Gmer na rootkity

Czyżby walka z rootkitami stała się polską specjalnością? Prezentujemy kolejne narzędzie rodzimej produkcji, służące do wykrywania oraz eliminacji rootkitów.

Program GMER autorstwa Przemysława Gmerka jest wielofunkcyjnym narzędziem służącym do wykrywania oraz usuwania złośliwego oprogramowania ukrywającego się w Windows.

Odkryjmy procesy

Pierwsza zakładka, jaka pojawia się po uruchomieniu programu pokazuje listę procesów w systemie, włącznie z procesami stosującymi zaawansowane techniki ukrywania (opisane szczegółowo w artykule Rootkit na śniadanie). Jak widać na załączonym zrzucie ekranu, Gmer poradził sobie z wykryciem ostatniej wersji Hacker Defendera (podświetlony na czerwono).

Już w tym momencie możemy ubić podejrzany proces korzystając z przycisków po prawej stronie. Po ubiciu procesu funkcje ukrywania plików rootkita przestaną być aktywne i będziemy mogli ręcznie usunąć złośliwy program z systemu. Część lokalizacji znajdziemy w kolejnej zakładce Moduły.

Jednak ze względu na to, że rootkity mogą ukrywać się w wielu różnych lokalizacjach (usługi systemowe, pliki startowe) ręczne usuwanie może być nieskuteczne. Najlepszym pomysłem byłoby, po ubiciu rootkita, uruchomienie antywirusa i przeskanowanie całego systemu.

I tutaj właśnie wychodzi na jaw jedna z najbardziej pomysłowych funkcji Gmera.

Antywirus i tylko antywirus

Ubijając w zakładce Procesy tylko jeden, ukrywający się proces rootkita nie mamy wcale pewności czy w systemie nie działa równocześnie inny - na przykład taki, który nie stosuje technik ukrywania procesów. Ale jak go znaleźć?

Po wciśnięciu przycisku Zabij wszystko program ubije wszystkie procesy w systemie, poza swoim własnym i kilkoma systemowymi. Ostatecznie w systemie powinny zostać cztery procesy niezbędne do jego funkcjonowania. W tym momencie możemy uruchomić antywirus i przeskanować system. Bez rootkitów działających w pamięci powinien on poradzić sobie ze znalezieniem złośliwych binarek przy pomocy samych sygnatur.

Ale jak to zrobić, jeśli nie mamy już pulpitu Windows? Otóż Gmer potrafi uruchomić antywirusa za nas - w szczególności potrafi uruchomić dwa skanery on-line. Do wyboru mamy Arcabit i Kaspersky.

Najpierw, przed ubiciem wszystkich procesów powinniśmy wybrać w zakładce Ustawienia skaner, z którego chcemy korzystać. Następnie po wejściu do AV Skaner powinno rozpocząć się ładowanie strony skanera, w którym musimy zaakceptować odpowiednie kontrolki ActiveX. Mając działający antywirus możemy ubić wszystkie procesy i powrócić do okna AV Skaner.

Jak widać program poradził sobie ze znalezieniem Hacker Defendera. Z powodu jakichś problemów z kontrolkami nie udało mi się uruchomić Arcabita, natomiast z Kasperskim cała procedura przebiegła gładko.

Zgrabne narzędzie

Gmer jest oryginalnym programem, łączącym w sobie ciekawie zaimplementowaną funkcjonalność wykrywania rootkitów oraz przydatne w praktyce uruchamianie antywirusa w wyizolowanym środowisku. Kolejną zaletą programu jest jego rozmiar - poniżej 500 KB.

Program jest w intensywnej fazie rozwoju więc należy uważać ze stosowaniem go w środowiskach produkcyjnych. W opisanej wyżej procedurze nie zauważyłem żadnych problemów, ale już na przykład próba włączenia w ustawienia funkcji Chroń system spowodowała doprowadzenie testowego systemu do takiego stanu, że konieczny był powrót do ostatniej poprawnej konfiguracji.

Program można pobrać ze strony autora pod adresem http://www.gmer.net