Sử dụng IceSword để Remove Rootkits

Posted: September 11, 2008 in My Tutorials, Sử dụng IceSword để Remove Rootkits

Sử dụng IceSword để Remove Rootkits

Tác giả : Mahesh Satyanarayana (swatkat)

Ngày công bố : May 21, 2006

Chỉnh sửa : Larry Stevenson (Prince_Serendip).

Lược dịch : kienmanowar

Trước tiên download phiên bản English của IceSword tại : http://202.38.64.10/~jfpan/download/IceSword120_en.zip

Giới thiệu :

Trong bài viết này tác giả sử dụng một công cụ rất nổi tiếng đó là HxDef (hay còn gọi là Hacker Defender) để che dấu tất cả các files, folders, các registries entry và thậm chí cả các processes có liên quan tới chương trình Sandboxie. Sau khi thực hiện công việc này, tác giả đã sử dụng công cụ IceSword để phân tích. Phần tiếp theo của bài viết này sẽ là các bước hướng dẫn cụ thể quá trình loại bỏ rootkits ra khỏi hệ thống.
Chú ý : Ở đây chương trình SandBoxie không phải là Malware. Thực chất, nó là một công cụ khá hữu ích để phòng chống malware trong đó có cả rootkits.

Các bước thực hiện :

Bước 1 : Chạy IceSword. Bên tab Functions chọn “Processes” để kiểm tra các processes đang chạy trên máy, tìm kiếm xem có những processes nào bị nghi ngờ , đánh dấu màu đỏ bởi IceSword. Những processes bị đánh dấu màu đỏ được liệt kê ra này là những hidden processes .

Hình minh họa dưới đây cho ta thấy có 2 processes ẩn đó là hxdef100.exe và control.exe :

Photo Sharing and Video Hosting at Photobucket

Bước 2 : Tại tab Functions chọn tiếp “Win32 Services” và tìm kiếm danh sách những mục bị đánh dấu màu đỏ trong danh sách các services trên máy.

Xem hình minh họa bên dưới ta thấy có một Hidden Serivce là HxDef :

Photo Sharing and Video Hosting at Photobucket

Bước 3 : Tiếp theo, chọn “SSDT” và kiểm tra các entry bị đánh dấu màu đỏ. Nếu thấy có bất kì dấu hiệu nào, chú ý đến tên file và tên các folder. Các rootkits hoạt động ở Kernel level chỉnh sửa các SDT entries để hook các hàm APIs natively.

Hình minh họa dưới đây chỉ cho ta thấy kernel level API hooking bới SandBoxie driver:
Photo Sharing and Video Hosting at Photobucket

Bước 4 : Bây giờ chúng ta sẽ tiến hành loại bỏ rootkit ra khỏi hệ thống. Chọn “Processes” , sau đó chuột phải lên các processes bị đánh dấu màu đỏ và chọn “Terminate Process”. Khi bạn thực hiện công việc này IceSword sẽ tiêu diệt các rooted processes.

Xem hình minh họa dưới đây :

Photo Sharing and Video Hosting at Photobucket

Bước 5 : Nhấn chọn “Win32 Services”. Do các rooted processes đã hoàn toàn bị terminated, các rootkit service cũng sẽ hoàn toàn tự động bị stop. Do đó tại thời điểm này service sẽ không còn hidden nữa cho nên nó cũng không còn bị đánh dấu màu đỏ như hình bên trên. Do ta đã lưu lại tên của service tại bước 2, do đó việc tìm kiếm lại nó hoàn toàn dễ dàng. Bây giờ chọn nó , chuột phải và chọn “Disabled” để hoàn toàn disable service này.

Xem hình minh họa dưới đây :

Photo Sharing and Video Hosting at Photobucket

Bước 6 : Tiếp theo chúng ta phải xóa các root files. Nhấn chọn “File”, nó sẽ hiển thị giao diện giống như khi ta làm việc với Windows Explorer. Tìm đến folder nơi có chứa rootkit và xóa chúng.

Xem hình minh họa :

Photo Sharing and Video Hosting at Photobucket
Photo Sharing and Video Hosting at Photobucket

Bước 7 : *Not recommended for novice users*

Các file mà được che dấu bởi rootkit thông thường sẽ tạo và lưu vết trong Registry để tự nó được load lên mỗi khi Windows loads. Để kiểm tra có những startup entries cho bất kì các rooted files nào (thậm chí đã được deleted trong các bước trước), nhấn chọn “Startup”. Nếu như tìm thấy có các startup entries liên quan thì sử dụng công cụ có sẵn của IceSword để remove nó. Chọn “Registry” để vào registry editor tương tự như chúng ta gõ Regedit.exe. Tiếp theo tìm đến các key/value , chọn và xóa chúng.

Hình minh họa dưới đây sẽ cho ta thấy các bước thực hiện :

Photo Sharing and Video Hosting at Photobucket

Photo Sharing and Video Hosting at Photobucket

Bước 8 : Khởi động lại máy, vào File > Reboot and Monitor

Khởi động lại hệ thống sử dụng IceSword :
Photo Sharing and Video Hosting at Photobucket

Bước 9 : Sau khi khởi động lại, chạy lại IceSword một lần nữa và kiếm tra lại như các bước đã thực hiện ở trên.

Xem hình minh họa dưới đây :
Photo Sharing and Video Hosting at Photobucket

Photo Sharing and Video Hosting at Photobucket

Comments
  1. Trịnh Tuấn says:

    Link ảnh die hết rồi ạ 😦
    anh còn giữ bản mềm ko cho em xin:D

  2. kienmanowar says:

    Bài viết này lâu quá rồi, anh không còn giữ bản mềm nữa. Tính tới thời điểm hiện tại thì rootkit đã tinh vi hơn rất nhiều và tác giả của IceSword cũng đã không còn cập nhật nó nữa. Em có thể tìm hiểu thêm phần mềm này http://www.gmer.net/. Rất cảm ơn em đã quan tâm!

  3. Trịnh Tuấn says:

    Em cảm ơn
    Blog của anh em cũng đọc từ lâu rồi,em cũng có hứng thú với Reverse Engineering, có gì nhờ anh chỉ giáo:D

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.