Rootkits används av hackare för att dölja ihållande, till synes oupptäckbar skadlig programvara i din enhet som tyst kommer att stjäla data eller resurser, ibland under flera år. De kan också användas i keylogger-sätt där dina tangenttryckningar och kommunikation övervakas och ger åskådaren sekretessinformation.  

Denna speciella hackningsmetod fick större relevans före 2006, innan Microsoft Vista krävde att leverantörer digitalt signerade alla datordrivrutiner. Kernel Patch Protection^{(Kernel Patch Protection)} ( KPP ) fick skribenter av skadlig programvara att ändra sina attackmetoder och först nyligen från och med 2018 med Zacinlo-annonsbedrägerioperationen^{(Zacinlo ad fraud operation)} kom rootkits åter in i rampljuset.

De rootkits som daterades före 2006 var alla specifikt operativsystembaserade. Zacinlo -^(Zacinlo) situationen, ett rootkit från Detrahere malware- familjen, gav oss något ännu farligare i form av ett firmware-baserat rootkit. Oavsett^(Regardless) vilket är rootkits bara cirka en procent av all skadlig programvara som ses årligen. 

Trots den fara de kan utgöra skulle det dock vara klokt att förstå hur det fungerar att upptäcka rootkits som redan kan ha infiltrerat ditt system.

Upptäcka rootkits i Windows 10 ( ingående^(In-Depth) )

Zacinlo hade faktiskt varit i spel i nästan sex år innan han upptäcktes riktad mot Windows 10 -plattformen. Rootkit-komponenten var mycket konfigurerbar och skyddade sig från processer som den ansåg vara farliga för dess funktionalitet och kunde avlyssna och dekryptera SSL- kommunikation.

Den skulle kryptera och lagra all sin konfigurationsdata i Windows-registret^{(Windows Registry)} och, medan Windows stängdes av, skriva om sig själv från minne till disk med ett annat namn och uppdatera sin registernyckel. Detta hjälpte det att undvika upptäckt av ditt vanliga antivirusprogram.

Detta visar att ett standardprogram för antivirus eller antimalware inte räcker för att upptäcka rootkits. Även om det finns några antimalware-program på toppnivå som varnar dig för misstankar om en rootkit-attack. 

De 5 nyckelattributen för ett bra antivirusprogram^{(The 5 Key Attributes Of a Good Antivirus Software)}

De flesta av de framstående antivirusprogrammen idag kommer att utföra alla fem av dessa anmärkningsvärda metoder för att upptäcka rootkits.

• Signaturbaserad analys^{(Signature-based Analysis)} – Antivirusprogrammet kommer att jämföra loggade filer med kända signaturer för rootkits. Analysen kommer också att leta efter beteendemönster som efterliknar vissa driftsaktiviteter för kända rootkits, såsom aggressiv portanvändning.
• Interception Detection – Windows -operativsystemet använder pekartabeller för att köra kommandon som är kända för att uppmana ett rootkit att agera. Eftersom rootkits försöker ersätta eller modifiera allt som anses vara ett hot, kommer detta att leda ditt system till deras närvaro.
• Datajämförelse^{(Multi-Source Data Comparison)} med flera källor – Rootkits , i deras försök att förbli dolda, kan ändra vissa data som presenteras i en standardundersökning. De returnerade resultaten av systemanrop på hög och låg nivå kan ge bort närvaron av ett rootkit. Programvaran kan också jämföra processminnet som laddats in i RAM -minnet med innehållet i filen på hårddisken.
• Integritetskontroll^{(Integrity Check)} – Varje systembibliotek har en digital signatur som skapades vid den tidpunkt då systemet ansågs vara "rent". Bra säkerhetsprogram kan kontrollera biblioteken för eventuella ändringar av koden som används för att skapa den digitala signaturen.
• Registerjämförelser^{(Registry Comparisons)} – De flesta antivirusprogram har dessa enligt ett förinställt schema. En ren fil kommer att jämföras med en klientfil, i realtid, för att avgöra om klienten är eller innehåller en icke begärd körbar fil (.exe).

Utför Rootkit-skanningar^{(Performing Rootkit Scans)}

Att utföra en rootkit-skanning är det bästa försöket för att upptäcka rootkit-infektion. Oftast går det inte att lita på ditt operativsystem för att identifiera ett rootkit på egen hand och det är en utmaning att fastställa dess närvaro. Rootkits är mästerspioner, som täcker deras spår vid nästan varje tur och kan förbli dolda i osynligt.

Om du misstänker att en rootkit-virusattack har ägt rum på din dator, skulle en bra strategi för upptäckt vara att stänga av datorn och utföra skanningen från ett känt rent system. Ett säkert sätt att hitta ett rootkit i din maskin är genom en minnesdumpningsanalys. Ett rootkit kan inte dölja instruktionerna det ger ditt system när det exekverar dem i maskinens minne.

Använder WinDbg för analys av skadlig programvara^{(Using WinDbg For Malware Analysis)}

Microsoft Windows har tillhandahållit ett eget multifunktionsfelsökningsverktyg som kan användas för att utföra felsökningssökningar på applikationer, drivrutiner eller själva operativsystemet. Det kommer att felsöka kärnläges- och användarlägeskod, hjälpa till att analysera kraschdumpar och undersöka CPU- registren.

Vissa Windows - system kommer med WinDbg redan medföljande. De utan kommer att behöva ladda ner det från Microsoft Store . WinDbg Preview är den modernare versionen av WinDbg , som ger enklare visuella bilder, snabbare fönster, fullständig skriptning och samma kommandon, tillägg och arbetsflöden som originalet.

Som ett minimum kan du använda WinDbg för att analysera ett minne eller en kraschdump, inklusive en Blue Screen Of Death ( BSOD ). Från resultaten kan du leta efter indikatorer på en attack med skadlig programvara. Om du känner att ett av dina program kan hindras av förekomsten av skadlig programvara, eller använder mer minne än vad som krävs, kan du skapa en dumpfil och använda WinDbg för att analysera den.

En komplett minnesdump kan ta upp betydande diskutrymme så det kan vara bättre att utföra en Kernel-Mode dump eller Small Memory dump istället. En Kernel-Mode-dump kommer att innehålla all minnesanvändningsinformation från kärnan vid tidpunkten för kraschen. En liten minnesdump^(Memory) kommer att innehålla grundläggande information om olika system som drivrutiner, kärnan och mer, men är liten i jämförelse.

Små minnesdumpar^(Memory) är mer användbara för att analysera varför en BSOD har inträffat. För att upptäcka rootkits kommer en komplett version eller kärnversion att vara mer användbar.

Skapa en dumpfil i kärnläge^{(Creating A Kernel-Mode Dump File)}

En Kernel-Mode- dumpfil kan skapas på tre sätt:

• Aktivera dumpfilen från Kontrollpanelen^{(Control Panel)} så att systemet kraschar av sig själv
• Aktivera dumpfilen från Kontrollpanelen för^{(Control Panel)} att tvinga systemet att krascha
• Använd ett felsökningsverktyg för att skapa ett åt dig

Vi kommer att gå med val nummer tre. 

För att utföra den nödvändiga dumpfilen behöver du bara ange följande kommando i kommandofönstret^(Command) i WinDbg .

Ersätt filnamn^(FileName) med ett lämpligt namn för dumpfilen och "?" med ett f . Se till att "f" är gemener, annars skapar du en annan typ av dumpfil.

När felsökaren har kört sin gång (den första skanningen kommer att ta avsevärda minuter), kommer en dumpfil att ha skapats och du kommer att kunna analysera dina resultat.

Att förstå vad det är du letar efter, såsom användning av flyktigt minne ( RAM ), för att fastställa närvaron av ett rootkit kräver erfarenhet och testning. Det är möjligt, även om det inte rekommenderas för en nybörjare, att testa tekniker för att upptäcka skadlig programvara på ett livesystem. För att göra detta krävs återigen expertis och djupgående kunskap om hur WinDbg fungerar^(WinDbg) för att inte av misstag distribuera ett levande virus i ditt system.

Det finns säkrare, mer nybörjarvänliga sätt att avslöja vår väl gömda fiende.

Ytterligare skanningsmetoder^{(Additional Scanning Methods)}

Manuell upptäckt och beteendeanalys är också pålitliga metoder för att upptäcka rootkits. Att försöka hitta platsen för ett rootkit kan vara en stor smärta, så istället för att rikta in sig på själva rootkit kan du istället leta efter rootkit-liknande beteenden.

Du kan leta efter rootkits i nedladdade programpaket genom att använda avancerade^(Advanced) eller anpassade^(Custom) installationsalternativ under installationen. Vad du behöver leta efter är alla okända filer som anges i detaljerna. Dessa filer bör kasseras, eller så kan du göra en snabb sökning online efter hänvisningar till skadlig programvara.

Brandväggar och deras loggningsrapporter är ett otroligt effektivt sätt att upptäcka ett rootkit. Programvaran kommer att meddela dig om ditt nätverk är under granskning och bör placera alla oigenkännliga eller misstänkta nedladdningar i karantän före installationen. 

Om du misstänker att ett rootkit redan finns på din dator kan du dyka in i brandväggsloggningsrapporterna och leta efter något utöver det vanliga.

Granska brandväggsloggningsrapporter^{(Reviewing Firewall Logging Reports)}

Du kommer att vilja granska dina nuvarande brandväggsloggningsrapporter, vilket gör en öppen källkodsapplikation som IP Traffic Spy med funktioner för brandväggsloggfiltrering till ett mycket användbart verktyg. Rapporterna visar dig vad som är nödvändigt att se om en attack skulle inträffa. 

Om du har ett stort nätverk med en fristående utgångsfiltreringsbrandvägg kommer IP Traffic Spy inte att behövas. Istället bör du kunna se de inkommande och utgående paketen till alla enheter och arbetsstationer i nätverket via brandväggsloggarna.

Oavsett om du är i ett hem eller ett litet företag, kan du använda modemet från din internetleverantör^(ISP) eller, om du äger en, en personlig brandvägg eller router för att hämta brandväggsloggarna. Du kommer att kunna identifiera trafiken för varje enhet som är ansluten till samma nätverk. 

Det kan också vara fördelaktigt att aktivera Windows-brandväggsloggfiler^{(Windows Firewall Log)} . Som standard är loggfilen inaktiverad vilket betyder att ingen information eller data skrivs.

• För att skapa en loggfil, öppna funktionen Kör^(Run) genom att trycka på Windows key + R .
• Skriv wf.msc i rutan och tryck på Retur^(Enter) .

• I fönstret Windows-brandvägg^{(Windows Firewall)} och avancerad säkerhet^{(Advanced Security)} markerar du "Windows Defender-brandvägg med avancerad säkerhet^{(Advanced Security)} på lokal dator" i menyn till vänster. Klicka på Egenskaper^(Properties) längst till höger under "Åtgärder" .

• I det nya dialogfönstret, navigera över till fliken "Privat profil" och välj Anpassa^(Customize) , som finns i avsnittet "Loggning".

• Det nya fönstret låter dig välja hur stor en loggfil som ska skrivas, vart du vill att filen ska skickas och om du bara vill logga bort paket, lyckad anslutning eller både och.

• Tappade^(Dropped) paket är de som Windows-brandväggen^{(Windows Firewall)} har blockerat för din räkning.
• Som standard lagrar loggposterna i Windows-brandväggen endast de sista 4 MB data och kan hittas i % ^{(Windows Firewall)}%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Tänk på att en ökning av storleksgränsen för dataanvändning för loggar kan påverka din dators prestanda.
• Tryck på OK när du är klar.
• Upprepa sedan samma steg som du just gick igenom på fliken "Privat profil", bara den här gången på fliken "Offentlig profil".
  • Loggar kommer nu att genereras för både offentliga och privata anslutningar. Du kan visa filerna i en textredigerare som Anteckningar^(Notepad) eller importera dem till ett kalkylblad.
  • Du kan nu exportera loggfilerna till ett databasparserprogram som IP Traffic Spy för att filtrera och sortera trafiken för enkel identifiering.

Håll utkik efter allt utöver det vanliga i loggfilerna. Även det minsta systemfel kan indikera en rootkit-infektion. Något i stil med överdriven CPU- eller bandbreddsanvändning när du inte kör något för krävande, eller alls, kan vara en viktig ledtråd.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are used by hackers to hide pеrsiѕtent, sеemingly undetectable malware within your device that will silently steal data or resources, sometimes over the course of multiple уears. They can also bе used in keylogger fashion where your keystrokeѕ аnd communications are surveilled providing the onlooker with privacy information.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Ladda ner Windows 10-guider för nybörjare från Microsoft

• Hur man använder Windows 10 PC - Grundläggande handledning och tips för nybörjare

• Ladda ner Windows Ink Guide för Windows 10 från Microsoft

• Ladda ner Windows 10-guider för nybörjare från Microsoft

• Referenshandbok för grupprincipinställningar för Windows 10

• Guide till Windows 10 Task Manager – Del III

• PicsArt erbjuder anpassade klistermärken och exklusiv 3D-redigering på Windows 10

• Återställ nätverksdataanvändning på Windows 10 [GUIDE]

• Hur man använder Performance Monitor på Windows 10 (detaljerad GUIDE)

• Rensa snabbt all cache i Windows 10 [Den ultimata guiden]

• Guide till Windows 10 Task Manager – Del II

• En komplett guide till musinställningar i Windows 10

• Så här inaktiverar du säkerhetsåtgärder för funktionsuppdateringar på Windows 10

• Hur man anger BIOS på Windows 10 [GUIDE]

• Skapa en fullständig säkerhetskopia av systembild i Windows 10 [Den ultimata guiden]

• Kan inte ansluta till Xbox Live; Åtgärda Xbox Live Networking-problem i Windows 10

• Steg-för-steg-guide för att installera FFmpeg på Windows 10

• OTT-guide till säkerhetskopior, systembilder och återställning i Windows 10

• Få Firefox att visa mediakontroller på låsskärmen i Windows 10

• Så här inaktiverar du automatiska drivrutinsuppdateringar i Windows 10