วิธีตรวจหารูทคิทใน Windows 10 (คู่มือเชิงลึก)

แฮ็กเกอร์ใช้รูทคิทเพื่อซ่อนมัลแวร์ที่แฝงตัวอยู่และตรวจไม่พบภายในอุปกรณ์ของคุณ ซึ่งจะขโมยข้อมูลหรือทรัพยากรอย่างเงียบๆ บางครั้งในช่วงหลายปีที่ผ่านมา นอกจากนี้ยังสามารถใช้ในรูปแบบคีย์ล็อกเกอร์ซึ่งการกดแป้นพิมพ์และการสื่อสารของคุณจะถูกสอดส่องโดยให้ข้อมูลความเป็นส่วนตัวแก่ผู้ชม  

วิธีการแฮ็กแบบเฉพาะเจาะจงนี้มีความเกี่ยวข้องมากกว่าก่อนปี 2549 ก่อนที่Microsoft Vistaจะกำหนดให้ผู้จำหน่ายต้องเซ็นโปรแกรมควบคุมคอมพิวเตอร์ทั้งหมดแบบดิจิทัล Kernel Patch Protection ( KPP ) ทำให้ ผู้เขียนมัลแวร์เปลี่ยนวิธีการโจมตีของตน และเมื่อเร็วๆ นี้ในปี 2018 กับการดำเนินการฉ้อโกงโฆษณา Zacinlo(Zacinlo ad fraud operation)รูทคิทก็กลับมาได้รับความสนใจอีกครั้ง

รูทคิทก่อนการออกเดทปี 2549 ทั้งหมดนั้นใช้ระบบปฏิบัติการโดยเฉพาะ สถานการณ์Zacinloซึ่งเป็นรูทคิตจากตระกูลมัลแวร์ Detrahere(Detrahere malware)ทำให้เรามีสิ่งที่เป็นอันตรายมากขึ้นในรูปแบบของรูทคิตที่ใช้เฟิร์มแวร์ โดยไม่คำนึงถึง(Regardless)รูทคิทเป็นเพียงประมาณหนึ่งเปอร์เซ็นต์ของมัลแวร์ทั้งหมดที่พบในแต่ละปี 

ถึงกระนั้น เนื่องจากอันตรายที่อาจเกิดขึ้นได้ จึงควรทำความเข้าใจว่าการตรวจหารูทคิตที่อาจแทรกซึมระบบของคุณไปแล้วนั้นทำงานอย่างไร

การตรวจจับรูทคิทในWindows 10 ( แบบเจาะลึก(In-Depth) )

Zacinloเล่นจริงมาเกือบหกปีก่อนที่จะถูกค้นพบโดยมีเป้าหมายเป็นแพลตฟอร์มWindows 10 คอมโพเนนต์รูทคิทสามารถกำหนดค่าได้สูงและป้องกันตัวเองจากกระบวนการที่ถือว่าเป็นอันตรายต่อฟังก์ชันการทำงาน และสามารถสกัดกั้นและถอดรหัส การ สื่อสารSSL ได้(SSL)

มันจะเข้ารหัสและจัดเก็บข้อมูลการกำหนดค่าทั้งหมดไว้ในWindows Registryและในขณะที่Windowsกำลังปิดตัวลง ให้เขียนตัวเองใหม่จากหน่วยความจำไปยังดิสก์โดยใช้ชื่ออื่น และอัปเดตรีจิสตรีคีย์ สิ่งนี้ช่วยหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์ป้องกันไวรัสมาตรฐานของคุณ

นี่แสดงให้เห็นว่าซอฟต์แวร์ป้องกันไวรัสหรือมัลแวร์มาตรฐานไม่เพียงพอสำหรับการตรวจจับรูทคิท แม้ว่าจะมีโปรแกรมป้องกันมัลแวร์ระดับบนสุดบางโปรแกรมที่จะเตือนคุณถึงข้อสงสัยเกี่ยวกับการโจมตีของรูทคิต 

คุณสมบัติหลัก 5 ประการของซอฟต์แวร์ป้องกันไวรัสที่ดี(The 5 Key Attributes Of a Good Antivirus Software)

โปรแกรมแอนตี้ไวรัสที่เด่นๆ ส่วนใหญ่ในปัจจุบันจะใช้วิธีการทั้งหมด 5 วิธีในการตรวจหารูทคิท

  • การวิเคราะห์ตามลายเซ็น(Signature-based Analysis) – ซอฟต์แวร์ป้องกันไวรัสจะเปรียบเทียบไฟล์ที่บันทึกไว้กับลายเซ็นที่รู้จักของรูทคิท การวิเคราะห์จะมองหารูปแบบพฤติกรรมที่เลียนแบบกิจกรรมการทำงานบางอย่างของรูทคิตที่รู้จัก เช่น การใช้พอร์ตเชิงรุก
  • การ ตรวจจับการสกัดกั้น(Interception Detection) – ระบบปฏิบัติการ Windowsใช้ตารางตัวชี้เพื่อเรียกใช้คำสั่งที่ทราบว่าพร้อมท์ให้รูทคิตดำเนินการ เนื่องจากรูทคิทพยายามแทนที่หรือแก้ไขสิ่งที่ถือว่าเป็นภัยคุกคาม สิ่งนี้จะทำให้ระบบของคุณปรากฏ
  • การเปรียบเทียบข้อมูลแบบหลายแหล่ง(Multi-Source Data Comparison) – รูท คิ(Rootkits)ทในความพยายามที่จะซ่อนข้อมูล อาจเปลี่ยนแปลงข้อมูลบางอย่างที่นำเสนอในการตรวจสอบมาตรฐาน ผลลัพธ์ของการเรียกระบบระดับสูงและระดับต่ำสามารถให้การมีอยู่ของรูทคิต ซอฟต์แวร์อาจเปรียบเทียบหน่วยความจำกระบวนการที่โหลดลงในRAMกับเนื้อหาของไฟล์บนฮาร์ดดิสก์
  • การตรวจสอบความสมบูรณ์(Integrity Check) – ทุกไลบรารีระบบมีลายเซ็นดิจิทัลที่สร้างขึ้นในขณะที่ระบบถือว่า "สะอาด" ซอฟต์แวร์รักษาความปลอดภัยที่ดีสามารถตรวจสอบไลบรารีสำหรับการเปลี่ยนแปลงโค้ดที่ใช้สร้างลายเซ็นดิจิทัลได้
  • การเปรียบเทียบรีจิสทรี(Registry Comparisons) – โปรแกรมซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่มีสิ่งเหล่านี้ตามกำหนดการที่กำหนดไว้ล่วงหน้า ไฟล์ที่สะอาดจะถูกเปรียบเทียบกับไฟล์ไคลเอนต์ในแบบเรียลไทม์ เพื่อตรวจสอบว่าไคลเอนต์มีหรือมีไฟล์เรียกทำงานที่ไม่ได้ร้องขอ (.exe)

กำลังดำเนินการสแกนรูทคิท(Performing Rootkit Scans)

การสแกนรูทคิตเป็นความพยายามที่ดีที่สุดในการตรวจจับการติดรูทคิต ส่วนใหญ่แล้วระบบปฏิบัติการของคุณไม่สามารถเชื่อถือได้ในการระบุรูทคิตด้วยตัวมันเอง และนำเสนอความท้าทายในการพิจารณาการมีอยู่ของมัน รูทคิทเป็นสายลับที่เชี่ยวชาญ ปกปิดร่องรอยของพวกเขาไว้แทบทุกตา และสามารถซ่อนตัวอยู่ในสายตาได้

หากคุณสงสัยว่ามีการโจมตีของไวรัสรูทคิทเกิดขึ้นที่เครื่องของคุณ กลยุทธ์ที่ดีในการตรวจหาคือปิดเครื่องคอมพิวเตอร์และดำเนินการสแกนจากระบบสะอาดที่รู้จัก วิธีที่แน่นอนในการค้นหารูทคิตภายในเครื่องของคุณคือการวิเคราะห์การถ่ายโอนข้อมูลหน่วยความจำ รูทคิตไม่สามารถซ่อนคำสั่งที่ให้ระบบของคุณในขณะที่รันคำสั่งเหล่านั้นในหน่วยความจำของเครื่อง

การใช้ WinDbg สำหรับการวิเคราะห์มัลแวร์(Using WinDbg For Malware Analysis)

Microsoft Windowsได้จัดเตรียมเครื่องมือการดีบักแบบมัลติฟังก์ชั่นไว้ใช้เพื่อทำการสแกนแก้จุดบกพร่องบนแอพพลิเคชั่น ไดรเวอร์ หรือระบบปฏิบัติการเอง มันจะดีบักโหมดเคอร์เนลและรหัสโหมดผู้ใช้ ช่วยวิเคราะห์ดัมพ์ข้อขัดข้อง และตรวจสอบการลงทะเบียนCPU

ระบบ Windows(Windows)บางระบบจะมาพร้อมกับWinDbg ที่รวมไว้ แล้วโดยที่ไม่มีจะต้องดาวน์โหลดจากMicrosoft Store การ แสดงตัวอย่าง WinDbg(WinDbg Preview)เป็นเวอร์ชันที่ทันสมัยกว่าของWinDbgโดยให้ภาพที่มองเห็นได้ง่ายขึ้น หน้าต่างที่เร็วขึ้น การเขียนสคริปต์ที่สมบูรณ์ และคำสั่ง ส่วนขยาย และเวิร์กโฟลว์เดียวกันกับต้นฉบับ

อย่างน้อยที่สุด คุณสามารถใช้WinDbgเพื่อวิเคราะห์หน่วยความจำหรือดัมพ์การแครช ซึ่งรวมถึงBlue Screen Of Death ( BSOD ) จากผลลัพธ์ คุณสามารถค้นหาตัวบ่งชี้การโจมตีของมัลแวร์ได้ หากคุณรู้สึกว่าหนึ่งในโปรแกรมของคุณอาจถูกขัดขวางจากการมีอยู่ของมัลแวร์ หรือใช้หน่วยความจำมากกว่าที่จำเป็น คุณสามารถสร้างไฟล์ดัมพ์และใช้WinDbgเพื่อช่วยวิเคราะห์

การถ่ายโอนข้อมูลหน่วยความจำที่สมบูรณ์อาจใช้เนื้อที่ดิสก์จำนวนมาก ดังนั้นจึงควรดำเนินการ ดัมพ์ โหมดเคอร์เนล(Kernel-Mode)หรือ การถ่ายโอนข้อมูล หน่วยความจำ(Memory) ขนาดเล็ก แทน การถ่ายโอนข้อมูลโหมดเคอร์เนลจะมีข้อมูลการใช้หน่วยความจำทั้งหมดโดยเคอร์เนลในขณะที่เกิดการขัดข้อง ดัมพ์ หน่วยความจำ(Memory)ขนาดเล็กจะมีข้อมูลพื้นฐานเกี่ยวกับระบบต่างๆ เช่น ไดรเวอร์ เคอร์เนล และอื่นๆ แต่มีขนาดเล็กเมื่อเปรียบเทียบ

Small Memory dumps มีประโยชน์มากกว่าในการวิเคราะห์ว่าทำไมBSODจึงเกิดขึ้น สำหรับการตรวจจับรูทคิท เวอร์ชันเต็มหรือเคอร์เนลจะมีประโยชน์มากกว่า

การสร้างไฟล์ดัมพ์โหมดเคอร์เนล(Creating A Kernel-Mode Dump File)

ไฟล์ ดัมพ์ โหมดเคอร์เนล(Kernel-Mode)สามารถสร้างได้สามวิธี:

  • เปิดใช้งานไฟล์ดัมพ์จากแผงควบคุม(Control Panel)เพื่อให้ระบบหยุดทำงานเอง
  • เปิดใช้งานไฟล์ดัมพ์จากแผงควบคุม(Control Panel)เพื่อบังคับให้ระบบหยุดทำงาน
  • ใช้เครื่องมือดีบักเกอร์เพื่อสร้างให้คุณ

เราจะไปกับตัวเลือกหมายเลขสาม 

ในการดำเนินการดัมพ์ไฟล์ คุณจะต้องป้อนคำสั่งต่อไปนี้ในหน้าต่างคำสั่ง ของ (Command)WinDbgเท่านั้น

แทนที่FileNameด้วยชื่อที่เหมาะสมสำหรับไฟล์ดัมพ์และ “?” กับ(f) . ตรวจสอบให้แน่ใจว่า “f” เป็นตัวพิมพ์เล็ก มิฉะนั้น คุณจะต้องสร้างไฟล์ดัมพ์ประเภทอื่น

เมื่อดีบักเกอร์ทำงานแล้ว (การสแกนครั้งแรกจะใช้เวลาหลายนาที) ระบบจะสร้างไฟล์ดัมพ์และคุณจะสามารถวิเคราะห์สิ่งที่คุณค้นพบได้

การทำความเข้าใจว่าคุณกำลังมองหาอะไร เช่น การใช้หน่วยความจำแบบระเหย ( RAM ) เพื่อระบุการมีอยู่ของรูทคิต ต้องใช้ประสบการณ์และการทดสอบ เป็นไปได้แม้ว่าจะไม่แนะนำสำหรับมือใหม่ ในการทดสอบเทคนิคการค้นหามัลแวร์บนระบบที่ใช้งานจริง ในการทำเช่นนี้ คุณจะต้องใช้ความเชี่ยวชาญและความรู้เชิงลึกเกี่ยวกับการทำงานของWinDbg อีกครั้ง เพื่อไม่ให้ติดตั้งไวรัสที่ถ่ายทอดสดในระบบของคุณโดยไม่ได้ตั้งใจ

มีวิธีที่ปลอดภัยกว่าและเป็นมิตรกับผู้เริ่มต้นมากขึ้นในการเปิดเผยศัตรูที่ซ่อนเร้นของเรา

วิธีการสแกนเพิ่มเติม(Additional Scanning Methods)

การตรวจหาด้วยตนเองและการวิเคราะห์พฤติกรรมยังเป็นวิธีการที่เชื่อถือได้สำหรับการตรวจจับรูทคิท การพยายามค้นหาตำแหน่งของรูทคิตอาจเป็นปัญหาใหญ่ ดังนั้นแทนที่จะกำหนดเป้าหมายไปที่รูทคิต คุณสามารถค้นหาพฤติกรรมที่คล้ายกับรูทคิตได้

คุณสามารถค้นหารูทคิทในชุดซอฟต์แวร์ที่ดาวน์โหลดมาโดยใช้ ตัวเลือกการติดตั้ง ขั้นสูง(Advanced)หรือแบบกำหนดเอง(Custom)ระหว่างการติดตั้ง สิ่งที่คุณจะต้องค้นหาคือไฟล์ที่ไม่คุ้นเคยที่ระบุไว้ในรายละเอียด ไฟล์เหล่านี้ควรถูกทิ้ง หรือคุณสามารถค้นหาออนไลน์อย่างรวดเร็วสำหรับการอ้างอิงถึงซอฟต์แวร์ที่เป็นอันตราย

ไฟร์วอลล์และรายงานการบันทึกเป็นวิธีที่มีประสิทธิภาพอย่างเหลือเชื่อในการค้นหารูทคิต ซอฟต์แวร์จะแจ้งให้คุณทราบหากเครือข่ายของคุณอยู่ภายใต้การตรวจสอบ และควรกักกันการดาวน์โหลดที่ไม่รู้จักหรือน่าสงสัยก่อนการติดตั้ง 

หากคุณสงสัยว่ารูทคิตอาจอยู่บนเครื่องของคุณแล้ว คุณสามารถเจาะลึกรายงานการบันทึกไฟร์วอลล์และมองหาลักษณะการทำงานที่ไม่ปกติได้

การตรวจสอบรายงานการบันทึกไฟร์วอลล์(Reviewing Firewall Logging Reports)

คุณจะต้องตรวจสอบรายงานการบันทึกไฟร์วอลล์ปัจจุบันของคุณ การสร้างแอปพลิเคชันโอเพนซอร์ซ เช่นIP Traffic Spyที่มีความสามารถในการกรองบันทึกไฟร์วอลล์ ซึ่งเป็นเครื่องมือที่มีประโยชน์มาก รายงานจะแสดงให้คุณเห็นถึงสิ่งที่จำเป็นในการดูหากเกิดการโจมตีขึ้น 

หากคุณมีเครือข่ายขนาดใหญ่ที่มีไฟร์วอลล์กรองข้อมูลขาออกแบบสแตนด์อโลนIP Traffic Spyจะไม่จำเป็น คุณควรจะเห็นแพ็กเก็ตขาเข้าและขาออกของอุปกรณ์และเวิร์กสเตชันทั้งหมดในเครือข่ายผ่านบันทึกไฟร์วอลล์แทน

ไม่ว่าคุณจะอยู่ในบ้านหรือธุรกิจขนาดเล็ก คุณสามารถใช้โมเด็มที่ISP ให้(ISP)มา หรือหากคุณเป็นเจ้าของ ไฟร์วอลล์หรือเราเตอร์ส่วนตัวเพื่อดึงบันทึกไฟร์วอลล์ คุณจะสามารถระบุการรับส่งข้อมูลสำหรับอุปกรณ์แต่ละเครื่องที่เชื่อมต่อกับเครือข่ายเดียวกัน 

การเปิดใช้ งานไฟล์บันทึกไฟร์วอลล์ Windows(Windows Firewall Log)อาจเป็นประโยชน์ ตามค่าเริ่มต้น ไฟล์บันทึกจะถูกปิดใช้งาน หมายความว่าจะไม่มีการเขียนข้อมูลหรือข้อมูลใดๆ

  • ในการสร้างไฟล์บันทึก ให้เปิด ฟังก์ชัน Runโดยกดปุ่มWindows Windows key + R
  • พิมพ์wf.mscลงในช่องแล้วกดEnter

  • ในหน้าต่าง Windows Firewall(Windows Firewall)และAdvanced Securityให้ไฮไลต์ "Windows Defender Firewall with Advanced Security on Local Computer" ในเมนูด้านซ้าย ที่เมนูด้านขวาสุดใต้ "การดำเนินการ" คลิกProperties

  • ในหน้าต่างข้อความใหม่ ให้ไปที่แท็บ "โปรไฟล์ส่วนตัว" และเลือกกำหนดเอง(Customize)ซึ่งอยู่ในส่วน "การบันทึก"

  • หน้าต่างใหม่จะให้คุณเลือกขนาดไฟล์บันทึกที่จะเขียน ตำแหน่งที่คุณต้องการส่งไฟล์ และบันทึกเฉพาะแพ็กเก็ตที่หลุด การเชื่อมต่อสำเร็จ หรือทั้งสองอย่าง

  • แพ็กเก็ตที่ ลดลง(Dropped)คือแพ็กเก็ตที่Windows Firewallบล็อกในนามของคุณ
  • ตามค่าเริ่มต้น รายการบันทึกของ Windows Firewallจะเก็บข้อมูล 4MB สุดท้ายเท่านั้น และสามารถพบได้ใน%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • โปรดทราบว่าการเพิ่มขีดจำกัดขนาดการใช้ข้อมูลสำหรับบันทึกอาจส่งผลต่อประสิทธิภาพของคอมพิวเตอร์ของคุณ
  • กดตกลง(OK)เมื่อเสร็จสิ้น
  • ถัดไป ทำซ้ำขั้นตอนเดิมที่คุณเพิ่งทำในแท็บ "โปรไฟล์ส่วนตัว" เฉพาะครั้งนี้ในแท็บ "โปรไฟล์สาธารณะ"
    • บันทึกจะถูกสร้างขึ้นสำหรับการเชื่อมต่อทั้งแบบสาธารณะและส่วนตัว คุณสามารถดูไฟล์ในโปรแกรมแก้ไขข้อความ เช่นNotepadหรือนำเข้าไฟล์ในสเปรดชีต
    • ขณะนี้ คุณสามารถส่งออกไฟล์บันทึกลงในโปรแกรมแยกวิเคราะห์ฐานข้อมูล เช่นIP Traffic Spyเพื่อกรองและจัดเรียงการรับส่งข้อมูลเพื่อให้ระบุตัวตนได้ง่าย

จับตาดูสิ่งผิดปกติในไฟล์บันทึก แม้แต่ความผิดพลาดของระบบเพียงเล็กน้อยก็สามารถบ่งชี้ถึงการติดรูทคิตได้ บางสิ่งที่เกี่ยวข้องกับการ ใช้ CPU(CPU) หรือแบนด์วิดท์ มากเกินไปเมื่อคุณไม่ได้ใช้งานอะไรที่มีความต้องการมากเกินไปหรือเลยอาจเป็นเงื่อนงำสำคัญ



About the author

ฉันเป็นผู้เชี่ยวชาญด้านการสนับสนุนลูกค้า windows 10/11/10 ที่มีประสบการณ์มากกว่า 5 ปี ฉันยังเป็นนักเล่นเกมตัวยงในช่วงไม่กี่ปีที่ผ่านมาและมีความสนใจอย่างมากใน xbox One จุดสนใจปัจจุบันของฉันคือการช่วยเหลือลูกค้าเกี่ยวกับปัญหาที่เกิดขึ้นกับระบบ windows 10 หรือ Windows 11 บ่อยครั้งผ่านการใช้เครื่องมือบริการลูกค้าของเรา เช่น การสนับสนุนคอลเซ็นเตอร์และความช่วยเหลือออนไลน์



Related posts