วิธีตรวจหารูทคิทใน Windows 10 (คู่มือเชิงลึก)
แฮ็กเกอร์ใช้รูทคิทเพื่อซ่อนมัลแวร์ที่แฝงตัวอยู่และตรวจไม่พบภายในอุปกรณ์ของคุณ ซึ่งจะขโมยข้อมูลหรือทรัพยากรอย่างเงียบๆ บางครั้งในช่วงหลายปีที่ผ่านมา นอกจากนี้ยังสามารถใช้ในรูปแบบคีย์ล็อกเกอร์ซึ่งการกดแป้นพิมพ์และการสื่อสารของคุณจะถูกสอดส่องโดยให้ข้อมูลความเป็นส่วนตัวแก่ผู้ชม
วิธีการแฮ็กแบบเฉพาะเจาะจงนี้มีความเกี่ยวข้องมากกว่าก่อนปี 2549 ก่อนที่Microsoft Vistaจะกำหนดให้ผู้จำหน่ายต้องเซ็นโปรแกรมควบคุมคอมพิวเตอร์ทั้งหมดแบบดิจิทัล Kernel Patch Protection ( KPP ) ทำให้ ผู้เขียนมัลแวร์เปลี่ยนวิธีการโจมตีของตน และเมื่อเร็วๆ นี้ในปี 2018 กับการดำเนินการฉ้อโกงโฆษณา Zacinlo(Zacinlo ad fraud operation)รูทคิทก็กลับมาได้รับความสนใจอีกครั้ง
รูทคิทก่อนการออกเดทปี 2549 ทั้งหมดนั้นใช้ระบบปฏิบัติการโดยเฉพาะ สถานการณ์Zacinloซึ่งเป็นรูทคิตจากตระกูลมัลแวร์ Detrahere(Detrahere malware)ทำให้เรามีสิ่งที่เป็นอันตรายมากขึ้นในรูปแบบของรูทคิตที่ใช้เฟิร์มแวร์ โดยไม่คำนึงถึง(Regardless)รูทคิทเป็นเพียงประมาณหนึ่งเปอร์เซ็นต์ของมัลแวร์ทั้งหมดที่พบในแต่ละปี
ถึงกระนั้น เนื่องจากอันตรายที่อาจเกิดขึ้นได้ จึงควรทำความเข้าใจว่าการตรวจหารูทคิตที่อาจแทรกซึมระบบของคุณไปแล้วนั้นทำงานอย่างไร
การตรวจจับรูทคิทในWindows 10 ( แบบเจาะลึก(In-Depth) )
Zacinloเล่นจริงมาเกือบหกปีก่อนที่จะถูกค้นพบโดยมีเป้าหมายเป็นแพลตฟอร์มWindows 10 คอมโพเนนต์รูทคิทสามารถกำหนดค่าได้สูงและป้องกันตัวเองจากกระบวนการที่ถือว่าเป็นอันตรายต่อฟังก์ชันการทำงาน และสามารถสกัดกั้นและถอดรหัส การ สื่อสารSSL ได้(SSL)
มันจะเข้ารหัสและจัดเก็บข้อมูลการกำหนดค่าทั้งหมดไว้ในWindows Registryและในขณะที่Windowsกำลังปิดตัวลง ให้เขียนตัวเองใหม่จากหน่วยความจำไปยังดิสก์โดยใช้ชื่ออื่น และอัปเดตรีจิสตรีคีย์ สิ่งนี้ช่วยหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์ป้องกันไวรัสมาตรฐานของคุณ
นี่แสดงให้เห็นว่าซอฟต์แวร์ป้องกันไวรัสหรือมัลแวร์มาตรฐานไม่เพียงพอสำหรับการตรวจจับรูทคิท แม้ว่าจะมีโปรแกรมป้องกันมัลแวร์ระดับบนสุดบางโปรแกรมที่จะเตือนคุณถึงข้อสงสัยเกี่ยวกับการโจมตีของรูทคิต
คุณสมบัติหลัก 5 ประการของซอฟต์แวร์ป้องกันไวรัสที่ดี(The 5 Key Attributes Of a Good Antivirus Software)
โปรแกรมแอนตี้ไวรัสที่เด่นๆ ส่วนใหญ่ในปัจจุบันจะใช้วิธีการทั้งหมด 5 วิธีในการตรวจหารูทคิท
- การวิเคราะห์ตามลายเซ็น(Signature-based Analysis) – ซอฟต์แวร์ป้องกันไวรัสจะเปรียบเทียบไฟล์ที่บันทึกไว้กับลายเซ็นที่รู้จักของรูทคิท การวิเคราะห์จะมองหารูปแบบพฤติกรรมที่เลียนแบบกิจกรรมการทำงานบางอย่างของรูทคิตที่รู้จัก เช่น การใช้พอร์ตเชิงรุก
- การ ตรวจจับการสกัดกั้น(Interception Detection) – ระบบปฏิบัติการ Windowsใช้ตารางตัวชี้เพื่อเรียกใช้คำสั่งที่ทราบว่าพร้อมท์ให้รูทคิตดำเนินการ เนื่องจากรูทคิทพยายามแทนที่หรือแก้ไขสิ่งที่ถือว่าเป็นภัยคุกคาม สิ่งนี้จะทำให้ระบบของคุณปรากฏ
- การเปรียบเทียบข้อมูลแบบหลายแหล่ง(Multi-Source Data Comparison) – รูท คิ(Rootkits)ทในความพยายามที่จะซ่อนข้อมูล อาจเปลี่ยนแปลงข้อมูลบางอย่างที่นำเสนอในการตรวจสอบมาตรฐาน ผลลัพธ์ของการเรียกระบบระดับสูงและระดับต่ำสามารถให้การมีอยู่ของรูทคิต ซอฟต์แวร์อาจเปรียบเทียบหน่วยความจำกระบวนการที่โหลดลงในRAMกับเนื้อหาของไฟล์บนฮาร์ดดิสก์
- การตรวจสอบความสมบูรณ์(Integrity Check) – ทุกไลบรารีระบบมีลายเซ็นดิจิทัลที่สร้างขึ้นในขณะที่ระบบถือว่า "สะอาด" ซอฟต์แวร์รักษาความปลอดภัยที่ดีสามารถตรวจสอบไลบรารีสำหรับการเปลี่ยนแปลงโค้ดที่ใช้สร้างลายเซ็นดิจิทัลได้
- การเปรียบเทียบรีจิสทรี(Registry Comparisons) – โปรแกรมซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่มีสิ่งเหล่านี้ตามกำหนดการที่กำหนดไว้ล่วงหน้า ไฟล์ที่สะอาดจะถูกเปรียบเทียบกับไฟล์ไคลเอนต์ในแบบเรียลไทม์ เพื่อตรวจสอบว่าไคลเอนต์มีหรือมีไฟล์เรียกทำงานที่ไม่ได้ร้องขอ (.exe)
กำลังดำเนินการสแกนรูทคิท(Performing Rootkit Scans)
การสแกนรูทคิตเป็นความพยายามที่ดีที่สุดในการตรวจจับการติดรูทคิต ส่วนใหญ่แล้วระบบปฏิบัติการของคุณไม่สามารถเชื่อถือได้ในการระบุรูทคิตด้วยตัวมันเอง และนำเสนอความท้าทายในการพิจารณาการมีอยู่ของมัน รูทคิทเป็นสายลับที่เชี่ยวชาญ ปกปิดร่องรอยของพวกเขาไว้แทบทุกตา และสามารถซ่อนตัวอยู่ในสายตาได้
หากคุณสงสัยว่ามีการโจมตีของไวรัสรูทคิทเกิดขึ้นที่เครื่องของคุณ กลยุทธ์ที่ดีในการตรวจหาคือปิดเครื่องคอมพิวเตอร์และดำเนินการสแกนจากระบบสะอาดที่รู้จัก วิธีที่แน่นอนในการค้นหารูทคิตภายในเครื่องของคุณคือการวิเคราะห์การถ่ายโอนข้อมูลหน่วยความจำ รูทคิตไม่สามารถซ่อนคำสั่งที่ให้ระบบของคุณในขณะที่รันคำสั่งเหล่านั้นในหน่วยความจำของเครื่อง
การใช้ WinDbg สำหรับการวิเคราะห์มัลแวร์(Using WinDbg For Malware Analysis)
Microsoft Windowsได้จัดเตรียมเครื่องมือการดีบักแบบมัลติฟังก์ชั่นไว้ใช้เพื่อทำการสแกนแก้จุดบกพร่องบนแอพพลิเคชั่น ไดรเวอร์ หรือระบบปฏิบัติการเอง มันจะดีบักโหมดเคอร์เนลและรหัสโหมดผู้ใช้ ช่วยวิเคราะห์ดัมพ์ข้อขัดข้อง และตรวจสอบการลงทะเบียนCPU
ระบบ Windows(Windows)บางระบบจะมาพร้อมกับWinDbg ที่รวมไว้ แล้วโดยที่ไม่มีจะต้องดาวน์โหลดจากMicrosoft Store การ แสดงตัวอย่าง WinDbg(WinDbg Preview)เป็นเวอร์ชันที่ทันสมัยกว่าของWinDbgโดยให้ภาพที่มองเห็นได้ง่ายขึ้น หน้าต่างที่เร็วขึ้น การเขียนสคริปต์ที่สมบูรณ์ และคำสั่ง ส่วนขยาย และเวิร์กโฟลว์เดียวกันกับต้นฉบับ
อย่างน้อยที่สุด คุณสามารถใช้WinDbgเพื่อวิเคราะห์หน่วยความจำหรือดัมพ์การแครช ซึ่งรวมถึงBlue Screen Of Death ( BSOD ) จากผลลัพธ์ คุณสามารถค้นหาตัวบ่งชี้การโจมตีของมัลแวร์ได้ หากคุณรู้สึกว่าหนึ่งในโปรแกรมของคุณอาจถูกขัดขวางจากการมีอยู่ของมัลแวร์ หรือใช้หน่วยความจำมากกว่าที่จำเป็น คุณสามารถสร้างไฟล์ดัมพ์และใช้WinDbgเพื่อช่วยวิเคราะห์
การถ่ายโอนข้อมูลหน่วยความจำที่สมบูรณ์อาจใช้เนื้อที่ดิสก์จำนวนมาก ดังนั้นจึงควรดำเนินการ ดัมพ์ โหมดเคอร์เนล(Kernel-Mode)หรือ การถ่ายโอนข้อมูล หน่วยความจำ(Memory) ขนาดเล็ก แทน การถ่ายโอนข้อมูลโหมดเคอร์เนลจะมีข้อมูลการใช้หน่วยความจำทั้งหมดโดยเคอร์เนลในขณะที่เกิดการขัดข้อง ดัมพ์ หน่วยความจำ(Memory)ขนาดเล็กจะมีข้อมูลพื้นฐานเกี่ยวกับระบบต่างๆ เช่น ไดรเวอร์ เคอร์เนล และอื่นๆ แต่มีขนาดเล็กเมื่อเปรียบเทียบ
Small Memory dumps มีประโยชน์มากกว่าในการวิเคราะห์ว่าทำไมBSODจึงเกิดขึ้น สำหรับการตรวจจับรูทคิท เวอร์ชันเต็มหรือเคอร์เนลจะมีประโยชน์มากกว่า
การสร้างไฟล์ดัมพ์โหมดเคอร์เนล(Creating A Kernel-Mode Dump File)
ไฟล์ ดัมพ์ โหมดเคอร์เนล(Kernel-Mode)สามารถสร้างได้สามวิธี:
- เปิดใช้งานไฟล์ดัมพ์จากแผงควบคุม(Control Panel)เพื่อให้ระบบหยุดทำงานเอง
- เปิดใช้งานไฟล์ดัมพ์จากแผงควบคุม(Control Panel)เพื่อบังคับให้ระบบหยุดทำงาน
- ใช้เครื่องมือดีบักเกอร์เพื่อสร้างให้คุณ
เราจะไปกับตัวเลือกหมายเลขสาม
ในการดำเนินการดัมพ์ไฟล์ คุณจะต้องป้อนคำสั่งต่อไปนี้ในหน้าต่างคำสั่ง ของ (Command)WinDbgเท่านั้น
แทนที่FileNameด้วยชื่อที่เหมาะสมสำหรับไฟล์ดัมพ์และ “?” กับฉ(f) . ตรวจสอบให้แน่ใจว่า “f” เป็นตัวพิมพ์เล็ก มิฉะนั้น คุณจะต้องสร้างไฟล์ดัมพ์ประเภทอื่น
เมื่อดีบักเกอร์ทำงานแล้ว (การสแกนครั้งแรกจะใช้เวลาหลายนาที) ระบบจะสร้างไฟล์ดัมพ์และคุณจะสามารถวิเคราะห์สิ่งที่คุณค้นพบได้
การทำความเข้าใจว่าคุณกำลังมองหาอะไร เช่น การใช้หน่วยความจำแบบระเหย ( RAM ) เพื่อระบุการมีอยู่ของรูทคิต ต้องใช้ประสบการณ์และการทดสอบ เป็นไปได้แม้ว่าจะไม่แนะนำสำหรับมือใหม่ ในการทดสอบเทคนิคการค้นหามัลแวร์บนระบบที่ใช้งานจริง ในการทำเช่นนี้ คุณจะต้องใช้ความเชี่ยวชาญและความรู้เชิงลึกเกี่ยวกับการทำงานของWinDbg อีกครั้ง เพื่อไม่ให้ติดตั้งไวรัสที่ถ่ายทอดสดในระบบของคุณโดยไม่ได้ตั้งใจ
มีวิธีที่ปลอดภัยกว่าและเป็นมิตรกับผู้เริ่มต้นมากขึ้นในการเปิดเผยศัตรูที่ซ่อนเร้นของเรา
วิธีการสแกนเพิ่มเติม(Additional Scanning Methods)
การตรวจหาด้วยตนเองและการวิเคราะห์พฤติกรรมยังเป็นวิธีการที่เชื่อถือได้สำหรับการตรวจจับรูทคิท การพยายามค้นหาตำแหน่งของรูทคิตอาจเป็นปัญหาใหญ่ ดังนั้นแทนที่จะกำหนดเป้าหมายไปที่รูทคิต คุณสามารถค้นหาพฤติกรรมที่คล้ายกับรูทคิตได้
คุณสามารถค้นหารูทคิทในชุดซอฟต์แวร์ที่ดาวน์โหลดมาโดยใช้ ตัวเลือกการติดตั้ง ขั้นสูง(Advanced)หรือแบบกำหนดเอง(Custom)ระหว่างการติดตั้ง สิ่งที่คุณจะต้องค้นหาคือไฟล์ที่ไม่คุ้นเคยที่ระบุไว้ในรายละเอียด ไฟล์เหล่านี้ควรถูกทิ้ง หรือคุณสามารถค้นหาออนไลน์อย่างรวดเร็วสำหรับการอ้างอิงถึงซอฟต์แวร์ที่เป็นอันตราย
ไฟร์วอลล์และรายงานการบันทึกเป็นวิธีที่มีประสิทธิภาพอย่างเหลือเชื่อในการค้นหารูทคิต ซอฟต์แวร์จะแจ้งให้คุณทราบหากเครือข่ายของคุณอยู่ภายใต้การตรวจสอบ และควรกักกันการดาวน์โหลดที่ไม่รู้จักหรือน่าสงสัยก่อนการติดตั้ง
หากคุณสงสัยว่ารูทคิตอาจอยู่บนเครื่องของคุณแล้ว คุณสามารถเจาะลึกรายงานการบันทึกไฟร์วอลล์และมองหาลักษณะการทำงานที่ไม่ปกติได้
การตรวจสอบรายงานการบันทึกไฟร์วอลล์(Reviewing Firewall Logging Reports)
คุณจะต้องตรวจสอบรายงานการบันทึกไฟร์วอลล์ปัจจุบันของคุณ การสร้างแอปพลิเคชันโอเพนซอร์ซ เช่นIP Traffic Spyที่มีความสามารถในการกรองบันทึกไฟร์วอลล์ ซึ่งเป็นเครื่องมือที่มีประโยชน์มาก รายงานจะแสดงให้คุณเห็นถึงสิ่งที่จำเป็นในการดูหากเกิดการโจมตีขึ้น
หากคุณมีเครือข่ายขนาดใหญ่ที่มีไฟร์วอลล์กรองข้อมูลขาออกแบบสแตนด์อโลนIP Traffic Spyจะไม่จำเป็น คุณควรจะเห็นแพ็กเก็ตขาเข้าและขาออกของอุปกรณ์และเวิร์กสเตชันทั้งหมดในเครือข่ายผ่านบันทึกไฟร์วอลล์แทน
ไม่ว่าคุณจะอยู่ในบ้านหรือธุรกิจขนาดเล็ก คุณสามารถใช้โมเด็มที่ISP ให้(ISP)มา หรือหากคุณเป็นเจ้าของ ไฟร์วอลล์หรือเราเตอร์ส่วนตัวเพื่อดึงบันทึกไฟร์วอลล์ คุณจะสามารถระบุการรับส่งข้อมูลสำหรับอุปกรณ์แต่ละเครื่องที่เชื่อมต่อกับเครือข่ายเดียวกัน
การเปิดใช้ งานไฟล์บันทึกไฟร์วอลล์ Windows(Windows Firewall Log)อาจเป็นประโยชน์ ตามค่าเริ่มต้น ไฟล์บันทึกจะถูกปิดใช้งาน หมายความว่าจะไม่มีการเขียนข้อมูลหรือข้อมูลใดๆ
- ในการสร้างไฟล์บันทึก ให้เปิด ฟังก์ชัน Runโดยกดปุ่มWindows Windows key + R
- พิมพ์wf.mscลงในช่องแล้วกดEnter
- ในหน้าต่าง Windows Firewall(Windows Firewall)และAdvanced Securityให้ไฮไลต์ "Windows Defender Firewall with Advanced Security on Local Computer" ในเมนูด้านซ้าย ที่เมนูด้านขวาสุดใต้ "การดำเนินการ" คลิกProperties
- ในหน้าต่างข้อความใหม่ ให้ไปที่แท็บ "โปรไฟล์ส่วนตัว" และเลือกกำหนดเอง(Customize)ซึ่งอยู่ในส่วน "การบันทึก"
- หน้าต่างใหม่จะให้คุณเลือกขนาดไฟล์บันทึกที่จะเขียน ตำแหน่งที่คุณต้องการส่งไฟล์ และบันทึกเฉพาะแพ็กเก็ตที่หลุด การเชื่อมต่อสำเร็จ หรือทั้งสองอย่าง
- แพ็กเก็ตที่ ลดลง(Dropped)คือแพ็กเก็ตที่Windows Firewallบล็อกในนามของคุณ
- ตามค่าเริ่มต้น รายการบันทึกของ Windows Firewallจะเก็บข้อมูล 4MB สุดท้ายเท่านั้น และสามารถพบได้ใน%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
- โปรดทราบว่าการเพิ่มขีดจำกัดขนาดการใช้ข้อมูลสำหรับบันทึกอาจส่งผลต่อประสิทธิภาพของคอมพิวเตอร์ของคุณ
- กดตกลง(OK)เมื่อเสร็จสิ้น
- ถัดไป ทำซ้ำขั้นตอนเดิมที่คุณเพิ่งทำในแท็บ "โปรไฟล์ส่วนตัว" เฉพาะครั้งนี้ในแท็บ "โปรไฟล์สาธารณะ"
- บันทึกจะถูกสร้างขึ้นสำหรับการเชื่อมต่อทั้งแบบสาธารณะและส่วนตัว คุณสามารถดูไฟล์ในโปรแกรมแก้ไขข้อความ เช่นNotepadหรือนำเข้าไฟล์ในสเปรดชีต
- ขณะนี้ คุณสามารถส่งออกไฟล์บันทึกลงในโปรแกรมแยกวิเคราะห์ฐานข้อมูล เช่นIP Traffic Spyเพื่อกรองและจัดเรียงการรับส่งข้อมูลเพื่อให้ระบุตัวตนได้ง่าย
จับตาดูสิ่งผิดปกติในไฟล์บันทึก แม้แต่ความผิดพลาดของระบบเพียงเล็กน้อยก็สามารถบ่งชี้ถึงการติดรูทคิตได้ บางสิ่งที่เกี่ยวข้องกับการ ใช้ CPU(CPU) หรือแบนด์วิดท์ มากเกินไปเมื่อคุณไม่ได้ใช้งานอะไรที่มีความต้องการมากเกินไปหรือเลยอาจเป็นเงื่อนงำสำคัญ
Related posts
Download Quick Start Guide ถึง Windows 10 จาก Microsoft
วิธีใช้ Windows 10 PC - บทช่วยสอนและเคล็ดลับสำหรับผู้เริ่มต้น Basic
Download Windows Ink Guide สำหรับ Windows 10 จาก Microsoft
การทำความรู้จักกับ Windows 10 Guide สำหรับ Employees จาก Microsoft
Group Policy Settings Reference Guide สำหรับ Windows 10
Ashampoo WinOptimizer เป็นซอฟต์แวร์ฟรีที่จะเพิ่มประสิทธิภาพ Windows 10
ปิดใช้งาน Lock Screen ใน Windows 10 [คู่มือ]
ปิดการใช้งานหน้าจอสัมผัสใน Windows 10 [คำแนะนำ]
แพคเกจการเปิดใช้งานคืออะไรใน Windows 10
การสร้าง Full System Image Backup ใน Windows 10 [คู่มือที่ดีที่สุด]
เปิดไฟล์ได้อย่างง่ายดายด้วย MyLauncher สำหรับคอมพิวเตอร์ Windows 10
วิธีปิดใช้งานการป้องกันสำหรับ Feature Updates บน Windows 10
แป้นพิมพ์ลัด Windows 10: สุดยอดคู่มือ
ไม่สามารถเชื่อมต่อกับ Xbox Live; Fix Xbox Live Networking issue ใน Windows 10
คำแนะนำเกี่ยวกับตัวจัดการงานของ Windows 10 – ส่วนที่ III
อย่างรวดเร็ว Clear All Cache ใน Windows 10 [คู่มือที่ดีที่สุด]
วิธีการเปิดไฟล์ .aspx บนคอมพิวเตอร์ Windows 10
วิธีการแก้ไขโฮสต์ File ใน Windows 10 [คู่มือ]
วิธีการ Enter BIOS บน Windows 10 [คู่มือ]
คู่มือ HDG Ultimate สำหรับการถ่ายภาพหน้าจอใน Windows 10