jueves, febrero 25, 2010
Albert López
En éste artículo les presentaré tres sencillas utilidades Rootkit que he utilizado últimamente y creo que para los que les guste detectar las amenazas que se pueden encontrar en un ordenador nunca viene mal éste tipo de herramientas.
Por si alguien todavía no está familiarizado con los Rootkits, estos tienen el objetivo de ocultar malware en un ordenador inyectandose en algúnos procesos legítimos del sistema. Los Rootkits pueden ir conjuntamente con un malware o pueden ir integrado en el, generalmente están integrados y se hacen realmente difíciles de detectar y eliminar sin una herramienta que nos pueda ayudar.
RootRepeal
RootRepeal es capaz de analizar drivers y servicios a mdo kernel para detectar amenazas que se puedan inyectar en procesos o simplemente ocultar. Escanéa siete sectores diferentes a destacar archívos, procesos, servicios ocultos.
Además permíte guardar un log con todo el análisis escogíendo las diferentes partes a analizar y como extra nos permíte eliminar claves en el registro no deseadas.
The Avenger
Herramienta para poder eliminar archivos y claves del registro que no se dejan o por la acción de códigos maliciosos ocultos (rootkits).
Por defecto solo esta activo el escaneo sin eliminar nada, opcionalmente si marcas la casilla "Automatically disable any rootkits found"
seran eliminados en el próximo reinicio. La herramienta hace un escaneo en busca de Rootkit, aunque tambien podemos introducirle
las rutas a eliminar si ya sabemos mas o menos cuales son los rutas creadas por el rootkit.
Link: http://swandog46.geekstogo.com/avenger2/avenger2.html
Peso: 714 KB
S.O: 2000/XP/Vista 32-bits
Tipo: Sin instalación
Tutorial (ingles): http://swandog46.geekstogo.com/avenger2/tutorial.html
- Cada vez que iniciemos el programa mostrará un aviso por parte del programador advirtiendonos, de que se use sabiendo los datos que vamos a eliminar/modificar pues puede causar problemas importantes al sistema.
- Es muy aconsejable echarle un vistazo al tutorial, ya que muchos rootkits de sistema suelen crear servicios ejecutandose como un driver y al eliminarlo puede que el Pc no inicie bien mostrando la peculiar ventana azul de Windows, y aun que hubiesemos creado un backup antes no podriamos recuperarlo si el sistema no inicia.
- Permite la carga de Scripts de terceros, ya sea buscando en internet o desde un archivo en el disco.
- Reinicar es obligatorio para eliminar carpetas y/o archivos rebeldes.
- Se generará un log de reporte después del reinicio, el log se encuentra en C:\Avenger.txt o en el menu del programa, la pestaña "File" y "Open Log File".
GMER Anti-Rootkit
Se divide en 8 pestañas;
Processes: Aqui encontraremos listados los procesos activos en la pc. Podemos matar un proceso en cncreto y visualizar la asociación de archivos utilizaods y sus dependencias.
Se pueden ejecutar comandos.
Modules: Muestra todos los drivers cargados, aunque no permite modificar nada. Nombre del archivo, ruta, dirección de memoria y tamaño del archivo.
Services: Muestra los servicios iniciados y algunos drivers especificos. Permite modificar el estado, el tipo de inicio e incluso eliminarlo.
Nombre del archivo, estado del servicio, ruta del archivo y descripción del proceso.
Files: Administrador de archivos con la peculiaridad de poder borrar un archivo de cualquier parte del disco duro.
Incluyendo la papelera de reciclaje y la carpeta System Volume Information que normalmente se consideran No accesibles por ser parte del sistema.
Registry: Administrador del registro. Permite modificar valores, exportarlos y salvar un log.
Rootkit/Malware: Utilidad de escaneo automatico para localizar entradas relacionadas con rootkits.
En teoría tendría que dejar borrar, matar procesos, borrar archivos, deshabilitar servicios y demas, pero al tratarse de rootkits, estos pueden deshabilitar estas opciones.
Permite salvar un log.
Autostart: Pequeño escaneo para poder ver todas las entradas del registro relacionadas con el inicio de programas. Ejecutables y librerias. Permite salvar log.
CMD: Esta opción no la he usado, pero tiene toda la pinta de una shell tipo a la ventana de ms-dos de Windows. Se pueden insertar comandos tanto en cmd como en regedit. Al introducirle un comando o instruccion, se crea una archivo .bat y/o .reg en la carpeta del Gmer para despues utilizarlos.
Peso: 286 KB
Tipo: Aplicación sin instalación.
S.O: Win2000/NT/XP/Vista
Idioma: Ingles
Link: http://www.gmer.net/
Se divide en 8 pestañas;
Processes: Aqui encontraremos listados los procesos activos en la pc. Podemos matar un proceso en cncreto y visualizar la asociación de archivos utilizaods y sus dependencias.
Se pueden ejecutar comandos.
Modules: Muestra todos los drivers cargados, aunque no permite modificar nada. Nombre del archivo, ruta, dirección de memoria y tamaño del archivo.
Services: Muestra los servicios iniciados y algunos drivers especificos. Permite modificar el estado, el tipo de inicio e incluso eliminarlo.
Nombre del archivo, estado del servicio, ruta del archivo y descripción del proceso.
Files: Administrador de archivos con la peculiaridad de poder borrar un archivo de cualquier parte del disco duro.
Incluyendo la papelera de reciclaje y la carpeta System Volume Information que normalmente se consideran No accesibles por ser parte del sistema.
Registry: Administrador del registro. Permite modificar valores, exportarlos y salvar un log.
Rootkit/Malware: Utilidad de escaneo automatico para localizar entradas relacionadas con rootkits.
En teoría tendría que dejar borrar, matar procesos, borrar archivos, deshabilitar servicios y demas, pero al tratarse de rootkits, estos pueden deshabilitar estas opciones.
Permite salvar un log.
Autostart: Pequeño escaneo para poder ver todas las entradas del registro relacionadas con el inicio de programas. Ejecutables y librerias. Permite salvar log.
CMD: Esta opción no la he usado, pero tiene toda la pinta de una shell tipo a la ventana de ms-dos de Windows. Se pueden insertar comandos tanto en cmd como en regedit. Al introducirle un comando o instruccion, se crea una archivo .bat y/o .reg en la carpeta del Gmer para despues utilizarlos.
Peso: 286 KB
Tipo: Aplicación sin instalación.
S.O: Win2000/NT/XP/Vista
Idioma: Ingles
Link: http://www.gmer.net/
Posted in: Programas
0 comentarios:
Publicar un comentario