উইন্ডোজ 10-এ রুটকিটস কীভাবে সনাক্ত করতে হয় (ইন-গভীরতা গাইড)
রুটকিটগুলি হ্যাকাররা আপনার ডিভাইসের মধ্যে অবিচ্ছিন্ন, আপাতদৃষ্টিতে অন্বেষণযোগ্য ম্যালওয়্যার লুকানোর জন্য ব্যবহার করে যা নিঃশব্দে ডেটা বা সংস্থানগুলি চুরি করবে, কখনও কখনও একাধিক বছর ধরে। এগুলি কীলগার ফ্যাশনেও ব্যবহার করা যেতে পারে যেখানে আপনার কীস্ট্রোক এবং যোগাযোগগুলি নজরদারিদের গোপনীয়তার তথ্য সরবরাহ করে জরিপ করা হয়।
মাইক্রোসফ্ট ভিস্তার আগে সমস্ত কম্পিউটার ড্রাইভারকে ডিজিটাল স্বাক্ষর করতে মাইক্রোসফ্ট ভিস্তার আগে এই হ্যাকিং পদ্ধতিটি আরও প্রাসঙ্গিকতা দেখেছিল। কার্নেল প্যাচ সুরক্ষা (কেপিপি) ম্যালওয়ার লেখকদের তাদের আক্রমণ পদ্ধতি পরিবর্তন করেছিল এবং সম্প্রতি ২০১৩ সালের দিকে জ্যাকিন্লো বিজ্ঞাপন জালিয়াতি অপারেশন দিয়ে রুটকিটস আবার স্পটলাইটে প্রবেশ করেছিল
2006-এর পূর্ব-ডেটিং-র সমস্ত কিছুই বিশেষত অপারেটিং সিস্টেম ভিত্তিক ছিল। জ্যাকিনলো পরিস্থিতি, ডেটেরের ম্যালওয়্যার পরিবারের একটি রুটকিট, ফার্মওয়্যার ভিত্তিক রুটকিট আকারে আমাদের আরও বিপজ্জনক কিছু দিয়েছে। নির্বিশেষে, রুটকিটগুলি বার্ষিকভাবে দেখা সমস্ত ম্যালওয়ার আউটপুটগুলির মধ্যে কেবল এক শতাংশ।
তবুও, তারা যে বিপদ ডেকে আনতে পারে তার কারণে, আপনার সিস্টেমে ইতিমধ্যে অনুপ্রবেশকারী রুটকিটগুলি সনাক্ত করা কীভাবে তা সনাক্ত করা বুদ্ধিমানের কাজ হবে
জ্যাকিনলো ছিল উইন্ডোজ 10 প্ল্যাটফর্মকে লক্ষ্য করে আবিষ্কার করার আগে বাস্তবে প্রায় ছয় বছর ধরে খেলা হয়েছে। রুটকিট উপাদানটি অত্যন্ত কার্যকারী এবং এটি তার কার্যকারিতার পক্ষে বিপজ্জনক বলে মনে হওয়া প্রক্রিয়া থেকে নিজেকে সুরক্ষিত করেছিল এবং এসএসএল যোগাযোগগুলিকে বাধা এবং ডিক্রিপ্ট করতে সক্ষম ছিল
এটি উইন্ডোজ রেজিস্ট্রি এবং এর সমস্ত কনফিগারেশন ডেটা এনক্রিপ্ট করে এবং সংরক্ষণ করে, উইন্ডোজ যখন শাট ডাউন করছিল তখন মেমরি থেকে আলাদা নাম ব্যবহার করে ডিস্কে আবার লিখুন এবং এর রেজিস্ট্রি কী আপডেট করুন। এটি আপনার স্ট্যান্ডার্ড অ্যান্টিভাইরাস সফ্টওয়্যার দ্বারা সনাক্তকরণ এড়াতে সহায়তা করেছে
এটি দেখায় যে একটি মানক অ্যান্টিভাইরাস বা অ্যান্টিমালওয়্যার সফটওয়্যার রুটকিটগুলি সনাক্ত করার জন্য যথেষ্ট নয়। যদিও, কয়েকটি শীর্ষ স্তরের অ্যান্টিমালওয়্যার প্রোগ্রাম রয়েছে যা আপনাকে রুটকিট আক্রমণ সম্পর্কিত সন্দেহ থেকে সতর্ক করবে।
একটি ভাল অ্যান্টিভাইরাস সফ্টওয়্যারের 5 টি মূল বৈশিষ্ট্য
বিশিষ্ট অ্যান্টিভাইরাস প্রোগ্রামগুলির বেশিরভাগই আজ রুটকিট সনাক্তকরণের জন্য এই পাঁচটি উল্লেখযোগ্য পদ্ধতি ব্যবহার করবে
স্বাক্ষর-ভিত্তিক বিশ্লেষণ- অ্যান্টিভাইরাস সফ্টওয়্যার লগ করা ফাইলগুলি রুটকিটের স্বাক্ষরের সাথে তুলনা করবে। বিশ্লেষণটি এমন আচরণগত নিদর্শনগুলির সন্ধান করবে যা পরিচিত রুটকিটগুলির নির্দিষ্ট অপারেটিং ক্রিয়াকলাপগুলি যেমন আগ্রাসী বন্দরের ব্যবহারের নকল করে for
ইন্টারসেপশন সনাক্তকরণ- উইন্ডোজ অপারেটিং সিস্টেম কমান্ডগুলি চালনার জন্য পয়েন্টার সারণী নিয়োগ করে যা রুটকিটকে কাজ করার অনুরোধ জানায়। যেহেতু রুটকিটস হুমকি হিসাবে বিবেচিত কোনও কিছু প্রতিস্থাপন বা সংশোধন করার চেষ্টা করছে, এটি আপনার সিস্টেমকে তাদের উপস্থিতিতে সরিয়ে ফেলবে
বহু উত্সের ডেটা তুলনা- রুটকিটস, লুকিয়ে থাকার প্রয়াসে , একটি স্ট্যান্ডার্ড পরীক্ষায় উপস্থাপিত কিছু ডেটা পরিবর্তন করতে পারে। উচ্চ এবং নিম্ন-স্তরের সিস্টেম কলের ফিরে আসা ফলাফলগুলি কোনও রুটকিটের উপস্থিতি দিতে পারে। সফ্টওয়্যারটি হার্ড ডিস্কে থাকা ফাইলের সামগ্রীর সাথে র্যামে লোড হওয়া প্রক্রিয়া মেমরিটিকেও তুলনা করতে পারে
সততা পরীক্ষা করুন- প্রতিটি সিস্টেমের লাইব্রেরিতে একটি ডিজিটাল স্বাক্ষর রয়েছে যা তৈরি করা হয়েছে সেই সময়ে সিস্টেমটিকে "পরিষ্কার" হিসাবে বিবেচনা করা হত। ডিজিটাল স্বাক্ষর তৈরি করতে ব্যবহৃত কোডের যে কোনও পরিবর্তনের জন্য ভাল সুরক্ষা সফ্টওয়্যার লাইব্রেরিগুলি পরীক্ষা করতে পারে
রেজিস্ট্রি তুলনা- বেশিরভাগ অ্যান্টিভাইরাস সফ্টওয়্যার প্রোগ্রামগুলি পূর্ব নির্ধারিত সময়সূচীতে থাকে। ক্লায়েন্টের অপ্রকাশিত এক্সিকিউটেবল (.exe) রয়েছে কিনা তা নির্ধারণ করার জন্য একটি ক্লিন ফাইলের সাথে রিয়েল-টাইমের সাথে তুলনা করা হবে
একটি পারফর্ম করা রুটকিট সংক্রমণ সনাক্ত করার জন্য রুটকিট স্ক্যান সেরা প্রচেষ্টা। প্রায়শই আপনার অপারেটিং সিস্টেমের নিজস্ব কোনও রুটকিট সনাক্ত করতে বিশ্বাস করা যায় না এবং এর উপস্থিতি নির্ধারণের জন্য একটি চ্যালেঞ্জ উপস্থাপন করে। রুটকিট হ'ল মাস্টার স্পাইস, প্রায় প্রতিটি মোড়েই তাদের ট্র্যাকগুলি coveringেকে রাখে এবং সরল দৃষ্টিতে লুকিয়ে থাকতে সক্ষম।
আপনি যদি সন্দেহ করেন যে আপনার মেশিনে রুটকিট ভাইরাসের আক্রমণ সংঘটিত হয়েছে, তবে সনাক্ত করার জন্য একটি ভাল কৌশল হ'ল কম্পিউটারটি পাওয়ার করুন এবং একটি পরিচিত ক্লিন সিস্টেম থেকে স্ক্যান চালান। আপনার মেশিনের মধ্যে একটি রুটকিট সনাক্ত করার একটি নিশ্চিত উপায় মেমরি ডাম্প বিশ্লেষণের মাধ্যমে। কোনও রুটকিট আপনার সিস্টেমে যে নির্দেশনা দেয় তা মেশিনের স্মৃতিতে চালিত করতে পারে না
মাইক্রোসফ্ট উইন্ডোজ তার নিজস্ব মাল্টি-ফাংশন ডিবাগিং সরঞ্জাম সরবরাহ করেছে যা সঞ্চালনের জন্য ব্যবহার করা যেতে পারে অ্যাপ্লিকেশন, ড্রাইভার বা অপারেটিং সিস্টেম নিজেই ডিবাগিং স্ক্যান। এটি কার্নেল-মোড এবং ব্যবহারকারী-মোড কোড ডিবাগ করবে, ক্র্যাশ ডাম্পগুলি বিশ্লেষণ করতে এবং সিপিইউ নিবন্ধগুলি পরীক্ষা করতে সহায়তা করবে
কিছু উইন্ডোজ সিস্টেম ইতিমধ্যে WinDbg বান্ডেলযুক্ত আসবে Those এটি মাইক্রোসফ্ট স্টোর থেকে ডাউনলোড করতে হবে। WinDbg পূর্বরূপ হ'ল উইনডিবিজি-র আরও আধুনিক সংস্করণ যা চোখের দৃষ্টি, দ্রুত উইন্ডোজ, সম্পূর্ণ স্ক্রিপ্টিং এবং একই কমান্ড, এক্সটেনশান এবং মূল হিসাবে ওয়ার্কফ্লোগুলিতে সহজ সরবরাহ করে At
এ ন্যূনতম সর্বনিম্ন, আপনি উইনিডবিজি ব্যবহার করতে পারেন একটি ব্লু স্ক্রিন অফ ডেথ (বিএসওডি) সহ একটি মেমরি বা ক্র্যাশ ডাম্প বিশ্লেষণ করতে। ফলাফলগুলি থেকে, আপনি একটি ম্যালওয়ার আক্রমণটির সূচকগুলি সন্ধান করতে পারেন আপনি যদি মনে করেন যে আপনার কোনও প্রোগ্রাম ম্যালওয়্যারের উপস্থিতিতে বাধা সৃষ্টি হতে পারে বা প্রয়োজনের তুলনায় আরও বেশি মেমরি ব্যবহার করছে তবে আপনি তৈরি করতে পারেন একটি ডাম্প ফাইল এবং এটি বিশ্লেষণে সহায়তা করতে WinDbg ব্যবহার করুন
একটি সম্পূর্ণ মেমোরি ডাম্প উল্লেখযোগ্য ডিস্কের স্থান নিতে পারে তাই এর পরিবর্তে কার্নেল-মোডডাম্প বা ছোট মেমোরি ডাম্প করা ভাল। কার্নেল-মোড ডাম্পে ক্র্যাশ হওয়ার সময় কার্নেলের দ্বারা সমস্ত মেমরি ব্যবহারের তথ্য থাকবে। একটি ছোট মেমোরি ডাম্পে ড্রাইভার, কার্নেল, এবং আরও অনেকের মতো বিভিন্ন সিস্টেমে প্রাথমিক তথ্য থাকবে তবে তুলনায় এটি খুব সামান্য।
বিএসওড কেন ঘটেছে তা বিশ্লেষণে ছোট মেমোরি ডাম্পগুলি আরও দরকারী। রুটকিটগুলি সনাক্ত করার জন্য, একটি সম্পূর্ণ বা কার্নেল সংস্করণ আরও সহায়ক হবে
একটি কার্নেল-মোড ডাম্প ফাইল তৈরি করা
<চিত্র শ্রেণি =" অলস অ্যালিজেন্সেন্টার ">
একটি কার্নেল-মোড ডাম্প ফাইল তিনটি উপায়ে তৈরি করা যেতে পারে:
সিস্টেমটি নিজেরাই ক্রাশ হতে দিতে নিয়ন্ত্রণ প্যানেল থেকে ডাম্প ফাইল সক্ষম করুন
সিস্টেমটি ক্র্যাশ করতে বাধ্য করতে কন্ট্রোল প্যানেল থেকে ডাম্প ফাইল সক্ষম করুন
একটি ডিবাগার সরঞ্জাম ব্যবহার করুন আপনার জন্য একটি তৈরি করতে
আমরা তিন নম্বর পছন্দ নিয়ে যাব।
প্রয়োজনীয় ডাম্প ফাইলটি সম্পাদন করতে, আপনাকে কেবল WinDbg এর কমান্ড উইন্ডোতে নিম্নলিখিত কমান্ডটি প্রবেশ করতে হবে
<চিত্র শ্রেণি = "অলস অ্যালিজেন্সেন্টার">
ডাম্প ফাইলের জন্য উপযুক্ত নামের সাথে ফাইলের নামএবং একটি "?" দিয়ে প্রতিস্থাপন করুন >চ করুন। "F" লোয়ারকেস কিনা তা নিশ্চিত করুন বা অন্যথায় আপনি আলাদা ধরণের ডাম্প ফাইল তৈরি করবেন
একবার ডিবাগারটি তার কোর্সটি চালানোর পরে (প্রথম স্ক্যানটি বেশ কয়েক মিনিট সময় নেয়), একটি ডাম্প ফাইল তৈরি করা হয়েছে এবং আপনি আপনার অনুসন্ধানগুলি বিশ্লেষণ করতে সক্ষম হবেন
রুটকিটের উপস্থিতি নির্ধারণ করতে আপনার কী খুঁজছেন যেমন ভোল্টাইল মেমোরি (র্যাম) ব্যবহার বুঝতে এবং পরীক্ষা করা দরকার। কোনও জীবিত সিস্টেমে ম্যালওয়্যার আবিষ্কারের কৌশলগুলি পরীক্ষা করার জন্য কোনও নবজাতকের জন্য প্রস্তাবিত না হলেও এটি সম্ভব is এটি করার জন্য পুনরায় উইনডিবিজি-র কাজ করার বিষয়ে দক্ষতা এবং গভীর জ্ঞান গ্রহণ করা হবে যাতে আপনার সিস্টেমে দুর্ঘটনাক্রমে কোনও লাইভ ভাইরাস স্থাপন করা না যায়
আমাদের ভাল উদ্ঘাটন করার আরও নিরাপদ, আরও প্রাথমিক-বান্ধব উপায় রয়েছে লুকানো শত্রু।
ম্যানুয়াল সনাক্তকরণ এবং আচরণগত বিশ্লেষণও রুটকিটগুলি সনাক্ত করার জন্য নির্ভরযোগ্য পদ্ধতি। রুটকিটের অবস্থান আবিষ্কার করার চেষ্টা করা একটি বড় ব্যথা হতে পারে তাই রুটকিট নিজেই টার্গেট না করে আপনি রুটকিটের মতো আচরণের সন্ধান করতে পারেন
আপনি ডাউনলোড সফ্টওয়্যার বান্ডিলগুলিতে রুটকিটগুলি সন্ধান করতে পারেন ইনস্টলেশন চলাকালীন উন্নত বা কাস্টম ইনস্টল অপশন। আপনার যা দেখার দরকার তা হ'ল বিশদে তালিকাভুক্ত কোনও অপরিচিত ফাইল। এই ফাইলগুলি ফেলে দেওয়া উচিত, বা দূষিত সফ্টওয়্যার সম্পর্কিত যে কোনও রেফারেন্সের জন্য আপনি অনলাইনে দ্রুত অনুসন্ধান করতে পারেন
ফায়ারওয়ালস এবং তাদের লগিং রিপোর্টগুলি একটি রুটকিট আবিষ্কারের জন্য অবিশ্বাস্যভাবে কার্যকর উপায়। আপনার নেটওয়ার্কটি যদি তদন্তের অধীনে থাকে তবে সফ্টওয়্যারটি আপনাকে অবহিত করবে এবং ইনস্টলেশনের পূর্বে কোনও অজানা বা সন্দেহজনক ডাউনলোডগুলি পৃথক করা উচিত। ?
আপনি যদি সন্দেহ করেন যে কোনও রুটকিট ইতিমধ্যে আপনার মেশিনে রয়েছে, আপনি ফায়ারওয়াল লগিং রিপোর্টগুলিতে ডুব দিতে পারেন এবং সাধারণ আচরণের বাইরে কোনও খোঁজ নিতে পারেন
আপনি পাবেন আপনার বর্তমান ফায়ারওয়াল লগিং প্রতিবেদনগুলি পর্যালোচনা করতে চান, ফায়ারওয়াল লগ ফিল্টারিংয়ের ক্ষমতা, খুব দরকারী একটি সরঞ্জাম সহ আইপি ট্র্যাফিক স্পাইএর মতো একটি ওপেন-সোর্স অ্যাপ্লিকেশন তৈরি করতে চান। আক্রমণগুলি হওয়া উচিত কিনা তা দেখার জন্য প্রতিবেদনগুলি আপনাকে দেখাবে।
আপনার যদি একটি স্ট্যান্ডসোন অ্যাড্রেস ফিল্টারিং ফায়ারওয়াল সহ একটি বৃহত নেটওয়ার্ক থাকে তবে আইপি ট্র্যাফিক স্পাইয়ের প্রয়োজন হবে না। পরিবর্তে, আপনার ফায়ারওয়াল লগের মাধ্যমে নেটওয়ার্কের সমস্ত ডিভাইস এবং ওয়ার্কস্টেশনগুলিতে ইনবাউন্ড এবং আউটবাউন্ড প্যাকেটগুলি দেখতে পারা উচিত
আপনি কোনও বাড়িতে বা ছোট ব্যবসায়িক সেটিংয়েই থাকুন না কেন আপনি মডেমটি ব্যবহার করতে পারেন আপনার আইএসপি সরবরাহ করে বা, যদি আপনার নিজস্ব মালিকানা থাকে তবে ফায়ারওয়াল লগগুলি টানতে একটি ব্যক্তিগত ফায়ারওয়াল বা রাউটার। আপনি একই নেটওয়ার্কে সংযুক্ত প্রতিটি ডিভাইসের ট্র্যাফিক সনাক্ত করতে সক্ষম হবেন।
উইন্ডোজ ফায়ারওয়াল লগ ফাইলগুলি সক্ষম করাও উপকারী হতে পারে। ডিফল্টরূপে লগ ফাইলটি অক্ষম করা হয় যার অর্থ কোনও তথ্য বা ডেটা লেখা হয় না
একটি লগ ফাইল তৈরি করতে, উইন্ডোজ কী + আরটিপে রান ফাংশনটি খুলুন >।
নতুন ডায়ালগ উইন্ডোতে, "ব্যক্তিগত প্রোফাইল" ট্যাবে নেভিগেট করুন এবং কাস্টমাইজনির্বাচন করুন, যা পারে "লগিং" বিভাগে পাওয়া যাবে
<চিত্র শ্রেণি = "অলস অ্যালিজেন্স্টার">চিত্র >
নতুন উইন্ডো আপনাকে কত বড় লগ ফাইল লিখতে হবে, কোথায় ফাইলটি আপনি পাঠাতে চান এবং কেবল বাদ পড়া প্যাকেট, সফল সংযোগ, বা উভয়ই লগ করতে পারবেন তা নির্বাচন করার অনুমতি দেবে ।
<চিত্র শ্রেণি = "অলস অ্যালিজেন্সেন্টার">
ড্রপড প্যাকেটগুলি সেগুলি যা উইন্ডোজ ফায়ারওয়াল আপনার পক্ষ থেকে অবরুদ্ধ করেছে
ডিফল্টরূপে, উইন্ডোজ ফায়ারওয়াল লগ এন্ট্রিগুলি কেবল সর্বশেষ 4MB ডেটা সংরক্ষণ করবে এবং % সিস্টেমরूट% এ পাওয়া যাবে \ সিস্টেম 32 \ লগফাইলগুলি \ ফায়ারওয়াল \ Pfirewall.log করুন
মনে রাখবেন যে লগগুলির জন্য ডেটা ব্যবহারের আকারের সীমাটি বাড়ানো আপনার কম্পিউটারের কর্মক্ষমতাকে প্রভাবিত করতে পারে
শেষ হলে ওকেটিপুন।
এরপরে, "ব্যক্তিগত প্রোফাইল" ট্যাবটিতে আপনি কেবল একই পদক্ষেপটি পুনরাবৃত্তি করুন, কেবলমাত্র এবার "পাবলিক প্রোফাইল" ট্যাবে <
লগগুলি এখন সরকারী এবং ব্যক্তিগত উভয় সংযোগের জন্য তৈরি করা হবে। আপনি নোটপ্যাডের মতো টেক্সট এডিটরে ফাইলগুলি দেখতে বা সেগুলিকে একটি স্প্রেডশীটে আমদানি করতে পারেন
আপনি এখন ট্র্যাফিক ফিল্টার করার জন্য এবং ট্র্যাফিককে বাছাই করার জন্য আইপি ট্র্যাফিক স্পাইয়ের মতো একটি ডাটাবেস পার্সার প্রোগ্রামে লগের ফাইলগুলি রপ্তানি করতে পারেন easy সনাক্তকরণ
লগ ফাইলগুলিতে কোনও কিছুর বাইরে নজর রাখুন। এমনকি সামান্যতম সিস্টেমের ত্রুটি কোনও রুটকিট সংক্রমণকে নির্দেশ করতে পারে। অতিরিক্ত সিপিইউ বা ব্যান্ডউইথ ব্যবহারের রেখার পাশে কিছু যখন আপনি খুব বেশি চাহিদাযুক্ত না চালাচ্ছেন বা মোটেও একটি বড় সূত্র হতে পারে