Program penghapusan, deteksi, dan pemindai rootkit gratis terbaik

virus rootkit


Apa itu malware rootkit?

Rootkit adalah sepotong malware jahat yang tidak berperilaku seperti virus tipikal Anda. Rootkit memasukkan diri mereka ke jantung sistem operasi; biasanya pada atau di bawah level kernel. Ini membuat mereka sangat sulit untuk dideteksi dan kadang-kadang tidak mungkin untuk dihapus. Program antivirus khusus berspesialisasi dalam deteksi dan penghapusan rootkit. Di bawah ini kami daftar lima program anti-rootkit terbaik.

Beberapa latar belakang mengapa rootkit begitu jahat

Dalam sehari, Anda mungkin menggunakan banyak program berbeda di komputer. Kelas program yang berbeda memerlukan izin yang berbeda untuk melakukan tugasnya. Jantung sistem operasi, kernel, perlu memiliki kendali mutlak atas setiap bagian dari perangkat keras dan lunak di komputer untuk melakukan tugasnya. Di sisi lain, aplikasi yang secara langsung berinteraksi dengan manusia, seperti pengolah kata dan browser web, memerlukan sedikit kontrol untuk melakukan pekerjaannya. Secara konseptual, level kontrol yang berbeda ini diilustrasikan dalam model cincin perlindungan dengan kernel yang sangat kuat yang menghuni Ring Zero dan hanya aplikasi manusia di cincin luar. Rootkit biasanya menginstal sendiri ke Ring Zero dan dengan demikian mewarisi tingkat akses setinggi mungkin.

cincin perlindungan

Rootkit dinamai demikian karena rootkit pertama menargetkan sistem operasi mirip Unix. Pengguna yang paling istimewa pada sistem ini bernama root, ergo a rootkit adalah aplikasi yang menyediakan akses root ke sistem. Nama macet terlepas dari sistem operasi dan hari ini bahkan Windows rootkit menanggung nama itu meskipun tidak memiliki pengguna root pada sistem.

Meskipun ada contoh rootkit yang bermanfaat, atau setidaknya jinak, mereka umumnya dianggap berbahaya. Setelah diinstal, rootkit memiliki kemampuan untuk mengubah hampir setiap aspek sistem operasi dan juga untuk sepenuhnya menyembunyikan keberadaannya dari sebagian besar program antivirus. Rootkit kernel sangat sulit dideteksi dan kadang-kadang satu-satunya cara untuk memastikan komputer bersih adalah menginstal ulang sistem operasi sepenuhnya. Instalasi ulang masih tidak akan membantu melawan rootkit firmware yang bahkan lebih jahat yang dapat hidup dalam BIOS sistem dan bertahan menginstal ulang sistem operasi.

Jenis rootkit

Rootkit kernel

Rootkit kernel beroperasi di Ring Zero dan disuntikkan ke dalam kernel. Dalam praktiknya, itu berarti modul kernel untuk Linux, macOS dan sistem operasi mirip Unix lainnya, dan Dynamic Link Libraries (DLLs) untuk sistem Windows. Mereka beroperasi pada level dan postur keamanan yang sama seperti kernel itu sendiri, yang membuat mereka hampir mustahil untuk mendeteksi atau menghapus jika terdeteksi.

Rootkit ruang pengguna

Bagian-bagian dari sistem operasi yang diakses oleh program yang Anda gunakan selama hari Anda secara kolektif disebut sebagai ruang pengguna atau lahan pengguna. Istilah-istilah itu hanya berarti bahwa area memori dan file tersebut tidak terjangkau dan aplikasi dapat mengakses hal-hal itu tanpa memiliki tingkat izin yang tinggi.

Menurut definisi, rootkit yang beroperasi di ruang pengguna tidak memiliki akses kernel sehingga mereka berada pada posisi yang kurang menguntungkan dalam menghindari deteksi. Rootkit ruang pengguna biasanya ditargetkan pada aplikasi tertentu. Saat aplikasi itu berjalan, rootkit menambal aplikasi yang sah dalam memori ruang pengguna dan membajak operasinya. Rootkit jenis ini lebih mudah digunakan, tetapi juga lebih mudah dideteksi dan lebih mudah menyerah dengan menyebabkan crash sistem..

Bootkit

Ini adalah rootkit yang dapat di-boot. Sistem operasi komputer Anda dapat di-boot, jika tidak, komputer tidak akan dapat memulai. Rootkit tipikal memuat dirinya sendiri selama urutan boot sistem operasi. Bootkit tidak memerlukan sistem operasi untuk melakukannya karena bootkit dapat mem-boot semuanya dengan sendirinya, dan kemudian memuat sistem operasi setelahnya.

Tujuan umum bootkit adalah untuk menumbangkan hal-hal seperti verifikasi tanda tangan digital pada modul kernel. Ini memberi penyerang kemampuan untuk secara diam-diam memuat modul dan file yang dimodifikasi selama proses boot, memberikan akses ke mesin.

Rootkit firmware

Firmware adalah istilah untuk sesuatu yang terletak di antara perangkat keras dan perangkat lunak. Perangkat keras adalah sesuatu yang perlu secara fisik dibautkan ke komputer, sedangkan perangkat lunak hanyalah kode yang dimasukkan ke dalam komputer, seperti pengolah kata. Firmware adalah perangkat keras, biasanya sejenis chip, yang memiliki kemampuan untuk memuat perangkat lunak ke dalamnya. Tidak seperti instalasi perangkat lunak normal yang hanya menambahkan kode ke komputer, memperbarui perangkat lunak firmware umumnya melibatkan penggantian seluruh basis kode pada chip dalam satu gerakan dengan proses yang dikenal sebagai flashing.

Rootkit jenis ini biasanya terlihat di BIOS komputer atau perangkat khusus seperti router dan ponsel. Karena rootkit hidup dalam firmware, memformat hard drive komputer dan menginstal ulang sistem operasi tidak akan berpengaruh dan tidak akan menghapus rootkit.

Dari mana rootkit berasal?

Rootkit biasanya dipasang oleh penyerang jahat melalui vektor umum yang sama dengan malware apa pun. Phishing tetap merupakan cara yang sangat sukses untuk mengelabui pengguna agar memasang rootkit. Meskipun pengguna akan diminta untuk mengotorisasi pemasangan rootkit, banyak dari kita menjadi mati rasa terhadap permintaan konstan ini dan akan mengizinkannya.

Dalam kasus yang lebih jarang, perusahaan terkemuka dapat menyertakan rootkit dalam perangkat lunaknya sendiri. Dalam serangkaian keputusan mengerikan yang dipublikasikan secara luas pada tahun 2005, Sony BMG memasukkan rootkit dalam CD-nya untuk mencegah penyalinan. Hal itu menyebabkan hilangnya gugatan tindakan kelas multi-juta dolar karena rasa tidak aman yang melekat pada rootkit di atas dan di luar tujuan yang dimaksudkan sebagai alat Manajemen Hak Digital (DRM)..

5 program penghapusan, deteksi, dan pemindai rootkit gratis

Ada beberapa program anti-rookit yang menargetkan rootkit tertentu seperti TDSSKiller Kaspersky, tetapi kami akan berurusan dengan detektor rootkit yang lebih umum. Jika Anda berada dalam posisi yang tidak nyaman karena telah terinfeksi dengan rootkit yang diidentifikasi, Anda mungkin ingin mencari untuk melihat apakah vendor antivirus memiliki alat khusus untuk rootkit itu..

chkrootkit (Periksa Rootkit)

Program penghapusan, deteksi, dan pemindai rootkit gratis terbaik

Pro: Dapat dijalankan pasca infeksi
Cons: Tidak ada dukungan Windows.
OS yang didukung: Linux, FreeBSD, OpenBSD, NetBSD, Solaris, HP-UX, Tru64, BSDI, dan macOS

"Periksa Rootkit" (chkrootkit) adalah detektor rootkit open source yang telah ada sejak lama. Versi saat ini pada artikel ini dirilis pada Mei 2017 dan dapat mendeteksi 69 rootkit yang berbeda.

Anda akan memerlukan administrator sistem berpengalaman untuk menguraikan output chkrootkit. Sesuai dengan namanya, chkrootkit hanya memeriksa rootkit; itu tidak bisa menghapusnya. Ini memeriksa file sistem Anda untuk tanda-tanda rootkit yang umum seperti:

File log yang baru saja dihapus

File log adalah alat yang hebat untuk menganalisis apa yang terjadi pada suatu sistem. Namun, karena rootkit memiliki kemampuan untuk memodifikasi file sistem apa pun yang berarti memiliki kemampuan untuk mengubah konten file log atau menghapus log sama sekali. chkrootkit mencoba mendeteksi apakah berbagai file log penting yang merekam login seperti wtmp dan utmp telah diubah atau baru-baru ini dihapus sama sekali.

Keadaan antarmuka jaringan

Jaringan TCP / IP pada dasarnya melewati paket-paket di internet. Di setiap tahap perjalanan, setiap paket ditujukan ke alamat protokol internet (IP), atau alamat kontrol akses media lokal (MAC). Router di internet atau jaringan lain menggunakan alamat IP tujuan paket untuk membawanya ke jaringan yang tepat. Setelah paket tiba di jaringan tujuan, alamat MAC digunakan untuk pengiriman akhir ke kartu jaringan yang tepat, atau pengontrol antarmuka jaringan (NIC).

ifconfig

Selama operasi normal, NIC hanya akan menerima paket yang ditujukan ke alamat MAC-nya sendiri, atau lalu lintas siaran, dan akan membuang paket lain. Dimungkinkan untuk menempatkan antarmuka jaringan ke mode promiscuous yang berarti antarmuka jaringan akan menerima semua paket terlepas dari apa NIC paket ditujukan.

Mode promiscuous biasanya hanya digunakan dalam analisis jaringan untuk melakukan sniffing paket atau jenis inspeksi lalu lintas lainnya. Tidaklah biasa bagi NIC untuk beroperasi seperti itu selama operasi sehari-hari. chkrootkit akan mendeteksi jika ada kartu jaringan pada sistem yang beroperasi dalam mode promiscuous.

Trojans modul kernel yang dapat dimuat (trojan LKM)

Seperti dibahas sebelumnya dalam artikel ini, jenis rootkit yang paling sulit dideteksi dan dibersihkan adalah rootkit modul kernel. Mereka beroperasi di level terendah komputer di Ring Zero. Rootkit ini memiliki tingkat izin yang sama tingginya dengan kernel sistem operasi itu sendiri. chkrootkit memiliki beberapa kemampuan untuk mendeteksi jenis rootkit ini.

rkhunter (Rootkit Hunter)

rkhunter-check
Pro: Produk dewasa
Cons: Harus diinstal sebelum infeksi
OS yang didukung: Sistem operasi mirip Unix seperti Linux

Dari rkhunter README: "Rootkit Hunter adalah alat berbasis jalan, pasif, pasca-insiden, berbasis host." Itu seteguk, tapi itu memberi tahu kita banyak.

Nya berbasis host artinya dirancang untuk memindai host yang diinstal, bukan host jarak jauh di tempat lain di jaringan.

Pasca insiden berarti tidak melakukan apa pun untuk mengeraskan sistem terhadap infeksi rootkit. Itu hanya dapat mendeteksi jika serangan telah terjadi atau sedang berlangsung.

rkhunter terutama mendeteksi rootkit dengan mencari perubahan yang tidak dikenal dalam file yang signifikan. Sebelum dapat mengenali perubahan, ia harus tahu seperti apa semua file itu akan terlihat saat bersih. Karenanya sangat penting bahwa rkhunter dipasang ke sistem yang bersih sehingga dapat menentukan garis dasar yang bersih untuk digunakan untuk pemindaian berikutnya. Menjalankan rkhunter pada sistem yang sudah terinfeksi akan terbatas penggunaannya karena tidak akan memiliki pandangan yang lengkap tentang seperti apa sistem bersih itu.

rkhunter-check-2

Sebagian besar program antivirus menggunakan heuristik sampai batas tertentu, yang berarti mereka mencari hal-hal yang terlihat seperti virus, bahkan jika itu tidak secara khusus mengenali setiap virus. rkhunter tidak memiliki kemampuan untuk mencari hal-hal seperti rootkit; ini berbasis jalan artinya hanya bisa mencari rootkit yang sudah diketahui.

OSSEC

ossec-logo
Pro: Perangkat lunak yang matang dengan basis pengguna yang besar. Dapat digunakan pasca infeksi
Cons: Ditujukan untuk pengguna tingkat lanjut; sistem deteksi intrusi host lengkap daripada hanya pemindai rootkit
OS yang didukung: Linux, BSD, Solaris, macOS, AIX (agen), HP-UX (agen), server Windows XP, 2003, Vista, 2008 server, 2012 server (agent)

OSSEC adalah Host Intrusion Detection System (HIDS) yang didirikan sebagai proyek Open Source. Itu diakuisisi oleh Third Brigade, Inc. yang kemudian diakuisisi oleh Trend Micro. Trend adalah pemilik saat ini dan OSSEC tetap Free / Libre Open Source Software (FLOSS).

Arsitektur dasar adalah manajer OSSEC yang diinstal pada server pusat mirip Unix yang kemudian berbicara dengan agen jarak jauh pada sistem target. Arsitektur agen inilah yang memungkinkan OSSEC untuk mendukung berbagai macam sistem operasi. Selain itu, beberapa perangkat seperti router dan firewall dapat digunakan tanpa agen berarti tidak ada perangkat lunak yang perlu diinstal pada mereka karena mereka secara inheren memiliki kemampuan untuk berbicara langsung dengan manajer OSSEC.

Deteksi rootkit OSSEC adalah campuran analisis berbasis file dan tes lainnya di seluruh sistem. Beberapa hal yang diperiksa OSSEC adalah:

  • antarmuka jaringan dalam mode promiscuous yang tidak dilaporkan oleh alat lain seperti netstat.
  • port yang tidak dilaporkan digunakan, tetapi OSSEC tidak dapat mengikat.
  • membandingkan output alat pengidentifikasi pid dengan output dari alat level sistem seperti ps.
  • deteksi file yang mencurigakan atau disembunyikan.

GMER

gmer anti rootkit

Pro: Dapat menghapus beberapa rootkit, bukan hanya deteksi. Dapat digunakan pasca infeksi.
Cons: Hanya Windows
OS yang didukung: Windows XP / VISTA / 7/8/10

GMER adalah detektor dan penghapus rootkit yang dijalankan pada Windows XP / VISTA / 7/8/10. Sudah ada sejak 2006 dan versi saat ini mendukung 64-bit Windows 10. Ini dibuat oleh seorang programmer bernama Przemysław Gmerek, yang memberi kita petunjuk tentang asal usul namanya..

Tidak seperti chkrootkit dan rkhunter, GMER tidak hanya dapat mendeteksi rootkit, tetapi juga menghapus beberapa dari mereka. Ada versi GMER yang terintegrasi dengan Avast! perangkat lunak antivirus yang memberikan perlindungan menyeluruh yang sangat baik untuk infeksi virus dan rootkit.

GMER tidak harus memiliki pengetahuan khusus tentang sistem yang sedang dipindai. Ini berarti bahwa itu dapat menjadi pemindaian pasca-peristiwa dan mendeteksi rootkit bahkan jika itu tidak ada di sistem sebelum infeksi rootkit.

Daripada membandingkan file atau jalur untuk mendeteksi rootkit, GMER berkonsentrasi pada artefak Windows-sentris seperti proses tersembunyi, layanan tersembunyi, dan modul yang dimodifikasi. Itu juga mencari kait yang merupakan aplikasi jahat yang melampirkan diri mereka pada proses yang sah untuk menyembunyikan keberadaan mereka.

Open Source Tripwire

tripwire-logo

Cons: Perlu dipasang dan diinisialisasi sebelum infeksi
Pro: Produk matang dengan basis pengguna yang besar
OS yang didukung: Sistem berbasis Linux

Open Source Tripwire adalah sistem deteksi intrusi berbasis host (HIDS). Kontras di sini dibandingkan dengan sistem deteksi intrusi jaringan (NIDS). Tripwire memindai sistem file komputer lokal dan membandingkan file-file tersebut dengan set file yang dikenal baik.

Sama seperti rkhunter, Tripwire harus diinstal ke sistem yang bersih sebelum kemungkinan infeksi. Itu kemudian memindai sistem file dan membuat hash atau informasi identitas lainnya tentang file pada sistem itu. Pemindaian Tripwire selanjutnya dapat mengambil perubahan pada file-file itu dan memberi tahu administrator sistem tentang perubahan-perubahan itu.

Ada dua versi Tripwire; produk komersial dari Tripwire, Inc. dan versi Open Source yang pada awalnya disediakan oleh Tripwire, Inc. pada tahun 2000. Versi komersial menawarkan beragam produk yang lebih luas termasuk pengerasan, pelaporan, dan dukungan untuk sistem operasi non-Linux.

Meskipun Tripwire bukan merupakan pendeteksi rootkit, ia dapat mendeteksi aktivitas rootkit yang memengaruhi dan mengubah file pada sistem. Itu tidak memiliki kemampuan untuk menghapus rootkit, atau bahkan mengatakan dengan pasti apakah rootkit ada. Administrator yang terampil harus menginterpretasikan hasil pemindaian untuk menentukan apakah ada tindakan yang perlu diambil.

Melindungi sistem Anda

Ingatlah bahwa rootkit adalah malware. Ini benar-benar malware jahat, tapi tetap saja malware. Praktik terbaik yang akan melindungi sistem Anda dari semua jenis virus akan sangat membantu melindungi sistem Anda terhadap rootkit:

  • Pastikan pengguna memiliki jumlah izin paling sedikit yang mereka butuhkan untuk melakukan pekerjaan mereka
  • Mendidik pengguna bagaimana menghindari menjadi korban phishing
  • Pertimbangkan menonaktifkan USB dan drive CD untuk menghindari orang yang membawa malware dari rumah
  • Pastikan antivirus berjalan di semua sistem dan mutakhir
  • Gunakan firewall untuk menghentikan lalu lintas yang tidak diminta memasuki atau keluar dari sistem Anda

Selain langkah-langkah umum itu, perlindungan rootkit memerlukan sikap proaktif. Instal detektor rootkit sekarang, inisialisasi, dan jalankan setidaknya setiap hari jika tidak lebih sering. Meskipun benar bahwa jika suatu sistem terinfeksi rootkit maka sistem tersebut mungkin sampah, situasi yang lebih jahat adalah bahwa rootkit hidup di sistem Anda selama berbulan-bulan atau bertahun-tahun tanpa Anda sadari. Rootkit dapat secara diam-diam mengirimkan data berharga Anda di luar situs tanpa petunjuk apa pun yang terjadi sampai Anda membacanya di koran pagi. Jika Anda menggunakan detektor rootkit, Anda memiliki peluang bagus untuk diberi tahu bahwa ini terjadi sesegera mungkin.

Privilege Ring Hertzsprung di Wikipedia bahasa Inggris

Anda mungkin juga menyukaiAntivirusFake antivirus - apa itu, apa fungsinya, dan bagaimana memitigasi ancamanAntivirus, Cukup Perangkat Lunak Antivirus, Cukup Bagus? perangkat berbasis

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

2 + = 7