Tài nguyên

5 công cụ phát hiện rootkit hiệu quả

11 / 09 / 2016

Thật không hề đơn giản để phát hiện và tiêu diệt rootkit máy tính, nhưng 5 công cụ dưới đây sẽ hỗ trợ bạn xử lý rootkit một cách hiệu quả và nhanh chóng.

SysInternals

Đây là một bộ sản phẩm tích hợp đa công cụ của Microsoft rất hữu dụng trong việc xử lý và hack vào tầng bên dưới của Windows. Tuy nhiên, chỉ có một vài công cụ được phát hành miễn phí, trong khi một số khác thì lại yêu cầu trả phí. Một vài công cụ hữu ích mà các chuyên gia hay sử dụng trong bộ sản phẩm này bao gồm:

  • ProcessExplorer được dùng để theo dõi xem các tiến trình nào đang thực hiện mở files hay thư mục. Công cụ này giống với lsof trên Linux/Unix.
  • PsTools dùng để quản lý (thực thi, tạm đóng, dừng, kiểm tra thông tin chi tiết) các tiến trình nội bộ (local) hay từ xa (remote).
  • Autoruns được dùng để phát hiện các chương trình nào được cấu hình để tự động thực thi khi mà hệ điều hành khởi động (boot) hay khi người dùng đăng nhập (user login).
  • RootkitRevealer dùng để phát hiện ra các bất thường trong việc sử dụng API của filesystem hay registry mà có thể liên quan tới sự xuất hiện của rootkit ở chế độ người dùng (user-mode) hay chế độ kernel (kernel-mode).
  • TCPView để theo dõi các điểm trao đổi và kết nối của TCP và UDP được sử dụng ở mỗi tiến trình. Tương tự với netstat trên Linux/Unix.

Ngoài ra, còn nhiều công cụ hữu ích khác mà các bạn có thể tham khảo tại trang chủ của SysInternals.

TripWire

Đây là một trong những công cụ rất hữu hiệu trong việc theo dõi sự thay đổi của các files và thư mục trên hệ thống để phát hiện ra các dấu hiệu bất thường và kiểm tra độ ổn định của dữ liệu. Tripwire có khả năng thông báo tới người dùng hay người quản trị hệ thống về những files bị hỏng hay bị cố ý thay đổi, để có thể xử lý nhanh chóng xử lý kịp thời. Tripwire được phát triển là một dự án mã nguồn mở nhưng hiện tại đã trở thành một phần mềm thương mại dành cho doanh nghiệp. Tuy nhiên, phiên bản trên Linux vẫn còn giữ là mã nguồn mở mà bạn có thể tham khảo nếu cần thiết. 

HiJackThis

Công cụ này sẽ phân tích cấu hình trình duyệt và hệ điều hành để tạo ra một file log về tình trạng hiện tại của máy tính. Người dùng có thể cấu hình để loại bỏ những files và cấu hình không mong muốn. Công cụ này tập trung chủ yếu vào việc xử lý hijack trên trình duyệt web. Đây là một ứng dụng miễn phí được tạo ra bởi Merijn Bellekom nhưng hiện tại được phát hành bởi Trend Micro.

AIDE

AIDE (Advanced Intrusion Detection Environment) là một công cụ phát hiện rootkit miễn phí, bạn có thể sử dụng thay thế cho Tripwire. Công cụ này sẽ thực hiện hash mã hoá các file hệ thống quan trọng và lưu chúng vào cơ sở dữ liệu. Nếu như phát hiện có dấu hiệu bất thường nào, công cụ này sẽ tạo ra báo cáo tình trạng phát hiện và thông báo tới người dùng.

chkrootkit

Đây là một công cụ kiểm tra rootkit mã nguồn mở khác khá hiệu quả. Công cụ này sẽ thực hiện theo dõi và phát hiện các dấu hiệu bất thường nếu có trên các file hệ thống. Ở thời điểm hiện tại, nó có thể phân tích và nhận dạng ra khoảng 66 loại rootkits khác nhau trên các nền tảng Windows, Linux, Mac OS.


Quay lại danh sách
CHIA SẺ BÀI VIẾT
KodeMate
Chat với chúng tôi Chat với chúng tôi - kodemate.com