Czy istnieje przeglądarka plików, która używa funkcji niskiego poziomu do przeglądania dysku twardego?


1

Mam dysk twardy Windows 7, NTFS. Wykryłem pliki rootkitów, ale nie mogę ich usunąć za pomocą Eksploratora Windows, oczywiście ponieważ nie są widoczne. Czy jest jakaś inna przeglądarka plików, która korzysta z wywołań funkcji niskiego poziomu, niższych niż Win API, więc mogę spróbować zobaczyć i przestudiować te pliki przed usunięciem. Znam dokładne lokalizacje. Wiem, że mogę załadować trochę live CD i je usunąć, ale zastanawiam się nad pierwszym możliwym rozwiązaniem.


Bezcelowe: gdy system zostanie przejęty na tak niskim poziomie, jedynym rozsądnym rozwiązaniem jest jego sformatowanie.
o0 ”.

Odpowiedzi:


7

Windows celowo próbuje uniemożliwić ci bezpośredni dostęp do sprzętu - to po prostu taki punkt. ;) Jeśli więc system Windows został zainfekowany przez rootkit (szczególnie na poziomie jądra), musisz uzyskać dostęp do systemu plików z innego systemu operacyjnego (Windows lub nie - tylko nie zainfekowany system operacyjny), aby cokolwiek zrobić z infekcją akta.

Z Wikipedii :

„Podstawowym problemem związanym z wykrywaniem rootkitów jest to, że jeśli system operacyjny został zniszczony, szczególnie przez rootkit na poziomie jądra, nie można ufać, że znajdzie nieautoryzowane modyfikacje dla siebie lub jego składników. Działania takie jak żądanie listy uruchomionych procesów lub lista plików w katalogu, której nie można ufać, aby zachowywała się zgodnie z oczekiwaniami. Innymi słowy, detektory rootkitów, które działają podczas działania w zainfekowanych systemach, działają tylko w przypadku rootkitów, które mają pewne defekty w kamuflażu lub działają z niższym trybem użytkownika uprawnienia niż oprogramowanie wykrywające w jądrze ”

Ze strony MS RootkitRevealer :

„Czy istnieje pewny sposób, aby dowiedzieć się o obecności rootkita?

Zasadniczo nie z działającego systemu. Rootkit w trybie jądra może kontrolować dowolny aspekt zachowania systemu, więc informacje zwracane przez dowolny interfejs API, w tym nieprzetworzone odczyty gałęzi rejestru i danych systemu plików wykonywane przez RootkitRevealer, mogą zostać naruszone. Porównując skanowanie systemu w trybie on-line i skanowanie w trybie off-line z bezpiecznego środowiska, takiego jak rozruch do instalacji systemu operacyjnego opartej na płycie CD, jest bardziej niezawodna, rootkity mogą atakować takie narzędzia, aby uniknąć wykrycia nawet przez nich. ”

Mam nadzieję, że pomoże ...


1
+1 jedyna jak dotąd dobra odpowiedź
matthias krull

+1 - jeśli rootkit może przechwycić funkcję wysokiego poziomu, podobnie jak funkcja poziomu jądra.
afrazier

Dobra odpowiedź, ale nadal interesuje mnie narzędzie, które może wyświetlać system plików z niższymi funkcjami jądra lub korzystać z własnych funkcji dostępu do dysku. Zauważyłem, że rootkit nie używa notacji c: \ xxx. Dostęp do niego uzyskuje notacja \ Devices \ .... \ xxx. Nie pamiętam pełnej ścieżki, którą wykorzystał, ale zastanawiam się, czy mogę uzyskać dostęp do tych plików w ten sam sposób.
watbywbarif

2

GMER byłby dobrym początkiem, aby dowiedzieć się, co tam jest, a następnie możesz uruchomić Live CD i skopiować pliki, które chcesz, w inne miejsce / partycję lub pamięć USB - narzędzia Parted Magic pomogą ci to zrobić.

GMER to aplikacja, która wykrywa i usuwa rootkity. Skanuje w poszukiwaniu:

  • ukryte procesy
  • ukryte wątki
  • ukryte moduły
  • usługi ukryte
  • ukryte pliki
  • ukryte alternatywne strumienie danych
  • ukryte klucze rejestru
  • sterowniki przechwytujące SSDT
  • sterowniki przechwytujące IDT
  • sterowniki przechwytujące połączenia IRP
  • haczyki inline

1

Uruchom komputer z dysku CD Ubuntu, aby przeglądać napęd

Powiązany artykuł tutaj

http://www.howtogeek.com/howto/windows-vista/use-ubuntu-live-cd-to-backup-files-from-your-dead-windows-computer/

.

Lepiej byłoby użyć poniższej metody do dezynfekcji komputera

.

1.) Na komputerze, który nie jest zainfekowany, utwórz bootowalny dysk AV, a następnie uruchom komputer z dysku na zainfekowanym komputerze i zeskanuj dysk twardy, usuń wszelkie znalezione infekcje. Sam wolę dysk Kaspersky. Nowy dysk Kaspersky 2010 może aktualizować pliki danych AV, jeśli podczas skanowania masz połączenie z Internetem i zaleca się aktualizację przed skanowaniem.

http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

2.) Następnie: Zainstaluj bezpłatny MBAM, uruchom program i przejdź do karty Aktualizacja i zaktualizuj go, a następnie przejdź do karty Skaner i wykonaj szybkie skanowanie, zaznacz i usuń wszystko, co znajdzie.

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3.) Po zakończeniu MBAM zainstaluj bezpłatną wersję SAS, uruchom szybkie skanowanie, usuń to, co automatycznie wybierze. http://www.superantispyware.com/download.html

Te ostatnie 2 nie są oprogramowaniem AV, takim jak Norton, są skanerami na żądanie, które skanują tylko w poszukiwaniu złośliwych programów podczas uruchamiania programu i nie będą zakłócały zainstalowanego oprogramowania AV. Można je uruchamiać raz dziennie lub tygodniowo, aby zapewnić, że nie zostaniesz zainfekowany. Pamiętaj o ich aktualizacji przed każdym codziennym skanowaniem co tydzień.

.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.