विंडोज 10 में रूटकिट्स का पता लगाने के लिए (इन-डेप्थ गाइड)
रूटर्स का उपयोग हैकर्स द्वारा आपके डिवाइस के भीतर लगातार, प्रतीत होता है कि अनपेक्षित मैलवेयर को छिपाने के लिए किया जाता है, जो कभी-कभी कई वर्षों के दौरान डेटा या संसाधनों को चुराएगा। वे कीगलर फैशन में भी इस्तेमाल किया जा सकता है, जहां आपके कीस्ट्रोक्स और संचार को गोपनीयता की जानकारी प्रदान करने वाले सर्वेक्षण प्रदान किए जाते हैं।
इस विशेष हैकिंग विधि ने 2006 से पहले की अधिक प्रासंगिकता देखी, इससे पहले कि माइक्रोसॉफ्ट विस्टा सभी विक्रेताओं को डिजिटल रूप से हस्ताक्षर करने के लिए विक्रेताओं की आवश्यकता होती है। कर्नेल पैच प्रोटेक्शन (KPP) ने मैलवेयर के लेखकों को अपने हमले के तरीकों को बदलने और केवल हाल ही में 2018 तक Zacinlo विज्ञापन धोखाधड़ी ऑपरेशन के साथ, rootkits को स्पॉटलाइट में फिर से दर्ज किया।
<आंकड़ा वर्ग =" आलसी एलाइनकेंटर ">
2006 से पहले के रूटकिट्स सभी विशेष रूप से ऑपरेटिंग सिस्टम-आधारित थे। ज़ेरास्लो स्थिति, डेट्रॉएर मैलवेयर परिवार के एक रूटकिट, ने हमें फर्मवेयर-आधारित रूटकिट के रूप में कुछ और भी खतरनाक दिया। बावजूद, रूटकिट्स सालाना देखे जाने वाले सभी मालवेयर आउटपुट का केवल एक प्रतिशत है।
यहां तक कि खतरे के कारण, वे पेश कर सकते हैं, यह समझना समझदारी होगी कि रूटकिट्स का पता लगाने के लिए जो आपके सिस्टम कार्यों में पहले ही घुसपैठ कर चुके हैं।
विंडोज 10 में रूटकिट्स का पता लगाना ( -दीप)
<आंकड़ा वर्ग = "आलसी संरेखण">
Zacinlo था वास्तव में विंडोज 10 प्लेटफॉर्म को लक्षित करने से पहले लगभग छह साल तक खेल में रहा। रूटकिट घटक अत्यधिक विन्यास योग्य था और अपनी कार्यक्षमता के लिए खतरनाक समझी जाने वाली प्रक्रियाओं से खुद को सुरक्षित रखता था और एसएसएल संचार को बाधित और डिक्रिप्ट करने में सक्षम था।
यह विंडोज़ रजिस्ट्री और रजिस्ट्री के भीतर अपने सभी कॉन्फ़िगरेशन डेटा को एन्क्रिप्ट और स्टोर करेगा। जब Windows बंद हो रहा था, तो एक अलग नाम का उपयोग करके मेमोरी से डिस्क पर स्वयं को फिर से लिखें, और इसकी रजिस्ट्री कुंजी को अपडेट करें। इसने आपके मानक एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने में मदद की।
In_content_1 all: [300x250] / dfp: [640x360]->
यह दिखाने के लिए जाता है कि rootkits का पता लगाने के लिए एक मानक एंटीवायरस या antimalware सॉफ़्टवेयर पर्याप्त नहीं है। हालाँकि, कुछ टॉप टियर एंटीमलवेयर प्रोग्राम हैं जो आपको एक रूटकिट हमले के संदेह के लिए सचेत करेंगे।
एक अच्छे एंटीवायरस सॉफ़्टवेयर के 5 मुख्य गुण
<आंकड़ा वर्ग = "lazy aligncenter">
आज के अधिकांश प्रमुख एंटीवायरस प्रोग्राम रूटकिट्स का पता लगाने के लिए इन सभी पांच उल्लेखनीय तरीकों का प्रदर्शन करेंगे।
हस्ताक्षर-आधारित विश्लेषण- एंटीवायरस सॉफ़्टवेयर रूटकिट के ज्ञात हस्ताक्षर के साथ लॉग की गई फ़ाइलों की तुलना करेगा। विश्लेषण उन व्यवहार प्रतिमानों की भी तलाश करेगा जो ज्ञात रूटकिट्स की कुछ परिचालन गतिविधियों की नकल करते हैं, जैसे कि आक्रामक पोर्ट उपयोग।
अवरोधन का पता लगाना- विंडोज ऑपरेटिंग सिस्टम कमांड को चलाने के लिए पॉइंटर टेबल्स को नियोजित करता है जो एक रूटकिट को कार्य करने के लिए संकेत देने के लिए जाने जाते हैं। चूँकि rootkits किसी खतरे को बदलने या बदलने की कोशिश करता है, यह आपकी प्रणाली को उनकी उपस्थिति से दूर कर देगा।
बहु-स्रोत डेटा तुलना- Rootkits, छिपे रहने की कोशिश में। , एक मानक परीक्षा में प्रस्तुत कुछ डेटा को बदल सकता है। उच्च और निम्न-स्तरीय सिस्टम कॉल के वापस किए गए परिणाम रूटकिट की उपस्थिति को दूर कर सकते हैं। सॉफ़्टवेयर हार्ड डिस्क पर फ़ाइल की सामग्री के साथ रैम में भरी गई प्रक्रिया मेमोरी की तुलना कर सकता है।
अखंडता की जाँच करें- हर सिस्टम लाइब्रेरी में एक डिजिटल हस्ताक्षर होता है जो बनाया जाता है। उस समय प्रणाली को "साफ" माना जाता था। अच्छा सुरक्षा सॉफ्टवेयर डिजिटल हस्ताक्षर बनाने के लिए उपयोग किए गए कोड के किसी भी परिवर्तन के लिए पुस्तकालयों की जांच कर सकता है।
रजिस्ट्री तुलना- अधिकांश एंटीवायरस सॉफ़्टवेयर प्रोग्रामों में ये एक पूर्व निर्धारित समय पर होते हैं। क्लीन फ़ाइल की तुलना क्लाइंट फ़ाइल के साथ की जाएगी, वास्तविक समय में, यह निर्धारित करने के लिए कि क्लाइंट है या इसमें कोई निष्पादन योग्य निष्पादन योग्य (। Exe) है।
रूटुटक स्कैटरिंग <। / strong>
<आंकड़ा वर्ग = "lazy aligncenter">
प्रदर्शन रूटकिट स्कैन रूटकिट संक्रमण का पता लगाने के लिए सबसे अच्छा प्रयास है। ज्यादातर बार आपके ऑपरेटिंग सिस्टम को अपने दम पर एक रूटकिट की पहचान करने के लिए भरोसा नहीं किया जा सकता है और अपनी उपस्थिति को निर्धारित करने के लिए एक चुनौती प्रस्तुत करता है। रूटकिट्स मास्टर जासूस हैं, जो लगभग हर मोड़ पर अपनी पटरियों को कवर करते हैं और सादे दृष्टि में छिपे रहने में सक्षम हैं।
अगर आपको संदेह है कि आपकी मशीन पर रूटकिट वायरस का हमला हुआ है, तो पता लगाने के लिए एक अच्छी रणनीति होगी। कंप्यूटर को पावर डाउन करें और किसी ज्ञात क्लीन सिस्टम से स्कैन को निष्पादित करें। अपनी मशीन के भीतर एक रूटकिट का पता लगाने का एक निश्चित तरीका मेमोरी डंप विश्लेषण है। रूटकिट आपके सिस्टम को दिए गए निर्देशों को छिपा नहीं सकता क्योंकि यह उन्हें मशीन की मेमोरी में निष्पादित करता है।
WinDbg For Malware Analysis
<आंकड़ा वर्ग =" आलसी एलाइनकेंटर ">
माइक्रोसॉफ्ट विंडोज ने अपना मल्टी-फंक्शन डीबगिंग टूल प्रदान किया है जिसे प्रदर्शन के लिए इस्तेमाल किया जा सकता है डिबगिंग अनुप्रयोगों, ड्राइवरों, या ऑपरेटिंग सिस्टम पर ही स्कैन करता है। यह कर्नेल-मोड और उपयोगकर्ता-मोड कोड को डिबग करेगा, क्रैश डंप का विश्लेषण करने में मदद करेगा, और सीपीयू रजिस्टर की जांच करेगा।
कुछ विंडोज सिस्टम पहले से बंडल किए गए 1 के साथ आएंगे। Microsoft स्टोर से इसे डाउनलोड करने की आवश्यकता होगी। WinDbg पूर्वावलोकन WinDbg का अधिक आधुनिक संस्करण है, जो आंखों के दृश्य, तेज विंडो, पूर्ण स्क्रिप्टिंग और समान कमांड, एक्सटेंशन और वर्कफ़्लोज़ को मूल के रूप में आसान बनाता है।
पर नंगे न्यूनतम, आप ब्लू स्क्रीन ऑफ डेथ (बीएसओडी) सहित मेमोरी या क्रैश डंप का विश्लेषण करने के लिए विनडबग का उपयोग कर सकते हैं। परिणामों से, आप एक मैलवेयर हमले के संकेतकों की तलाश कर सकते हैं। यदि आपको लगता है कि आपके किसी प्रोग्राम को मैलवेयर की उपस्थिति से बाधित किया जा सकता है, या आवश्यकता से अधिक मेमोरी का उपयोग कर रहा है, तो आप बना सकते हैं डंप फ़ाइल और इसका विश्लेषण करने में मदद करने के लिए WinDbg का उपयोग करें।
एक पूर्ण मेमोरी डंप महत्वपूर्ण डिस्क स्थान ले सकता है, इसलिए इसके बजाय कर्नेल-मोडडंप या स्मॉल मेमोरी डंप प्रदर्शन करना बेहतर हो सकता है। क्रैश के समय कर्नेल-मोड डंप में कर्नेल द्वारा सभी मेमोरी उपयोग की जानकारी होगी। एक छोटी मेमोरी डंप में ड्राइवर, कर्नेल और अधिक जैसे अलग-अलग प्रणालियों की बुनियादी जानकारी होगी, लेकिन तुलना में छोटा है।
एक बीएसओडी क्यों हुआ है, इसका विश्लेषण करने में छोटे मेमोरी डंप अधिक उपयोगी होते हैं। रूटकिट्स का पता लगाने के लिए, एक पूर्ण या कर्नेल संस्करण अधिक सहायक होगा।
एक कर्नेल-मोड डंप फ़ाइल बनाना
<आंकड़ा वर्ग =" आलसी संरेखण ">
तीन प्रकार से एक कर्नेल-मोड डंप फ़ाइल बनाई जा सकती है:
सिस्टम को अपने आप क्रैश करने की अनुमति देने के लिए कंट्रोल पैनल से डंप फ़ाइल को सक्षम करें
सिस्टम को क्रैश करने के लिए मजबूर करने के लिए कंट्रोल पैनल से डंप फ़ाइल को सक्षम करें
डीबगर टूल का उपयोग करें आपके लिए एक बनाने के लिए
हम पसंद नंबर तीन के साथ जा रहे हैं।
आवश्यक डंप फ़ाइल करने के लिए, आपको केवल WinDbg की कमांड विंडो में निम्न कमांड दर्ज करने की आवश्यकता है।
<आंकड़ा वर्ग = "lazy aligncenter">
बदलें FileNameडंप फ़ाइल के लिए एक उपयुक्त नाम के साथ और "?" एक के साथ >च। सुनिश्चित करें कि "f" लोअरकेस है या फिर आप एक अलग प्रकार की डंप फ़ाइल बनाएंगे।
एक बार डिबगर ने अपना कोर्स चला लिया है (पहला स्कैन में काफी मिनट लगेंगे), एक डंप फ़ाइल होगी बनाया गया है और आप अपने निष्कर्षों का विश्लेषण करने में सक्षम होंगे।
यह समझने के लिए कि आपकी तलाश क्या है, जैसे वाष्पशील मेमोरी (RAM) उपयोग, यह निर्धारित करने के लिए कि रूटकिट की उपस्थिति का अनुभव और परीक्षण होता है। यह संभव है, हालांकि एक नौसिखिए के लिए अनुशंसित नहीं है, लाइव सिस्टम पर मैलवेयर खोज तकनीकों का परीक्षण करने के लिए। ऐसा करने के लिए फिर से WinDbg के कामकाज पर विशेषज्ञता और गहन ज्ञान होगा ताकि गलती से आपके सिस्टम में एक जीवित वायरस को तैनात न किया जा सके।
हमारे अच्छी तरह से उजागर करने के लिए सुरक्षित, अधिक शुरुआती-अनुकूल तरीके हैं। छिपी हुई शत्रु
अतिरिक्त स्कैनिंग विधियाँ
<आंकड़ा वर्ग = "आलसी संरेखण"><>10
रूटकिट्स का पता लगाने के लिए मैन्युअल पहचान और व्यवहार विश्लेषण भी विश्वसनीय तरीके हैं। रूटकिट के स्थान की खोज करने का प्रयास करना एक बड़ा दर्द हो सकता है, इसलिए रूटकिट को लक्षित करने के बजाय, आप इसके बजाय रूटकिट-जैसे व्यवहारों की तलाश कर सकते हैं।
आप उपयोग किए गए सॉफ़्टवेयर बंडलों में रूटकिट्स की तलाश कर सकते हैं। स्थापना के दौरान उन्नत या कस्टम इंस्टॉल विकल्प। विवरण में सूचीबद्ध किसी भी अपरिचित फ़ाइल के लिए आपको क्या देखना होगा? इन फ़ाइलों को छोड़ दिया जाना चाहिए, या आप दुर्भावनापूर्ण सॉफ़्टवेयर के किसी भी संदर्भ के लिए एक त्वरित खोज ऑनलाइन कर सकते हैं।
फ़ायरवॉल और उनकी लॉगिंग रिपोर्ट रूटकिट की खोज करने के लिए एक अविश्वसनीय रूप से प्रभावी तरीका है। यदि आपका नेटवर्क जांच के अधीन है, तो सॉफ़्टवेयर आपको सूचित करेगा, और इंस्टॉलेशन से पहले किसी भी अपरिचित या संदिग्ध डाउनलोड को रद्द कर देना चाहिए।
यदि आपको संदेह है कि एक रूटकिट पहले से ही आपकी मशीन पर हो सकती है, तो आप फ़ायरवॉल लॉगिंग रिपोर्ट में गोता लगा सकते हैं और किसी भी सामान्य व्यवहार को देख सकते हैं।
फ़ायरवॉल लॉगिंग रिपोर्ट्स की समीक्षा करें। strong>
<आंकड़ा वर्ग = "आलसी संरेखण">
आप करेंगे अपने वर्तमान फ़ायरवॉल लॉगिंग रिपोर्ट की समीक्षा करना चाहते हैं, फ़ायरवॉल लॉग फ़िल्टरिंग क्षमताओं के साथ IP ट्रैफ़िक स्पाईजैसे एक ओपन-सोर्स एप्लिकेशन बनाकर, एक बहुत ही उपयोगी उपकरण। रिपोर्ट आपको दिखाएगी कि हमले को घटित करने के लिए क्या आवश्यक है।
यदि आपके पास एक बड़ा नेटवर्क है जिसमें स्टैंडअलोन इगोर फिल्टरिंग फ़ायरवॉल है, तो IP ट्रैफ़िक स्पाई आवश्यक नहीं होगा। इसके बजाय, आपको फ़ायरवॉल लॉग के माध्यम से नेटवर्क पर सभी डिवाइस और वर्कस्टेशन पर इनबाउंड और आउटबाउंड पैकेट देखने में सक्षम होना चाहिए।
चाहे आप घर या छोटे व्यवसाय सेटिंग में हों, आप मॉडेम का उपयोग कर सकते हैं। आपके ISP द्वारा प्रदान किया गया है, या यदि आप एक, फ़ायरवॉल लॉग को खींचने के लिए एक व्यक्तिगत फ़ायरवॉल या राउटर के मालिक हैं। आप एक ही नेटवर्क से जुड़े प्रत्येक उपकरण के ट्रैफ़िक की पहचान करने में सक्षम होंगे।
विंडोज फ़ायरवॉल लॉग फ़ाइलों को सक्षम करने के लिए भी फायदेमंद हो सकता है। डिफ़ॉल्ट रूप से, लॉग फ़ाइल अक्षम है जिसका अर्थ है कि कोई जानकारी या डेटा नहीं लिखा गया है।
लॉग फ़ाइल बनाने के लिए, Windows कुंजी + R
बॉक्स में wf.mscटाइप करें और दर्ज करें
<आंकड़ा वर्ग =" आलसी एलाइनकेंटर ">
विंडोज फ़ायरवॉल और उन्नत सुरक्षा विंडो में" Windows डिफेंडर फ़ायरवॉल " बाईं ओर मेनू में स्थानीय कंप्यूटर पर उन्नत सुरक्षा। "कार्य" के अंतर्गत सबसे दाईं ओर मेनू पर गुण
<आंकड़ा वर्ग = "आलसी एलाइनकेंटर">क्लिक करें।
नई संवाद विंडो में, "निजी प्रोफ़ाइल" टैब पर जाएँ और अनुकूलित करेंका चयन करें, जो कर सकते हैं "लॉगिंग" अनुभाग में पाया जा सकता है।
<आंकड़ा वर्ग = "आलसी संरेखण">figure >
नई विंडो आपको यह चुनने की अनुमति देगी कि लॉग फ़ाइल का कितना बड़ा हिस्सा लिखने के लिए है, आप फ़ाइल को कहाँ भेजना चाहते हैं, और क्या केवल गिराए गए पैकेट, सफल कनेक्शन या दोनों को लॉग इन करना है
<आंकड़ा वर्ग = "आलसी संरेखण">
ड्रॉप किए गए पैकेट वे हैं जो Windows फ़ायरवॉल ने आपकी ओर से अवरुद्ध कर दिए हैं।
डिफ़ॉल्ट रूप से, Windows फ़ायरवॉल लॉग प्रविष्टियाँ केवल अंतिम 4MB डेटा संग्रहीत करेंगी और % SystemRR% में पाई जा सकती हैं \ System32 \ LogFiles \ फ़ायरवॉल \ Pfirewall.log
ध्यान रखें कि लॉग के लिए डेटा उपयोग पर आकार सीमा बढ़ाने से आपके कंप्यूटर का प्रदर्शन प्रभावित हो सकता है।
समाप्त होने पर ठीकदबाएं।
अगला, "निजी प्रोफ़ाइल" टैब में आपके द्वारा चलाए गए उन्हीं चरणों को दोहराएं, केवल इस बार "सार्वजनिक प्रोफ़ाइल" टैब में। <>
अब सार्वजनिक और निजी दोनों तरह के कनेक्शन के लिए लॉग जेनरेट किए जाएंगे। आप नोटपैड जैसे टेक्स्ट एडिटर में फ़ाइलों को देख सकते हैं या उन्हें एक स्प्रेडशीट में आयात कर सकते हैं।
अब आप डेटाबेस ट्रैसर प्रोग्राम में लॉग्स की फाइलों को आईपी ट्रैफिक स्पाई जैसे फ़िल्टर और आसान के लिए ट्रैफ़िक सॉर्ट करने के लिए निर्यात कर सकते हैं। पहचान।
लॉग फ़ाइलों में साधारण से बाहर की किसी भी चीज़ पर नज़र रखें। यहां तक कि थोड़ी सी भी प्रणाली गलती एक रूटकिट संक्रमण का संकेत दे सकती है। अत्यधिक सीपीयू या बैंडविड्थ के उपयोग के साथ कुछ जब आप कुछ भी मांग नहीं कर रहे हैं या बिल्कुल भी नहीं चल रहे हैं, तो एक प्रमुख सुराग हो सकता है।
कैसे प्राप्त करने के लिए, आपका Windows 10, 8, 7 उत्पाद कुंजी, कंप्यूटर नि: शुल्क उत्पाद क्रमांक पर के बारे में बताएं हिंदी में खोजें
figure >