উইন্ডোজ 10-এ রুটকিটস কীভাবে সনাক্ত করতে হয় (ইন-গভীরতা গাইড)

---

রুটকিটগুলি হ্যাকাররা আপনার ডিভাইসের মধ্যে অবিচ্ছিন্ন, আপাতদৃষ্টিতে অন্বেষণযোগ্য ম্যালওয়্যার লুকানোর জন্য ব্যবহার করে যা নিঃশব্দে ডেটা বা সংস্থানগুলি চুরি করবে, কখনও কখনও একাধিক বছর ধরে। এগুলি কীলগার ফ্যাশনেও ব্যবহার করা যেতে পারে যেখানে আপনার কীস্ট্রোক এবং যোগাযোগগুলি নজরদারিদের গোপনীয়তার তথ্য সরবরাহ করে জরিপ করা হয়।

মাইক্রোসফ্ট ভিস্তার আগে সমস্ত কম্পিউটার ড্রাইভারকে ডিজিটাল স্বাক্ষর করতে মাইক্রোসফ্ট ভিস্তার আগে এই হ্যাকিং পদ্ধতিটি আরও প্রাসঙ্গিকতা দেখেছিল। কার্নেল প্যাচ সুরক্ষা (কেপিপি) ম্যালওয়ার লেখকদের তাদের আক্রমণ পদ্ধতি পরিবর্তন করেছিল এবং সম্প্রতি ২০১৩ সালের দিকে জ্যাকিন্লো বিজ্ঞাপন জালিয়াতি অপারেশন দিয়ে রুটকিটস আবার স্পটলাইটে প্রবেশ করেছিল<ডি ক্লাস = "অলস wp-block-image "><চিত্র শ্রেণি =" অলস অ্যালিজেন্সেন্টার ">

2006-এর পূর্ব-ডেটিং-র সমস্ত কিছুই বিশেষত অপারেটিং সিস্টেম ভিত্তিক ছিল। জ্যাকিনলো পরিস্থিতি, ডেটেরের ম্যালওয়্যার পরিবারের একটি রুটকিট, ফার্মওয়্যার ভিত্তিক রুটকিট আকারে আমাদের আরও বিপজ্জনক কিছু দিয়েছে। নির্বিশেষে, রুটকিটগুলি বার্ষিকভাবে দেখা সমস্ত ম্যালওয়ার আউটপুটগুলির মধ্যে কেবল এক শতাংশ।

তবুও, তারা যে বিপদ ডেকে আনতে পারে তার কারণে, আপনার সিস্টেমে ইতিমধ্যে অনুপ্রবেশকারী রুটকিটগুলি সনাক্ত করা কীভাবে তা সনাক্ত করা বুদ্ধিমানের কাজ হবে

উইন্ডোজ 10-এ রুটকিটস সনাক্তকরণ (ইন ইন) -ডেপথ)

<ডি ক্লাস = "অলস WP-block-image"><চিত্র শ্রেণি = "অলস অ্যালিজেন্সেন্টার">

জ্যাকিনলো ছিল উইন্ডোজ 10 প্ল্যাটফর্মকে লক্ষ্য করে আবিষ্কার করার আগে বাস্তবে প্রায় ছয় বছর ধরে খেলা হয়েছে। রুটকিট উপাদানটি অত্যন্ত কার্যকারী এবং এটি তার কার্যকারিতার পক্ষে বিপজ্জনক বলে মনে হওয়া প্রক্রিয়া থেকে নিজেকে সুরক্ষিত করেছিল এবং এসএসএল যোগাযোগগুলিকে বাধা এবং ডিক্রিপ্ট করতে সক্ষম ছিল

এটি উইন্ডোজ রেজিস্ট্রি এবং এর সমস্ত কনফিগারেশন ডেটা এনক্রিপ্ট করে এবং সংরক্ষণ করে, উইন্ডোজ যখন শাট ডাউন করছিল তখন মেমরি থেকে আলাদা নাম ব্যবহার করে ডিস্কে আবার লিখুন এবং এর রেজিস্ট্রি কী আপডেট করুন। এটি আপনার স্ট্যান্ডার্ড অ্যান্টিভাইরাস সফ্টওয়্যার দ্বারা সনাক্তকরণ এড়াতে সহায়তা করেছেইন_ কনটেন্ট_1 সমস্ত: [300x250] / dfp: [640x360]->

<স্ক্রিপ্ট টাইপ = "পাঠ্য / জাভাস্ক্রিপ্ট"> googletag.cmd.push (ফাংশন () {googletag.display ('snhb-In_content_1-0');});

এটি দেখায় যে একটি মানক অ্যান্টিভাইরাস বা অ্যান্টিমালওয়্যার সফটওয়্যার রুটকিটগুলি সনাক্ত করার জন্য যথেষ্ট নয়। যদিও, কয়েকটি শীর্ষ স্তরের অ্যান্টিমালওয়্যার প্রোগ্রাম রয়েছে যা আপনাকে রুটকিট আক্রমণ সম্পর্কিত সন্দেহ থেকে সতর্ক করবে।

একটি ভাল অ্যান্টিভাইরাস সফ্টওয়্যারের 5 টি মূল বৈশিষ্ট্য

<ডি ক্লাস = "অলস WP-block-image"><চিত্র শ্রেণি = "অলস অ্যালিজেন্স্টার">

বিশিষ্ট অ্যান্টিভাইরাস প্রোগ্রামগুলির বেশিরভাগই আজ রুটকিট সনাক্তকরণের জন্য এই পাঁচটি উল্লেখযোগ্য পদ্ধতি ব্যবহার করবে

স্বাক্ষর-ভিত্তিক বিশ্লেষণ- অ্যান্টিভাইরাস সফ্টওয়্যার লগ করা ফাইলগুলি রুটকিটের স্বাক্ষরের সাথে তুলনা করবে। বিশ্লেষণটি এমন আচরণগত নিদর্শনগুলির সন্ধান করবে যা পরিচিত রুটকিটগুলির নির্দিষ্ট অপারেটিং ক্রিয়াকলাপগুলি যেমন আগ্রাসী বন্দরের ব্যবহারের নকল করে for

ইন্টারসেপশন সনাক্তকরণ- উইন্ডোজ অপারেটিং সিস্টেম কমান্ডগুলি চালনার জন্য পয়েন্টার সারণী নিয়োগ করে যা রুটকিটকে কাজ করার অনুরোধ জানায়। যেহেতু রুটকিটস হুমকি হিসাবে বিবেচিত কোনও কিছু প্রতিস্থাপন বা সংশোধন করার চেষ্টা করছে, এটি আপনার সিস্টেমকে তাদের উপস্থিতিতে সরিয়ে ফেলবে

বহু উত্সের ডেটা তুলনা- রুটকিটস, লুকিয়ে থাকার প্রয়াসে , একটি স্ট্যান্ডার্ড পরীক্ষায় উপস্থাপিত কিছু ডেটা পরিবর্তন করতে পারে। উচ্চ এবং নিম্ন-স্তরের সিস্টেম কলের ফিরে আসা ফলাফলগুলি কোনও রুটকিটের উপস্থিতি দিতে পারে। সফ্টওয়্যারটি হার্ড ডিস্কে থাকা ফাইলের সামগ্রীর সাথে র‌্যামে লোড হওয়া প্রক্রিয়া মেমরিটিকেও তুলনা করতে পারে

সততা পরীক্ষা করুন- প্রতিটি সিস্টেমের লাইব্রেরিতে একটি ডিজিটাল স্বাক্ষর রয়েছে যা তৈরি করা হয়েছে সেই সময়ে সিস্টেমটিকে "পরিষ্কার" হিসাবে বিবেচনা করা হত। ডিজিটাল স্বাক্ষর তৈরি করতে ব্যবহৃত কোডের যে কোনও পরিবর্তনের জন্য ভাল সুরক্ষা সফ্টওয়্যার লাইব্রেরিগুলি পরীক্ষা করতে পারে

রেজিস্ট্রি তুলনা- বেশিরভাগ অ্যান্টিভাইরাস সফ্টওয়্যার প্রোগ্রামগুলি পূর্ব নির্ধারিত সময়সূচীতে থাকে। ক্লায়েন্টের অপ্রকাশিত এক্সিকিউটেবল (.exe) রয়েছে কিনা তা নির্ধারণ করার জন্য একটি ক্লিন ফাইলের সাথে রিয়েল-টাইমের সাথে তুলনা করা হবে

পারফর্মিং রুটকিট স্ক্যান

<ডি ক্লাস = "অলস WP-block-image"><চিত্র শ্রেণি = "অলস অ্যালিজেন্সেন্টার">

একটি পারফর্ম করা রুটকিট সংক্রমণ সনাক্ত করার জন্য রুটকিট স্ক্যান সেরা প্রচেষ্টা। প্রায়শই আপনার অপারেটিং সিস্টেমের নিজস্ব কোনও রুটকিট সনাক্ত করতে বিশ্বাস করা যায় না এবং এর উপস্থিতি নির্ধারণের জন্য একটি চ্যালেঞ্জ উপস্থাপন করে। রুটকিট হ'ল মাস্টার স্পাইস, প্রায় প্রতিটি মোড়েই তাদের ট্র্যাকগুলি coveringেকে রাখে এবং সরল দৃষ্টিতে লুকিয়ে থাকতে সক্ষম।

আপনি যদি সন্দেহ করেন যে আপনার মেশিনে রুটকিট ভাইরাসের আক্রমণ সংঘটিত হয়েছে, তবে সনাক্ত করার জন্য একটি ভাল কৌশল হ'ল কম্পিউটারটি পাওয়ার করুন এবং একটি পরিচিত ক্লিন সিস্টেম থেকে স্ক্যান চালান। আপনার মেশিনের মধ্যে একটি রুটকিট সনাক্ত করার একটি নিশ্চিত উপায় মেমরি ডাম্প বিশ্লেষণের মাধ্যমে। কোনও রুটকিট আপনার সিস্টেমে যে নির্দেশনা দেয় তা মেশিনের স্মৃতিতে চালিত করতে পারে না

ম্যালওয়ার বিশ্লেষণের জন্য WinDbg ব্যবহার করা

মাইক্রোসফ্ট উইন্ডোজ তার নিজস্ব মাল্টি-ফাংশন ডিবাগিং সরঞ্জাম সরবরাহ করেছে যা সঞ্চালনের জন্য ব্যবহার করা যেতে পারে অ্যাপ্লিকেশন, ড্রাইভার বা অপারেটিং সিস্টেম নিজেই ডিবাগিং স্ক্যান। এটি কার্নেল-মোড এবং ব্যবহারকারী-মোড কোড ডিবাগ করবে, ক্র্যাশ ডাম্পগুলি বিশ্লেষণ করতে এবং সিপিইউ নিবন্ধগুলি পরীক্ষা করতে সহায়তা করবে

কিছু উইন্ডোজ সিস্টেম ইতিমধ্যে WinDbg বান্ডেলযুক্ত আসবে Those এটি মাইক্রোসফ্ট স্টোর থেকে ডাউনলোড করতে হবে। WinDbg পূর্বরূপ হ'ল উইনডিবিজি-র আরও আধুনিক সংস্করণ যা চোখের দৃষ্টি, দ্রুত উইন্ডোজ, সম্পূর্ণ স্ক্রিপ্টিং এবং একই কমান্ড, এক্সটেনশান এবং মূল হিসাবে ওয়ার্কফ্লোগুলিতে সহজ সরবরাহ করে At

এ ন্যূনতম সর্বনিম্ন, আপনি উইনিডবিজি ব্যবহার করতে পারেন একটি ব্লু স্ক্রিন অফ ডেথ (বিএসওডি) সহ একটি মেমরি বা ক্র্যাশ ডাম্প বিশ্লেষণ করতে। ফলাফলগুলি থেকে, আপনি একটি ম্যালওয়ার আক্রমণটির সূচকগুলি সন্ধান করতে পারেন আপনি যদি মনে করেন যে আপনার কোনও প্রোগ্রাম ম্যালওয়্যারের উপস্থিতিতে বাধা সৃষ্টি হতে পারে বা প্রয়োজনের তুলনায় আরও বেশি মেমরি ব্যবহার করছে তবে আপনি তৈরি করতে পারেন একটি ডাম্প ফাইল এবং এটি বিশ্লেষণে সহায়তা করতে WinDbg ব্যবহার করুন

একটি সম্পূর্ণ মেমোরি ডাম্প উল্লেখযোগ্য ডিস্কের স্থান নিতে পারে তাই এর পরিবর্তে কার্নেল-মোডডাম্প বা ছোট মেমোরি ডাম্প করা ভাল। কার্নেল-মোড ডাম্পে ক্র্যাশ হওয়ার সময় কার্নেলের দ্বারা সমস্ত মেমরি ব্যবহারের তথ্য থাকবে। একটি ছোট মেমোরি ডাম্পে ড্রাইভার, কার্নেল, এবং আরও অনেকের মতো বিভিন্ন সিস্টেমে প্রাথমিক তথ্য থাকবে তবে তুলনায় এটি খুব সামান্য।

বিএসওড কেন ঘটেছে তা বিশ্লেষণে ছোট মেমোরি ডাম্পগুলি আরও দরকারী। রুটকিটগুলি সনাক্ত করার জন্য, একটি সম্পূর্ণ বা কার্নেল সংস্করণ আরও সহায়ক হবে

একটি কার্নেল-মোড ডাম্প ফাইল তৈরি করা

<চিত্র শ্রেণি =" অলস অ্যালিজেন্সেন্টার ">

একটি কার্নেল-মোড ডাম্প ফাইল তিনটি উপায়ে তৈরি করা যেতে পারে:

আমরা তিন নম্বর পছন্দ নিয়ে যাব।

প্রয়োজনীয় ডাম্প ফাইলটি সম্পাদন করতে, আপনাকে কেবল WinDbg এর কমান্ড উইন্ডোতে নিম্নলিখিত কমান্ডটি প্রবেশ করতে হবে

<চিত্র শ্রেণি = "অলস অ্যালিজেন্সেন্টার">

ডাম্প ফাইলের জন্য উপযুক্ত নামের সাথে ফাইলের নামএবং একটি "?" দিয়ে প্রতিস্থাপন করুন >চ করুন। "F" লোয়ারকেস কিনা তা নিশ্চিত করুন বা অন্যথায় আপনি আলাদা ধরণের ডাম্প ফাইল তৈরি করবেন

একবার ডিবাগারটি তার কোর্সটি চালানোর পরে (প্রথম স্ক্যানটি বেশ কয়েক মিনিট সময় নেয়), একটি ডাম্প ফাইল তৈরি করা হয়েছে এবং আপনি আপনার অনুসন্ধানগুলি বিশ্লেষণ করতে সক্ষম হবেন

রুটকিটের উপস্থিতি নির্ধারণ করতে আপনার কী খুঁজছেন যেমন ভোল্টাইল মেমোরি (র‌্যাম) ব্যবহার বুঝতে এবং পরীক্ষা করা দরকার। কোনও জীবিত সিস্টেমে ম্যালওয়্যার আবিষ্কারের কৌশলগুলি পরীক্ষা করার জন্য কোনও নবজাতকের জন্য প্রস্তাবিত না হলেও এটি সম্ভব is এটি করার জন্য পুনরায় উইনডিবিজি-র কাজ করার বিষয়ে দক্ষতা এবং গভীর জ্ঞান গ্রহণ করা হবে যাতে আপনার সিস্টেমে দুর্ঘটনাক্রমে কোনও লাইভ ভাইরাস স্থাপন করা না যায়

আমাদের ভাল উদ্ঘাটন করার আরও নিরাপদ, আরও প্রাথমিক-বান্ধব উপায় রয়েছে লুকানো শত্রু।

অতিরিক্ত স্ক্যান করার পদ্ধতি

ম্যানুয়াল সনাক্তকরণ এবং আচরণগত বিশ্লেষণও রুটকিটগুলি সনাক্ত করার জন্য নির্ভরযোগ্য পদ্ধতি। রুটকিটের অবস্থান আবিষ্কার করার চেষ্টা করা একটি বড় ব্যথা হতে পারে তাই রুটকিট নিজেই টার্গেট না করে আপনি রুটকিটের মতো আচরণের সন্ধান করতে পারেন

আপনি ডাউনলোড সফ্টওয়্যার বান্ডিলগুলিতে রুটকিটগুলি সন্ধান করতে পারেন ইনস্টলেশন চলাকালীন উন্নত বা কাস্টম ইনস্টল অপশন। আপনার যা দেখার দরকার তা হ'ল বিশদে তালিকাভুক্ত কোনও অপরিচিত ফাইল। এই ফাইলগুলি ফেলে দেওয়া উচিত, বা দূষিত সফ্টওয়্যার সম্পর্কিত যে কোনও রেফারেন্সের জন্য আপনি অনলাইনে দ্রুত অনুসন্ধান করতে পারেন

ফায়ারওয়ালস এবং তাদের লগিং রিপোর্টগুলি একটি রুটকিট আবিষ্কারের জন্য অবিশ্বাস্যভাবে কার্যকর উপায়। আপনার নেটওয়ার্কটি যদি তদন্তের অধীনে থাকে তবে সফ্টওয়্যারটি আপনাকে অবহিত করবে এবং ইনস্টলেশনের পূর্বে কোনও অজানা বা সন্দেহজনক ডাউনলোডগুলি পৃথক করা উচিত। ?

আপনি যদি সন্দেহ করেন যে কোনও রুটকিট ইতিমধ্যে আপনার মেশিনে রয়েছে, আপনি ফায়ারওয়াল লগিং রিপোর্টগুলিতে ডুব দিতে পারেন এবং সাধারণ আচরণের বাইরে কোনও খোঁজ নিতে পারেন

ফায়ারওয়াল লগিং রিপোর্টগুলি পর্যালোচনা

<ডি ক্লাস = "অলস ডাব্লুপি-ব্লক-চিত্র"><চিত্র শ্রেণি = "অলস অ্যালিজেন্স্টার">

আপনি পাবেন আপনার বর্তমান ফায়ারওয়াল লগিং প্রতিবেদনগুলি পর্যালোচনা করতে চান, ফায়ারওয়াল লগ ফিল্টারিংয়ের ক্ষমতা, খুব দরকারী একটি সরঞ্জাম সহ আইপি ট্র্যাফিক স্পাইএর মতো একটি ওপেন-সোর্স অ্যাপ্লিকেশন তৈরি করতে চান। আক্রমণগুলি হওয়া উচিত কিনা তা দেখার জন্য প্রতিবেদনগুলি আপনাকে দেখাবে।

আপনার যদি একটি স্ট্যান্ডসোন অ্যাড্রেস ফিল্টারিং ফায়ারওয়াল সহ একটি বৃহত নেটওয়ার্ক থাকে তবে আইপি ট্র্যাফিক স্পাইয়ের প্রয়োজন হবে না। পরিবর্তে, আপনার ফায়ারওয়াল লগের মাধ্যমে নেটওয়ার্কের সমস্ত ডিভাইস এবং ওয়ার্কস্টেশনগুলিতে ইনবাউন্ড এবং আউটবাউন্ড প্যাকেটগুলি দেখতে পারা উচিত

আপনি কোনও বাড়িতে বা ছোট ব্যবসায়িক সেটিংয়েই থাকুন না কেন আপনি মডেমটি ব্যবহার করতে পারেন আপনার আইএসপি সরবরাহ করে বা, যদি আপনার নিজস্ব মালিকানা থাকে তবে ফায়ারওয়াল লগগুলি টানতে একটি ব্যক্তিগত ফায়ারওয়াল বা রাউটার। আপনি একই নেটওয়ার্কে সংযুক্ত প্রতিটি ডিভাইসের ট্র্যাফিক সনাক্ত করতে সক্ষম হবেন।

উইন্ডোজ ফায়ারওয়াল লগ ফাইলগুলি সক্ষম করাও উপকারী হতে পারে। ডিফল্টরূপে লগ ফাইলটি অক্ষম করা হয় যার অর্থ কোনও তথ্য বা ডেটা লেখা হয় না

নতুন ডায়ালগ উইন্ডোতে, "ব্যক্তিগত প্রোফাইল" ট্যাবে নেভিগেট করুন এবং কাস্টমাইজনির্বাচন করুন, যা পারে "লগিং" বিভাগে পাওয়া যাবে

<চিত্র শ্রেণি = "অলস অ্যালিজেন্স্টার">

<চিত্র শ্রেণি = "অলস অ্যালিজেন্সেন্টার">

লগ ফাইলগুলিতে কোনও কিছুর বাইরে নজর রাখুন। এমনকি সামান্যতম সিস্টেমের ত্রুটি কোনও রুটকিট সংক্রমণকে নির্দেশ করতে পারে। অতিরিক্ত সিপিইউ বা ব্যান্ডউইথ ব্যবহারের রেখার পাশে কিছু যখন আপনি খুব বেশি চাহিদাযুক্ত না চালাচ্ছেন বা মোটেও একটি বড় সূত্র হতে পারে

কারাতে gymnique 2019

সম্পর্কিত পোস্ট:

20.12.2019