniowanych jako Windows Server 2003:

  • $ Attrdef
  • $ BADCLUS
  • $ Badclus: $ zły
  • $ Bitmap
  • $ But
  • $ Logfile
  • $ Mft
  • $ MftMirr
  • $ Bezpieczne
  • $ Upcase
  • $ Volume
  • $ Ext
  • $ Ext \ $ reparde
  • $ Ext \ $ objid
  • $ Ext \ $ usnjrnl
  • $ Ext \ $ usnjrnl: $ max
  • $ Ext \ $ COTA

Dostęp jest odrzucony.
RootKitReVeLer nigdy nie powinien zgłaszać tej rozbieżności, ponieważ wykorzystuje mechanizmy, które pozwalają mu uzyskać dostęp do dowolnego pliku, katalogu lub rejestru w systemie.

Widoczne w interfejsie API Windows, wskaźnik katalogu, ale nie w MFT.
Widoczne w interfejsie API Windows, ale nie w indeksie MFT lub Directory.
Widoczne w interfejsie API Windows, MFT, ale nie w indeksie katalogu.
Widoczny w indeksie katalogu, ale nie interfejs API Windows lub MFT.

Skanowanie systemu plików składa się z trzech komponentów: Windows API, tabeli plików głównych NTFS (MFT) i struktur indeksu katalogu NTFS. Te rozbieżności wskazują, że plik pojawia się tylko w jednym lub dwóch skanach. Wspólnym powodem jest to, że plik jest tworzony lub usuwany podczas skanów. To jest przykład raportu rozbieżności RootkiTreealer dla pliku utworzonego podczas skanowania:

C: \ Newfile.tekst
3/1/2005 17:26
8 bajtów
Widoczne w interfejsie API Windows, ale nie w indeksie MFT lub Directory.

Długość interfejsu API Windows nie jest zgodna z surowymi danymi Hive.
Rootkits może próbować się ukryć, wprowadzając w błąd wielkość wartości rejestru, aby jego zawartość nie była widoczna dla interfejsu API Windows. Powinieneś zbadać każdą taką rozbieżność, choć może się ona również wydawać w wyniku wartości rejestru, które zmieniają się podczas skanowania.

Niedopasowanie typu między interfejsem API Windows a surowymi danymi Hive.
Wartości rejestru mają typ, taki jak DWORD i Reg_sz, a ta rozbieżność zauważa, że ​​rodzaj wartości zgłoszonej przez interfejs API Windows różni się od wartości surowych danych. RootKit może maskować swoje dane, przechowując je na przykład jako wartość Reg_Binary i dzięki czemu interfejs API Windows uważa, że ​​jest to wartość Reg_sz; Jeśli przechowuje 0 na początku danych, interfejs API Windows nie będzie w stanie uzyskać dostępu do kolejnych danych.

Nazwa klucza zawiera wbudowane zerowe.
API Windows traktuje nazwy kluczowe jako null, podczas gdy jądro traktuje je jak liczone struny. Dlatego możliwe jest utworzenie klawiszy rejestru, które są widoczne dla systemu operacyjnego, ale tylko częściowo widoczne dla narzędzi rejestru, takich jak Regedit. Kod próbki Reghide w Sysinternals pokazuje tę technikę, która jest używana zarówno przez złośliwe oprogramowanie, jak i rootkits do ukrycia danych rejestru. Użyj narzędzia SYSINTERNALES, aby usunąć klucze z osadzonymi zerowymi.

Niedopasowanie danych między interfejsem API Windows a surowymi danymi Hive.
Ta rozbieżność nastąpi, jeśli wartość rejestru zostanie zaktualizowana, gdy w toku jest skanowanie rejestru. Wartości, które często się zmieniają, obejmują znaczniki czasu, takie jak wartość Microsoft SQL Server, pokazana poniżej, i skaner wirusa „Last Scan”. Powinieneś zbadać każdą zgłoszoną wartość, aby upewnić się, że jest to ważna wartość aplikacji lub rejestru systemu.

HKLM \ Software \ Microsoft \ Microsoft SQL Server \ ConsecurationManager \ MSSQLSERVER \ UPTIME_TIME_UTC
3/1/2005 16:33
8 bajtów

Zasoby rootkit

Poniższe strony internetowe i książki są źródłami dodatkowych informacji na temat rootkits:

Sony, Rootkits i zarządzanie prawami cyfrowymi posunęły się za daleko
Przeczytaj wpis na blogu Marka na temat jego odkrycia i analizy Sony Rootkit na jednym z jego komputerów.

Odkrycie rootkits
Marka w czerwcu Windows It Pro Magazine Artykuł zawiera przegląd technologii rootkit i sposób działania RootkitReVealer.

Rootkits: obalenie jądra Windows
Ta książka Grega Hoglunda i Jamie Butler jest najbardziej kompleksowym leczeniem dostępnych korzeni.

www.Phrack.org
Ta strona przechowuje archiwum Phrack, Magazyn zorientowany na krakers, w którym programiści omawiają wady produktów związanych z bezpieczeństwem, technik rootkit i innych sztuczek złośliwego oprogramowania.

Windows Wintal, 4th Edition, Mark Russinovich i Dave Solomon (książka nie mówi o rootkits, ale zrozumienie architektury systemu Windows jest pomocne w zrozumieniu rootkits).

Pobierać

Pobierz rootKitReVealer (231 KB)

Biegnij teraz z Sysinternals na żywo.