Sáu bộ dò tìm Rootkit bảo vệ hệ thống của bạn

Nhiều bộ bảo mật chỉ có mức phát hiện, dò tìm cơ bản đơn giản. Còn các công cụ độc lập chúng tôi sẽ giới thiệu ở đây thực hiện nhiệm vụ "tìm kiếm và phá huỷ" các rootkit có thể đang ẩn náu vô hình đâu đó trong hệ thống của bạn.

Nội dung của bài
	• Giới thiệu • F-Secure BlackLight • IceSword • RKDetector • RootkitBuster • RootkitRevealer • Rootkit Unhooker • Kết luận

Tháng mười năm 2005, chuyên gia Windows Mark Russinovich công bố tin tức gây "sốc" cho giới bảo mật về công nghệ bảo vệ sao chép lừa đảo đang gây tác hại xấu nghiệm trọng. Một số đĩa CD nhạc Sony nào đó gắn kèm chương trình phá hoại lặng lẽ tự động load vào máy tính khi chèn đĩa vào ổ CD-ROM. Công nghệ bảo vệ sao chép mở rộng (hay XCP) ngăn cản mọi cố gắng quét đĩa bằng cách thả một rootkit vào Windows với xu hướng làm mất ổn định hoạt động của máy tính. Không phải mọi chương trình phá hoại đều hoàn toàn ẩn danh: RootkitRevealer của Russinovich xuất hiện trong thời gian ngắn. Thời gian dài trước đó, Sony có nhắc nhiều đến một loại đối tượng bảo mật mới và từ "rootkit" được nhập vào từ điển của hàng triệu người dùng máy tính.

Khái niệm rootkit không phải là điều gì mới mẻ. Nó quay trở lại cùng với những ngày của Unix. Kẻ xâm nhập có thể dùng một bộ công cụ Unix phổ biến, biên dịch lại, cho phép chúng quản trị, sở hữu quyền truy cập gốc mà không để lại dấu vết gì. Rootkit, như chúng ta biết ngày nay, là các chương trình được thiết kế tự ẩn mình trước cả hệ điều hành và người dùng, thông thường bằng cách thực hiện các chương trình chạy cuối quanh hệ thống chung API. Rootkit có thể là một chương trình hợp pháp, nhưng thuật ngữ này thường được dùng cho các hoạt động mang ý nghĩa xấu. Hầu hết là khúc mở đầu của việc trộm thông tin, chủ yếu nhắm đến mã số tài khoản ngân hàng, mật khẩu, dữ liệu quan trọng và đôi khi trở thành nguyên nhân của các kiểu phá hoại khác.

Nhiều hãng sản xuất phần mềm chống virus và phần mềm bảo mật đã bắt đầu bổ sung thêm chức năng dò tìm rootkit (ít nhất ở mức sơ bộ) trong sản phẩm của họ. Có một số công cụ phát hiện rootkit độc lập, miễn phí thường hay được dùng rất phổ biến. Trong bài này chúng tôi sẽ cung cấp cho các bạn sáu ứng dụng độc lập phổ biến nhất cùng chức năng của chúng. Để kiểm tra, chúng tôi cho các ứng dụng quét một số máy tính cài sẵn ba biến thể rootkit khác nhau: Fu hay FuTo, rootkit có thể "luồn" vào bất kỳ chương trình nào; AFX Windows Rootkit 2003, có thể ẩn mọi chương trình và thư mục trên hệ thống; Vanquish, tương tự như AFX nhưng sử dụng cơ chế ẩn hơi khác hơn một chút.

Chúng hoạt động như thế nào

Các bộ dò tìm chủ yếu tự hoạt động bằng cách so sánh danh sách file ở từng thời điểm của hệ thống và xem liệu có gì không khớp không. Một trong số các phương thức đầu tiên thực hiện kiểu dò tìm này là kết xuất hoàn chỉnh một file chứa tất cả các file nằm trong hệ điều hành, sau đó khởi động thành phần Recovery Console và kết xuất danh sách file khác, rồi so sánh chúng với nhau. Nếu một file có ở danh sách thứ hai nhưng không có trong danh sách thứ nhất, mà không phải là file Windows để ẩn mặc định, nó có thể là kẻ xâm nhập. Các chương trình dò tìm rootkit gần đây sử dụng một số biến thể của cách thức này, không đòi hỏi phải tồn tại hệ điều hành riêng để nhận các kết quả có thể dùng được.

Các chương trình này được xem xét dưới góc độ nhẹ nhàng hơn, cùng tính hữu ích của chúng trong tương lai: có dễ sử dụng không; khả năng biên dịch kết quả như thế nào; thời gian update trong bao lâu… Nhớ rằng, rootkit cũng giống như virus, là đích nhắm di động. Chương trình chống rootkit bảo vệ bạn hôm nay cũng phải bảo vệ được bạn vào ngày mai trước toàn bộ biến thể mới của các kiểu đe doạ. Thực tế, nhiều kẻ tạo rootkit viết chương trình tránh sự dò tìm cụ thể bằng một số chương trình đã tồn tại.

Điều quan trọng nhất là các chương trình này hướng đến đối tượng người dùng nâng cao mức chuyên gia. Chúng không được xây dựng để dùng cho các mục đích thông thường. Không phải lúc nào cũng phân biệt giữa khả năng sai xác thực (ví dụ các file ẩn một cách có tính toán của hệ điều hành) và rootkit thực sự. Chúng không có bất kỳ bảo đảm nào, chỉ được cung cấp theo kiểu "chạy luôn", không cần cài đặt. Một số trong đó (như sản phẩm của Trend Micro) sử dụng công nghệ nền tảng cốt lõi trong phiên bản thân thiện người dùng hơn nhiều so với sản phẩm thương mại chính của nó. Nói tóm lại, nếu bạn không phải là một chuyên gia IT, điều tốt nhất bây giờ là thuê một cố vấn có uy tín hoặc dùng dòng sản phẩm chủ đạo thông thường có một số khả năng dò tìm rootkit (như Trend Micro Internet Security).

F-Securu BlackLight

F-Securu BlackLight là một trong số các bộ quét rootkit đầu tiên được dùng rộng rãi nhất (bên cạnh RootkitRevealer). Công nghệ quét của nó hiện nay được sử dụng trong F-Secure Internet Security 2006. Phiên bản hiện tại của chương trình có thể sẽ tạm ngừng một thời gian và được hỗ trợ lại sau ngày cá tháng tư của năm 2007. Sau đó, bạn vẫn có thể dowload và dùng bình thường. Hiện nay chưa có thông tin chính thức, nhưng rất có thể một phiên bản khác của BlackLight sẽ được cung cấp theo kiểu thương mại.

Công nghệ quét của F-Secure BlackLight sẽ nhanh chóng được cung cấp như là một phần trong sản phẩm thương mại

BlackLight thực sự khiến chúng ta nhớ lại RootkitBuster của Trend Micro, không phải chỉ trong cảm giác mà là công nghệ cốt lõi. Mặc dù là một phần của bộ sản phẩm khác, nhưng chúng giống nhau ở tính năng: rất dễ sử dụng. Không có các tuỳ chọn có thể thiết lập, chỉ có cặp nút "Scan" và "Stop". Ở phần khởi động, BlackLight chạy chế độ quét cấu hình trước cho cả các file ẩn và chương trình ẩn. Nhưng hệ thống dò tìm của nó lại khá tỉ mỉ. Nó "tóm" được chương trình ẩn do rootkit Fu thực hiện và dò ra hai rootkit khác.

Chương trình quét hệ thống file chỉ mất một vài giây để thực thi, ngay cả trên hệ thống tương đối nhỏ. Khi đó bạn có thể gọi ra một danh sách tất cả chương trình đang chạy và có thể được dò tìm. Bạn sẽ phải cung cấp tuỳ chọn xoá bất kỳ rootkit nào phát hiện được trong máy tính, bao gồm cả việc đặt lại tên cho các file xâm phạm hoặc xoá chúng hoàn toàn khỏi máy tính, buộc máy tính phải khởi động lại.

Một điểm khó chịu nhỏ với giao diện người dùng kiểu Wizard là bạn không thể quay trở lại, chỉ có thể đi tiếp về sau. Nếu gặp phải lỗi nào đó, ngoại trừ trên trang hiện tại, bạn phải khởi động lại toàn bộ chương trình từ đầu.

F-Secure cũng có phần hướng dẫn sử dụng và tài liệu tham khảo chi tiết như các chương trình dò tìm rootkit khác. Cho dù chương trình này ở mức chuyên gia, nhưng có được một phần hướng dẫn rõ ràng bao giờ cũng tốt hơn.

IceSword 1.20

IceSword ngày càng nổi lên như là một công cụ dò tìm rootkit mạnh nhất và triệt để nhất, mặc dù cũng khó tìm nhất. Người tạo ra nó, một lập trình viên nói tiếng Trung Quốc, có nickname pif_, đưa ra chương trình này trên website của anh ta. Nhưng sau khi đường link trở nên cực kỳ chậm, ứng dụng được nhân bản ra nhiều website download miễn phí khác trên thế giới (chẳng hạn như MajorGeeks.com).

Sau khi xác định được chương trình ẩn, IceSword cung cấp cho bạn tuỳ chọn, hoặc là kết xuất thông tin, hoặc xoá triệt để.

Bản thân chương trình ban đầu chỉ có ở dạng chữ Trung Quốc, nhưng sau khi được nhân bản sang nhiều website khác, nhiều người dịch và cho ra đời phiên bản tiếng Anh (mặc dù phần Help vẫn chỉ có dạng chữ Hoa). Tuy ngôn ngữ gây trở ngại không nhỏ, nhưng bạn vẫn có thể có được bản copy của nó với không quá nhiều phiền phức. Và bản dịch tiếng Anh cũng khá dễ đọc.

IceSword thực hiện một số chương trình quét hệ thống khác nhau và cố gắng xác định liệu có chương trình ẩn nào đang chi phối không: chạy các tiến trình, khởi động chương trình, dịch vụ,…. Có một màn hình "System Check" (kiểm tra hệ thống) "tất cả trong một", nhưng không thể giải thích được tại sao nó được đặt ở tận cuối danh sách quét mà không phải là mặc định. Nếu bạn chạy chế độ này, nó sẽ tạo ra một báo cáo khá súc tích về bất kỳ hoạt động đáng ngờ nào.

Bạn có thể đi sâu vào các báo cáo chi tiết hơn, bổ sung thêm thông tin về chương trình hay file xâm phạm và tiêu diệt nó. Bạn có thể thực hiện việc xoá tỉ mỉ hơn nếu thích. Tuy vậy, xuất hiện hai vấn đề với chương trình trong phiên bản 1.3: khi quét rootkit như AFX 2005 chẳng hạn, chương trình phá luôn nó.

Có một số chi tiết nhỏ, đưa ra khẳng định chắc chắn rằng chương trình này được xây dựng dành cho các chuyên gia. Chức năng "Reboot and Monitor" khởi động lại máy tính, sau đó dò tìm xem có bất kỳ cố gắng ẩn chương trình hay các điểm vào Registry trong thời gian khởi động không. "Forbid all process/thread creating" cho phép bạn "khoá" phần còn lại của hệ thống khi bắt đầu chương trình mới, sau khi IceSword đã load một mức bảo vệ nào đó. Mặc định, bạn có thể thiết lập IceSword ghi "nhật ký" các chương trình và đe doạ mới được tạo ra, sau đó phân tích về khả năng có kẻ xâm phạm.

IceSword được update khá đều đặn. Các phiên bản dòng 1.x xuất hiện trong suốt năm 2006 và pif_ nói rằng anh sẽ tiếp tục update, cung cấp thêm phiên bản mới cho chương trình với một số tính năng nổi trội khác. Phần mềm này cũng có một cấu trúc plug-in, có thể dùng để mở rộng chương trình. Hiện nay IceSword mới chỉ có một công cụ bổ sung add-on, được dùng cho hoạt động chỉnh sửa đĩa mức thấp.

RKDetector 2.0

RKDetector thực tế có hai ứng dụng: một dùng để quét các file ẩn trong ổ cứng và một để quét chương trình ẩn, hook kernel (các móc nối trong nhân hệ điều hành). Để thực hiện quét nâng cao trong phần mềm này hơi khó khăn một chút. Bạn phải tiến hành quét từng phần riêng rẽ mà không có cách nào có được một báo cáo tổng hợp. Các kết quả được đưa ra riêng từng phần không cản trở chức năng chính của công cụ náy, nhưng tính hữu ích của nó bị lu mờ đi so với một số ứng dụng khác được thảo luận ở đây.

RKDetector quét file và chương trình ẩn riêng; giao diện của nó không rõ ràng dễ hiểu.

Chương trình chính gồm 5 tab: Rootkits, Browser, Recovery, ADS (để quét các dòng dữ liệu luân phiên NTFS, nơi rootkit có thể trú ẩn), và Registry.

Trước khi quét bất kỳ đối tượng nào, bạn phải cung cấp một đường dẫn gốc để biết bắt đầu quét từ đâu (ví dụ: C:\) chứ không phải chỉ cần kích vào Go hay ấn Enter. Tab Rootkit là nơi tốt nhất để bắt đầu và thường trả ra nhiều kết quả nhất. Thư mục nào có các file ẩn sẽ được đánh dấu đỏ. Nếu các file được phát hiện ở dạng ẩn nhưng không phải là hợp pháp do hệ điều hành thực hiện, nó sẽ bị đánh dấu đỏ đậm. Một điểm hạn chế ở đây là, nếu rootkit ẩn một vài thư mục chứ không phải một thư mục duy nhất, bạn sẽ phải tự phát hiện thêm một cách thủ công các thư mục liên quan. Điều này có thể khiến bạn rất bực mình.

Sau khi tìm được file xâm phạm, bạn có thể: kết xuất lên chính file đó hoặc lên điểm vào bảng MFT, ghi nó lại hoặc xoá một cách an toàn (điểm vào MFT cũng được xoá theo). Chương trình dùng thuật toán "xoá an toàn" U.S. DoD 5200.28-STD để chắc chắn rằng file được hoàn toàn loại bỏ và bạn có thể dùng nó với một chút cẩn trọng.

Không có gì ấn tượng lắm với phần dò tìm chương trình ẩn, phân tích hook của RKDetector. Nó không tìm được chương trình trong bộ nhớ bị xâm phạm bởi rootkit như Fu.

Trend Micro RootkitBuster 1.6

Một trong những điểm thú vị nhất ở Trend Micro là họ thường tạo quà tặng từ chính sản phẩm thương mại của mình. Nếu bị nhiễm virus, bạn có thể dùng công cụ antivirus trực tuyến của họ để "quét và làm sạch". Với rootkit cũng như vậy, Trend Micro đã tách công nghệ dò tìm rootkit trong sản phẩm Internet Security 2007 thương mại thành một công cụ độc lập miễn phí tặng người dùng. Phần tài liệu hướng dẫn hầu như không có, và cũng không thể biết được sản phẩm có được update thường xuyên hay không. Nhưng nếu đã có nó trong tay, chắc hẳn bạn lúc nào cũng sẽ kè kè mang theo nó.

RootkitBuster của Trend Micro không có nhiều tuỳ chọn, nhưng công cụ quét khá hoàn hảo

RootkitBuster thực hiện công việc của mình không tồi. Chương trình có thể chạy ngay mà không cần cài đặt và quét năm khu vực: hệ thống file, Registry, các chương trình chạy, ổ cứng và các hook dịch vụ mức hệ điều hành. Kết quả được tự động ghi vào file log. Nếu file nào được phát hiện là xâm phạm, bạn có thể lựa chọn xoá nó (và buộc máy khởi động lại để đảm bảo chắc chắn file đã bị xoá).

Vì một số lý do, RootkitBuster không quét danh sách các hook (móc nối) dịch vụ mặc định. Nhưng có tuỳ chọn điều khiển chức năng này cho người dùng trong giao diện "một và chỉ một" của chương trình. Vì thể đây không phải vấn đề gì to tát. (Chắc hẳn tuỳ chọn này không được đặt mặc định để cắt giảm tổng thời gian quét, từ khi hầu hết rootkit được phân thành bốn loại khác nhau).

Ứng dụng này có tốc độ quét nhanh hơn một chút, nhưng thông tin về các vấn đề được phát hiện lại ít hơn nhiều so với IceSword hay Rootkit Unhooker. RootkitBuster thực hiện tốt công việc dò tìm và xoá. Nó "tóm" được các chương trình ẩn bởi rootkit Fu và tìm ra hai rootkit kiểm tra khác khá hoàn hảo. Cả ba đều được xoá ngay chỉ cần bấm vào một nút và khởi động lại. Tuy nhiên các file đáng ngờ phát hiện ra sẽ không bị xoá nếu RootkitBuster xác định phải tự bảo vệ mình trước sự phá hoại của rootkit mà nó thấy là không nên tác động.

RootkitRevealer 1.71

RootkitRevealer 1.71 (RKR) là một trong các công cụ dò tìm rootkit đầu tiên của Mark Russionovich và Bryce Cogswell của Winternals (bây giờ là một bộ phận của Microsoft). Nó bị giới hạn trong phạm vi nhất định dù được update khá thường xuyên. Phiên bản gần đây nhất ra đời tháng 11 năm 2006 ở Mỹ. Russinovich và Cogswell là các chuyên gia kỹ thuật Windows trong chi nhánh. Ứng dụng dò tìm rootkit này sẽ tiếp tục được update, ít nhất là trong thời gian hiện tại.

RookitRevealer chỉ quét trên đĩa cứng chứ không quét bộ nhớ. Nhưng cơ chế quét ổ cứng thực sự rất mạnh.

RKR khá đơn giản trong sử dụng. Chỉ cần mở nó ra (không đòi hỏi phải cài đặt), kích "Scan", nó sẽ lặp lại qua Registry, hệ thống file để tìm bất kỳ xâm phạm nào từ hệ điều hành. Chương trình sẽ đưa ra một số cảnh báo lỗi sai mặc định, hầu hết trong lĩnh vực Security (bào mật) của Registry, được chú thích chi tiết và dễ dàng lờ đi.

Kết quả được hiển thị trong báo cáo mở, nhưng không thể đưa ra hoạt động nào để xử lý các phần tử bị phát hiện trong bản thân chương trình. Ví dụ, bạn không thể kích phải chuột lên một file đáng ngờ và đánh dấu xoá. Muốn có hoạt động bạn phải hoàn toàn thực hiện theo cách riêng khác, có thể sẽ khó khăn nếu phải xử lý một file hay chương trình được đội lốt file hợp pháp.

Tài liệu hướng dẫn của RKR chỉ ra rằng, nó không được thiết kế để dò tìm các rootkit tự đội lốt khác trong bộ nhớ như Fu (nó không tìm được rootkit này). Chương trình sẽ kiểm tra cụ thể từng phần để xem liệu có cái gì đang cố gắng tự xâm nhập vào file hệ thống hoặc Registry. Ở khía cạnh này nó bị giới hạn.

Ứng dụng này có thể dò tìm dấu hiệu của hai rootkit khác, cũng không tệ lắm. Nhưng muốn quét nâng cao và khả năng định nghĩa nhiều hoạt động hơn trước rootkit, RKR chưa thể đáp ứng tốt như nhiều ứng dụng khác.

Rootkit Unhooker 3.0

Giống như IceSword, Rootkit Unhooker không có nguồn gốc chính xác. Nó là sản phẩm của nhóm lập trình viên đến từ Nga, nhưng tốt hơn và nâng cao hơn các chương trình đã từng được nói đến. Điều đó cũng có nghĩa là nó phức tạp hơn nhiều, nhưng các lập trình viên giúp người dùng dễ hiểu hơn bằng một báo cáo đơn tất cả lĩnh vực chương trình có thể quét.

Sau khi dò tìm ra một tiến trình ẩn, Rootkit Unhooker cho phép bạn diệt chương trình xâm nhập và thậm chí an toàn hơn là xoá nó.

Khi chạy, chương trình sẽ thực hiện chế độ tự kiểm tra tính toàn vẹn để đảm bảo rằng nó không bị phá hoại bởi một rootkit nào đó. Rootkit Unhooker đã giữ lại một trong số các rootkit được dùng để kiểm tra và cung cấp thông tin chi tiết tuyệt vời hơn và cho phép người dùng xoá sạch tận gốc rootkit này.

Rootkit Unhooker có sáu tab cho từng khu vực hoạt động: kernel hook (các móc nối ở nhân hệ điều hành), chương trình ẩn, ổ ẩn, file ẩn, code hook (móc nối mã nguồn) và một tab báo cáo toàn bộ. Bạn có thể kích vào "Scan" ở mỗi tab để quét theo các kiểu cụ thể, hoặc vào tab báo cáo tổng quan để quét tất cả một lần, có thể phải mất lượng thời gian rất lâu. Báo cáo đầy đủ thường khá dài dòng, nhưng cần làm cho nõ rõ ràng nếu bạn tóm được rootkit nào đó. Công cụ này cho phép phát hiện được sự có mặt của cả ba rootkit kiểm tra mà không gặp phải vấn đề gì.

Nếu tìm ra một chương trình xâm phạm hay đáng ngờ, bạn có thể: thông thường là kết liễu nó, buộc chương trình phải đóng lại, xoá file hoặc một số hoạt động kết hợp khác. Nếu đã diệt, xoá một hay nhiều file, bạn nên khởi động lại máy hoặc tuân theo một cách "thủ công" chương trình khác để chắc chắn vấn đề đã được xử lý tận gốc. Nếu vẫn chưa thấy yên tâm, bạn có thể buộc một BSOD hoạt động để ngừng chạy tất cả các file không cần thiết. Thành phần đơn hấp dẫn nhất là "Virtual Machine Detector", sử dụng thời gian ngắn ngủi giữa hai lệnh CPU để xác định liệu hệ điều hành có chạy trực tiếp trên PC không hay trong một máy ảo. (Ít nhất, một rootkit lý thuyết được thiết kế ra để "bọc" hệ điều hành của nạn nhân trong một máy ảo).

Rootkit Unhooker được update một cách khá đều đặn (5 lần từ tháng 11 năm 2006). Mặc dù một số lệnh nhắc của nó được dịch sang tiếng Anh một cách vụng về, nhưng ngôn ngữ không làm giảm được tính hữu ích và chức năng của chương trình. File trợ giúp (Help) rất mạch lạc, chặt chẽ.

Kết luận

Các công cụ dò tìm rootkit chúng tôi giới thiệu ở đây được chia thành hai loại cơ bản:

1. Các công cụ được viết một cách chuyên nghiệp, hầu hết là một cách tiếp thị cho sản phẩm thương mại của nhà sản xuất.

2. Các công cụ của tác giả độc lập có nguồn gốc rộng rãi và tiện dụng.

Mỉa mai là một trong các công cụ của tác giả độc lập, Rootkit Unhooker lại được đánh giá là tốt nhất. Không biết các hãng lớn có xem đây là một đối thủ cạnh tranh không, nhưng công cụ độc lập bây giờ được nhiều chuyên gia lựa chọn hơn.

Rootkit vẫn tiếp tục sinh sôi và phát triển không ngừng, trở nên ngày càng khó phát hiện. Cho dù là hãng chế tạo phần mềm bảo mật mới hay những người viết công cụ độc lập, một sự nỗ lực không ngừng nhằm cập nhật bổ sung, update cho các công cụ luôn được thực hiện. Còn chúng ta, hãy tận dụng các phiên bản miễn phí hữu ích và đóng góp ý kiến cho họ để tiếp tục có được sản phẩm tốt hơn.