Τα Rootkits χρησιμοποιούνται από χάκερ για να κρύψουν μόνιμο, φαινομενικά μη ανιχνεύσιμο κακόβουλο λογισμικό στη συσκευή σας που θα κλέβει σιωπηλά δεδομένα ή πόρους, μερικές φορές κατά τη διάρκεια πολλών ετών. Μπορούν επίσης να χρησιμοποιηθούν με τον τρόπο καταγραφής πληκτρολογίων όπου τα πλήκτρα και οι επικοινωνίες σας παρακολουθούνται παρέχοντας στον θεατή πληροφορίες απορρήτου.  

Αυτή η συγκεκριμένη μέθοδος hacking είχε μεγαλύτερη συνάφεια πριν από το 2006, πριν τα Microsoft Vista απαιτήσουν από τους προμηθευτές να υπογράφουν ψηφιακά όλα τα προγράμματα οδήγησης υπολογιστών. Το Kernel Patch Protection ( KPP ) έκανε τους συντάκτες κακόβουλου λογισμικού να αλλάξουν τις μεθόδους επίθεσης και μόλις πρόσφατα από το 2018 με τη λειτουργία απάτης διαφημίσεων Zacinlo^{(Zacinlo ad fraud operation)} , τα rootkits επανήλθαν στο προσκήνιο.

Τα rootkits που χρονολογούνται πριν από το 2006 βασίζονταν όλα ειδικά σε λειτουργικό σύστημα. Η κατάσταση Zacinlo , ένα rootkit από την οικογένεια κακόβουλου λογισμικού Detrahere^{(Detrahere malware)} , μας έδωσε κάτι ακόμα πιο επικίνδυνο με τη μορφή ενός rootkit που βασίζεται σε υλικολογισμικό. Ανεξάρτητα^(Regardless) από το , τα rootkits είναι μόνο περίπου το ένα τοις εκατό της συνολικής παραγωγής κακόβουλου λογισμικού που εμφανίζεται ετησίως. 

Ακόμα κι έτσι, λόγω του κινδύνου που μπορεί να παρουσιάσουν, θα ήταν συνετό να κατανοήσετε πώς λειτουργεί ο εντοπισμός rootkits που μπορεί να έχουν ήδη διεισδύσει στο σύστημά σας.

Ανίχνευση Rootkits στα Windows 10 ( σε βάθος^(In-Depth) )

Ο Zacinlo έπαιζε^(Zacinlo) στην πραγματικότητα για σχεδόν έξι χρόνια πριν ανακαλυφθεί ότι στόχευε την πλατφόρμα Windows 10 . Το στοιχείο rootkit είχε υψηλή δυνατότητα διαμόρφωσης και προστατευόταν από διαδικασίες που θεωρούσε επικίνδυνες για τη λειτουργικότητά του και ήταν σε θέση να υποκλέψει και να αποκρυπτογραφήσει επικοινωνίες SSL .

Θα κρυπτογραφούσε και θα αποθήκευε όλα τα δεδομένα διαμόρφωσής του στο Μητρώο των Windows^{(Windows Registry)} και, ενώ τα Windows^(Windows) έκλειναν, θα ξαναγραφόταν από μνήμη σε δίσκο χρησιμοποιώντας διαφορετικό όνομα και θα ενημερωνόταν το κλειδί μητρώου του. Αυτό το βοήθησε να αποφύγει τον εντοπισμό από το τυπικό λογισμικό προστασίας από ιούς.

Αυτό δείχνει ότι ένα τυπικό λογισμικό προστασίας από ιούς ή κακόβουλο λογισμικό δεν επαρκεί για τον εντοπισμό rootkits. Ωστόσο, υπάρχουν μερικά προγράμματα προστασίας από κακόβουλο λογισμικό κορυφαίας βαθμίδας που θα σας ειδοποιήσουν για υποψίες επίθεσης rootkit. 

Τα 5 βασικά χαρακτηριστικά ενός καλού λογισμικού προστασίας από ιούς^{(The 5 Key Attributes Of a Good Antivirus Software)}

Τα περισσότερα από τα εξέχοντα προγράμματα προστασίας από ιούς σήμερα θα εκτελέσουν και τις πέντε από αυτές τις αξιοσημείωτες μεθόδους για τον εντοπισμό rootkits.

• Ανάλυση βάσει υπογραφών^{(Signature-based Analysis)} – Το λογισμικό προστασίας από ιούς θα συγκρίνει τα καταγεγραμμένα αρχεία με τις γνωστές υπογραφές των rootkit. Η ανάλυση θα αναζητήσει επίσης μοτίβα συμπεριφοράς που μιμούνται ορισμένες λειτουργικές δραστηριότητες γνωστών rootkit, όπως η επιθετική χρήση θύρας.
• Ανίχνευση παρεμπόδισης^{(Interception Detection)} – Το λειτουργικό σύστημα Windows χρησιμοποιεί πίνακες δεικτών για την εκτέλεση εντολών που είναι γνωστό ότι ζητούν από ένα rootkit να ενεργήσει. Εφόσον τα rootkits επιχειρούν να αντικαταστήσουν ή να τροποποιήσουν οτιδήποτε θεωρείται απειλή, αυτό θα αποτρέψει το σύστημά σας στην παρουσία τους.
• Σύγκριση δεδομένων πολλαπλών πηγών^{(Multi-Source Data Comparison)} – Τα Rootkits^(Rootkits) , στην προσπάθειά τους να παραμείνουν κρυφά, ενδέχεται να αλλάξουν ορισμένα δεδομένα που παρουσιάζονται σε μια τυπική εξέταση. Τα επιστρεφόμενα αποτελέσματα κλήσεων συστήματος υψηλού και χαμηλού επιπέδου μπορούν να χαρίσουν την παρουσία ενός rootkit. Το λογισμικό μπορεί επίσης να συγκρίνει τη μνήμη διεργασίας που έχει φορτωθεί στη μνήμη RAM^(RAM) με το περιεχόμενο του αρχείου στον σκληρό δίσκο.
• Έλεγχος ακεραιότητας^{(Integrity Check)} – Κάθε βιβλιοθήκη συστήματος διαθέτει μια ψηφιακή υπογραφή που δημιουργείται τη στιγμή που το σύστημα θεωρήθηκε «καθαρό». Το καλό λογισμικό ασφαλείας μπορεί να ελέγξει τις βιβλιοθήκες για οποιαδήποτε αλλαγή του κώδικα που χρησιμοποιείται για τη δημιουργία της ψηφιακής υπογραφής.
• Σύγκριση μητρώου^{(Registry Comparisons)} – Τα περισσότερα προγράμματα λογισμικού προστασίας από ιούς τα έχουν σε προκαθορισμένο χρονοδιάγραμμα. Ένα καθαρό αρχείο θα συγκριθεί με ένα αρχείο πελάτη, σε πραγματικό χρόνο, για να προσδιοριστεί εάν ο υπολογιστής-πελάτης είναι ή περιέχει ένα εκτελέσιμο αρχείο (.exe) που δεν έχει ζητηθεί.

Εκτέλεση σαρώσεων Rootkit^{(Performing Rootkit Scans)}

Η εκτέλεση σάρωσης rootkit είναι η καλύτερη προσπάθεια για τον εντοπισμό μόλυνσης από το rootkit. Τις περισσότερες φορές το λειτουργικό σας σύστημα δεν είναι αξιόπιστο για την αναγνώριση ενός rootkit από μόνο του και αποτελεί πρόκληση για τον προσδιορισμό της παρουσίας του. Τα Rootkit είναι κύριοι κατάσκοποι, που καλύπτουν τα ίχνη τους σχεδόν σε κάθε στροφή και μπορούν να παραμένουν κρυμμένα σε κοινή θέα.

Εάν υποψιάζεστε ότι έχει λάβει χώρα επίθεση ιού rootkit στον υπολογιστή σας, μια καλή στρατηγική για τον εντοπισμό θα ήταν να απενεργοποιήσετε τον υπολογιστή και να εκτελέσετε τη σάρωση από ένα γνωστό καθαρό σύστημα. Ένας σίγουρος τρόπος για να εντοπίσετε ένα rootkit στο μηχάνημά σας είναι μέσω μιας ανάλυσης ένδειξης ένδειξης μνήμης. Ένα rootkit δεν μπορεί να κρύψει τις οδηγίες που δίνει στο σύστημά σας καθώς τις εκτελεί στη μνήμη του μηχανήματος.

Χρήση WinDbg για ανάλυση κακόβουλου λογισμικού^{(Using WinDbg For Malware Analysis)}

Τα Microsoft Windows^{(Microsoft Windows)} έχουν παράσχει το δικό τους πολυλειτουργικό εργαλείο εντοπισμού σφαλμάτων που μπορεί να χρησιμοποιηθεί για την εκτέλεση σαρώσεων εντοπισμού σφαλμάτων σε εφαρμογές, προγράμματα οδήγησης ή στο ίδιο το λειτουργικό σύστημα. Θα διορθώσει τον κώδικα λειτουργίας πυρήνα και λειτουργίας χρήστη, θα βοηθήσει στην ανάλυση ενδείξεων σφαλμάτων και θα εξετάσει τους καταχωρητές της CPU .

Ορισμένα συστήματα Windows θα συνοδεύονται ήδη από το WinDbg . Όσοι δεν το έχουν θα πρέπει να το κατεβάσουν από το Microsoft Store . Το WinDbg Preview^{(WinDbg Preview)} είναι η πιο μοντέρνα έκδοση του WinDbg , η οποία παρέχει ευκολότερα οπτικά στοιχεία για τα μάτια, ταχύτερα παράθυρα, ολοκληρωμένο σενάριο και τις ίδιες εντολές, επεκτάσεις και ροές εργασίας με το πρωτότυπο.

Στο ελάχιστο, μπορείτε να χρησιμοποιήσετε το WinDbg για να αναλύσετε μια μνήμη ή ένα crash dump, συμπεριλαμβανομένης μιας Blue Screen Of Death ( BSOD ). Από τα αποτελέσματα, μπορείτε να αναζητήσετε δείκτες επίθεσης κακόβουλου λογισμικού. Εάν πιστεύετε ότι ένα από τα προγράμματά σας μπορεί να παρεμποδίζεται από την παρουσία κακόβουλου λογισμικού ή ότι χρησιμοποιεί περισσότερη μνήμη από αυτή που απαιτείται, μπορείτε να δημιουργήσετε ένα αρχείο ένδειξης σφαλμάτων και να χρησιμοποιήσετε το WinDbg για να το αναλύσετε.

Μια πλήρης ένδειξη αποθήκευσης μνήμης μπορεί να καταλαμβάνει σημαντικό χώρο στο δίσκο, επομένως ίσως είναι καλύτερο να εκτελέσετε μια ένδειξη λειτουργίας πυρήνα^{(Kernel-Mode)} ή ένδειξη αποθήκευσης μικρής μνήμης^(Memory) . Μια ένδειξη λειτουργίας Kernel-Mode θα περιέχει όλες τις πληροφορίες χρήσης μνήμης από τον πυρήνα τη στιγμή της διακοπής λειτουργίας. Μια ένδειξη μικρής μνήμης^(Memory) θα περιέχει βασικές πληροφορίες για διάφορα συστήματα όπως προγράμματα οδήγησης, πυρήνα και άλλα, αλλά είναι πολύ μικρή σε σύγκριση.

Οι μικρές ενδείξεις αποθήκευσης μνήμης^(Memory) είναι πιο χρήσιμες για την ανάλυση γιατί έχει συμβεί ένα BSOD . Για τον εντοπισμό rootkit, μια πλήρης έκδοση ή έκδοση πυρήνα θα είναι πιο χρήσιμη.

Δημιουργία αρχείου Dump σε λειτουργία πυρήνα^{(Creating A Kernel-Mode Dump File)}

Ένα αρχείο ένδειξης πυρήνα-Mode μπορεί να δημιουργηθεί με τρεις τρόπους:^{(Kernel-Mode)}

• Ενεργοποιήστε το αρχείο ένδειξης σφαλμάτων από τον Πίνακα Ελέγχου για^{(Control Panel)} να επιτρέψετε στο σύστημα να διακοπεί από μόνο του
• Ενεργοποιήστε το αρχείο ένδειξης σφαλμάτων από τον Πίνακα Ελέγχου για^{(Control Panel)} να αναγκάσετε το σύστημα να διακοπεί
• Χρησιμοποιήστε ένα εργαλείο εντοπισμού σφαλμάτων για να δημιουργήσετε ένα για εσάς

Θα πάμε με την επιλογή νούμερο τρία. 

Για να εκτελέσετε το απαραίτητο αρχείο ένδειξης σφαλμάτων, χρειάζεται μόνο να εισαγάγετε την ακόλουθη εντολή στο παράθυρο εντολών του ^(Command)WinDbg .

Αντικαταστήστε το FileName με ένα κατάλληλο όνομα για το αρχείο ένδειξης σφαλμάτων και το "?" με ένα f . Βεβαιωθείτε ότι το "f" είναι πεζό, διαφορετικά θα δημιουργήσετε ένα διαφορετικό είδος αρχείου ένδειξης σφαλμάτων.

Μόλις το πρόγραμμα εντοπισμού σφαλμάτων ολοκληρώσει την πορεία του (η πρώτη σάρωση θα διαρκέσει αρκετά λεπτά), θα δημιουργηθεί ένα αρχείο ένδειξης σφαλμάτων και θα μπορείτε να αναλύσετε τα ευρήματά σας.

Η κατανόηση του τι ψάχνετε, όπως η χρήση πτητικής μνήμης ( RAM ), για να προσδιορίσετε την παρουσία ενός rootkit απαιτεί εμπειρία και δοκιμές. Είναι δυνατό, αν και δεν συνιστάται για αρχάριους, να δοκιμάσετε τεχνικές ανακάλυψης κακόβουλου λογισμικού σε ένα ζωντανό σύστημα. Για να γίνει αυτό θα χρειαστεί και πάλι τεχνογνωσία και εις βάθος γνώση σχετικά με τη λειτουργία του WinDbg , ώστε να μην αναπτυχθεί κατά λάθος ένας ζωντανός ιός στο σύστημά σας.

Υπάρχουν ασφαλέστεροι, πιο φιλικοί προς τους αρχάριους τρόπους για να αποκαλύψουμε τον καλά κρυμμένο εχθρό μας.

Πρόσθετες μέθοδοι σάρωσης^{(Additional Scanning Methods)}

Η χειροκίνητη ανίχνευση και η ανάλυση συμπεριφοράς είναι επίσης αξιόπιστες μέθοδοι για την ανίχνευση rootkit. Η προσπάθεια να ανακαλύψετε τη θέση ενός rootkit μπορεί να είναι μεγάλος πόνος, επομένως, αντί να στοχεύσετε το ίδιο το rootkit, μπορείτε να αναζητήσετε συμπεριφορές που μοιάζουν με το rootkit.

Μπορείτε να αναζητήσετε rootkits σε πακέτα λογισμικού που έχετε λάβει χρησιμοποιώντας τις επιλογές για προχωρημένους^(Advanced) ή προσαρμοσμένη^(Custom) εγκατάσταση κατά την εγκατάσταση. Αυτό που θα χρειαστεί να αναζητήσετε είναι τυχόν άγνωστα αρχεία που αναφέρονται στις λεπτομέρειες. Αυτά τα αρχεία θα πρέπει να απορριφθούν ή μπορείτε να κάνετε μια γρήγορη αναζήτηση στο διαδίκτυο για τυχόν αναφορές σε κακόβουλο λογισμικό.

Τα τείχη προστασίας και οι αναφορές καταγραφής τους είναι ένας απίστευτα αποτελεσματικός τρόπος για να ανακαλύψετε ένα rootkit. Το λογισμικό θα σας ειδοποιήσει εάν το δίκτυό σας είναι υπό έλεγχο και θα πρέπει να τεθεί σε καραντίνα τυχόν μη αναγνωρίσιμες ή ύποπτες λήψεις πριν από την εγκατάσταση. 

Εάν υποψιάζεστε ότι ένα rootkit μπορεί να υπάρχει ήδη στον υπολογιστή σας, μπορείτε να βουτήξετε στις αναφορές καταγραφής του τείχους προστασίας και να αναζητήσετε οποιαδήποτε ασυνήθιστη συμπεριφορά.

Έλεγχος αναφορών καταγραφής τείχους προστασίας^{(Reviewing Firewall Logging Reports)}

Θα θελήσετε να ελέγξετε τις τρέχουσες αναφορές καταγραφής τείχους προστασίας, κάνοντας μια εφαρμογή ανοιχτού κώδικα, όπως το IP Traffic Spy με δυνατότητες φιλτραρίσματος αρχείων καταγραφής τείχους προστασίας, ένα πολύ χρήσιμο εργαλείο. Οι αναφορές θα σας δείξουν τι είναι απαραίτητο να δείτε σε περίπτωση επίθεσης. 

Εάν διαθέτετε μεγάλο δίκτυο με αυτόνομο τείχος προστασίας φιλτραρίσματος εξόδου, το IP Traffic Spy δεν θα είναι απαραίτητο. Αντίθετα, θα πρέπει να μπορείτε να βλέπετε τα εισερχόμενα και εξερχόμενα πακέτα σε όλες τις συσκευές και τους σταθμούς εργασίας στο δίκτυο μέσω των αρχείων καταγραφής του τείχους προστασίας.

Είτε βρίσκεστε σε περιβάλλον οικίας είτε μικρής επιχείρησης, μπορείτε να χρησιμοποιήσετε το μόντεμ που παρέχεται από τον ISP σας ή, εάν διαθέτετε, ένα προσωπικό τείχος προστασίας ή δρομολογητή για να ανακτήσετε τα αρχεία καταγραφής του τείχους προστασίας. Θα μπορείτε να προσδιορίσετε την κίνηση για κάθε συσκευή που είναι συνδεδεμένη στο ίδιο δίκτυο. 

Μπορεί επίσης να είναι ωφέλιμο να ενεργοποιήσετε τα αρχεία καταγραφής τείχους προστασίας των Windows^{(Windows Firewall Log)} . Από προεπιλογή, το αρχείο καταγραφής είναι απενεργοποιημένο που σημαίνει ότι δεν έχουν εγγραφεί πληροφορίες ή δεδομένα.

• Για να δημιουργήσετε ένα αρχείο καταγραφής, ανοίξτε τη λειτουργία Εκτέλεση^(Run) πατώντας το Windows key + R .
• Πληκτρολογήστε wf.msc στο πλαίσιο και πατήστε Enter .

• Στο παράθυρο Τείχος προστασίας^{(Windows Firewall)} και προηγμένη ασφάλεια^{(Advanced Security)} των Windows, επισημάνετε το "Windows Defender Firewall with Advanced Security on Local Computer" στο μενού στην αριστερή πλευρά. Στη δεξιά πλευρά του μενού κάτω από τις "Ενέργειες", κάντε κλικ στην επιλογή Ιδιότητες^(Properties) .

• Στο νέο παράθυρο διαλόγου, μεταβείτε στην καρτέλα "Ιδιωτικό προφίλ" και επιλέξτε Προσαρμογή^(Customize) , που μπορείτε να βρείτε στην ενότητα "Καταγραφή".

• Το νέο παράθυρο θα σας επιτρέψει να επιλέξετε πόσο μεγάλο αρχείο καταγραφής θα γράψετε, πού θέλετε να σταλεί το αρχείο και αν θα καταγράψετε μόνο πακέτα που έχουν απορριφθεί, επιτυχημένη σύνδεση ή και τα δύο.

• Τα^(Dropped) πακέτα που έχουν απορριφθεί είναι εκείνα που το Τείχος προστασίας των Windows^{(Windows Firewall)} έχει αποκλείσει για λογαριασμό σας.
• Από προεπιλογή, οι εγγραφές καταγραφής του Τείχους προστασίας των Windows^{(Windows Firewall)} θα αποθηκεύουν μόνο τα τελευταία 4 MB δεδομένων και μπορούν να βρεθούν στο %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Λάβετε υπόψη ότι η αύξηση του ορίου μεγέθους στη χρήση δεδομένων για αρχεία καταγραφής μπορεί να επηρεάσει την απόδοση του υπολογιστή σας.
• Πατήστε OK όταν τελειώσετε.
• Στη συνέχεια, επαναλάβετε τα ίδια βήματα που μόλις περάσατε στην καρτέλα "Ιδιωτικό προφίλ", μόνο αυτή τη φορά στην καρτέλα "Δημόσιο προφίλ".
  • Τώρα θα δημιουργηθούν αρχεία καταγραφής τόσο για δημόσιες όσο και για ιδιωτικές συνδέσεις. Μπορείτε να προβάλετε τα αρχεία σε ένα πρόγραμμα επεξεργασίας κειμένου όπως το Σημειωματάριο^(Notepad) ή να τα εισαγάγετε σε ένα υπολογιστικό φύλλο.
  • Τώρα μπορείτε να εξάγετε τα αρχεία των αρχείων καταγραφής σε ένα πρόγραμμα ανάλυσης βάσης δεδομένων όπως το IP Traffic Spy για να φιλτράρετε και να ταξινομήσετε την κυκλοφορία για εύκολη αναγνώριση.

Έχετε το νου σας για οτιδήποτε ασυνήθιστο στα αρχεία καταγραφής. Ακόμη και το παραμικρό σφάλμα συστήματος μπορεί να υποδεικνύει μόλυνση του rootkit. Κάτι ανάλογο με την υπερβολική χρήση της CPU ή του εύρους ζώνης όταν δεν εκτελείτε τίποτα πολύ απαιτητικό ή καθόλου, μπορεί να είναι μια σημαντική ένδειξη.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are used by hackеrs to hide persistent, seemingly undetectable malware within yoυr device that will ѕilently steal data or rеsources, sometimes over the course of mυltiple yеars. They can also be used in keylоgger fashion where yoυr keystrokeѕ and communiсations are surveilled providing the onlooker with privacy іnformation.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Κατεβάστε Οδηγούς Windows 10 για αρχάριους από τη Microsoft

• Πώς να χρησιμοποιήσετε τον υπολογιστή με Windows 10 - Βασικές οδηγίες και συμβουλές για αρχάριους

• Κατεβάστε τον Οδηγό μελανιού των Windows για Windows 10 από τη Microsoft

• Κατεβάστε Οδηγούς Windows 10 για αρχάριους από τη Microsoft

• Οδηγός αναφοράς ρυθμίσεων πολιτικής ομάδας για Windows 10

• Σφάλμα Αναγνωριστικού συμβάντος 158 - Εκχώρηση πανομοιότυπων GUID δίσκου στα Windows 10

• Παρακολουθήστε ψηφιακή τηλεόραση και ακούστε ραδιόφωνο στα Windows 10 με το ProgDVB

• Τι είναι το πακέτο ενεργοποίησης στα Windows 10

• Οδηγός για τη Διαχείριση εργασιών των Windows 10 – Μέρος II

• Ενεργοποιήστε το Enhanced Anti-Spoofing στα Windows 10 Hello Face Authentication

• Οδηγός αντιμετώπισης προβλημάτων Blue Screen of Death για Windows 10

• Ένας πλήρης οδηγός για τις ρυθμίσεις του ποντικιού στα Windows 10

• Οδηγός βήμα προς βήμα για την εγκατάσταση του FFmpeg στα Windows 10

• Συντομεύσεις πληκτρολογίου Windows 10: Ο απόλυτος οδηγός

• Πώς να απενεργοποιήσετε τα Safeguards για ενημερώσεις δυνατοτήτων στα Windows 10

• Δεν είναι δυνατή η σύνδεση στο Xbox Live. Διορθώστε το πρόβλημα του Xbox Live Networking στα Windows 10

• Οδηγός απόλυτης αντιμετώπισης προβλημάτων για τα Windows 10 που δεν πρόκειται να κοιμηθούν

• Το Ashampoo WinOptimizer είναι ένα δωρεάν λογισμικό για τη βελτιστοποίηση των Windows 10

• Πώς να χρησιμοποιήσετε το Performance Monitor στα Windows 10 (Λεπτομερής ΟΔΗΓΟΣ)

• Απενεργοποίηση της οθόνης αφής στα Windows 10 [ΟΔΗΓΟΣ]