উইন্ডোজে RootkitRevealer দিয়ে কীভাবে রুটকিট সনাক্ত করবেন

  • অস্পষ্টতা উন্মোচন করতে Windows API এবং নিম্ন-স্তরের রিডিংয়ের মধ্যে অসঙ্গতি সনাক্ত করে।
  • এটি সংক্রমণ পরিষ্কার করে না; আধুনিক সরঞ্জাম এবং অফলাইন স্ক্যানের সাথে এটি ব্যবহার করুন।
  • সুরক্ষিত এলাকা এবং সিস্টেমের পরিবর্তনগুলিকে সঠিকভাবে ব্যাখ্যা করে মিথ্যা ইতিবাচক ধারণা এড়িয়ে চলুন।
Daniel Terrasa

7 মিনিট

রুটকিটরিভিলার

রুটকিটরিভিলার হল সেই কিংবদন্তি টুলগুলির মধ্যে একটি যা উইন্ডোজে রুটকিট সনাক্তকরণের ক্ষেত্রে এক যুগের সূচনা করেছিল। যদিও এটি এখন আর নতুনত্ব নয়, তবুও এটি নিম্ন-স্তরের ম্যালওয়্যার কীভাবে কাজ করে এবং বুদ্ধিমান তুলনামূলক কৌশল ব্যবহার করে কীভাবে এটি আবিষ্কার করা যায় তা বোঝার জন্য খুবই কার্যকর।

যদি আপনি সন্দেহজনক সিস্টেম তদন্ত করতে আগ্রহী হন, এই রিসোর্সটি আপনাকে ফলাফলগুলি সঠিকভাবে ব্যাখ্যা করতে সাহায্য করবে, কীভাবে মিথ্যা ইতিবাচকতা এড়ানো যায়, এবং যখন রুটকিটরিভিলার যথেষ্ট নয় তখন কীভাবে আধুনিক ইউটিলিটিগুলির উপর নির্ভর করা যায়। এখানে একটি ব্যবহারিক এবং স্পষ্ট নির্দেশিকা রয়েছে।

রুটকিটরিভিলার কী এবং এটি কীসের জন্য?

রুটকিটরিভিলার হল একটি সিসেন্টার্নাল ইউটিলিটি যা ডিজাইন করা হয়েছে সিস্টেম যা বলে তার মধ্যে অসঙ্গতি সনাক্ত করুন এবং ডিস্কে এবং রেজিস্ট্রিতে আসলে কী আছে। এই পার্থক্যটি সাধারণ রুটকিট স্টিলথ কৌশলগুলি প্রকাশ করে, যা সিস্টেম কলগুলিকে অচেনা রাখার জন্য ম্যানিপুলেট করে।

মূল ধারণাটি সহজ: যদি স্ট্যান্ডার্ড উইন্ডোজ কোনও ফাইল বা রেজিস্ট্রি কী দেখতে না পায়, কিন্তু একটি নিম্ন-স্তরের স্ক্যান এটি সনাক্ত করে, কিছু ভুল। এটি একটি ক্ষতিকারক ড্রাইভার থেকে শুরু করে লুকানো রেজিস্ট্রি এন্ট্রি পর্যন্ত যেকোনো কিছু নির্দেশ করতে পারে যা একটি রুটকিট অনুপ্রবেশ করছে।

রুটকিটরিভিলার

এটি অভ্যন্তরীণভাবে কীভাবে কাজ করে

রুটকিটরিভিলার সাধারণ উইন্ডোজ এপিআই দ্বারা প্রাপ্ত ফলাফলের সাথে এর মাধ্যমে প্রাপ্ত ফলাফলের তুলনা করে ফাইল সিস্টেম এবং রেজিস্ট্রি হাইভের উপর আরও সরাসরি রিডিংসিস্টেম দ্বারা প্রদত্ত দৃষ্টিভঙ্গির উপর কেবল নির্ভর না করে, এটি ইচ্ছাকৃতভাবে লুকানো বস্তু সনাক্ত করে।

বাস্তবে, এটি সিস্টেম ডিরেক্টরি এবং রেজিস্ট্রির সংবেদনশীল এলাকা স্ক্যান করে অনুসন্ধান করে অসঙ্গতি, অদ্ভুত দৈর্ঘ্য, অপ্রত্যাশিত প্রবেশাধিকার অস্বীকার এবং এমন এন্ট্রি যা একদিকে প্রদর্শিত হয় কিন্তু অন্য দিকে নয়। ফলাফলটি একটি প্রতিবেদনে প্রবেশ করানো হয় যা সাবধানে পর্যালোচনা করা উচিত।

  গ্রোক: হেভি, এক্সপার্ট, ফাস্ট এবং অটো মোডগুলি কীসের জন্য?

সামঞ্জস্যতা এবং প্রকল্পের অবস্থা

এই টুলটির জন্ম Windows XP এবং Server 2003 এর যুগে। সময়ের সাথে সাথে, নতুন কার্নেল সুরক্ষা, ড্রাইভার স্বাক্ষর নিয়ন্ত্রণ এবং সিস্টেমে গভীর পরিবর্তন এসেছে। RootkitRevealer বছরের পর বছর ধরে কোনও বড় উন্নতি পায়নি।, তাই আধুনিক সংস্করণগুলিতে এর কার্যকারিতা সীমিত হতে পারে।

তবে, গবেষণা এবং প্রশিক্ষণের জন্য এটি মূল্যবান। মনে রাখা গুরুত্বপূর্ণ যে এটি কোনও অ্যান্টিভাইরাস নয়, এটি পরিষ্কার বা জীবাণুমুক্ত করে না।, এটি কেবল সূত্র নির্দেশ করে। আপনি যদি Windows 10 বা 11 নিয়ে কাজ করেন, তাহলে এটিকে বর্তমান বিশ্লেষণ এবং প্রতিক্রিয়া সরঞ্জামগুলির সাথে একত্রিত করার পরামর্শ দেওয়া হচ্ছে।

বিশ্লেষণের আগে প্রস্তুতি

যেকোনো বিশ্লেষণ চালানোর আগে, সিস্টেমের কার্যকলাপ কমিয়ে আনার পরামর্শ দেওয়া হয়। খোলা অ্যাপ্লিকেশনগুলি বন্ধ করুন, নির্ধারিত কাজগুলি বিরতি দিন এবং ফাইলগুলি অনুলিপি করা এড়িয়ে চলুন। স্ক্যানের সময়। সরঞ্জামের অবস্থা যত কম পরিবর্তন হবে, ফলাফল তত বেশি ধারাবাহিক হবে।

প্রশাসকের অধিকার থাকাও অপরিহার্য। উন্নত অনুমতি সহ টুলটি চালান অ্যাক্সেস অস্বীকার করার জন্য মিথ্যা ইতিবাচকতা প্রতিরোধ করে এবং রেজিস্ট্রি এবং ফাইল সিস্টেমের এমন কিছু অংশ স্ক্যান করার অনুমতি দেয় যা অন্যথায় মিস হয়ে যেত।

রুটকিট

রুটকিটরিভিলার ব্যবহারের ধাপসমূহ

  1. ইউটিলিটিটি ডাউনলোড করুন অফিসিয়াল সিসেন্টার্নালস ওয়েবসাইট থেকে. এক্সিকিউটেবলটিকে স্থানীয় ফোল্ডারে আনজিপ করুন এটি সহজে রাখার জন্য। সিঙ্ক্রোনাইজড অবস্থানগুলি বা অস্বাভাবিক অনুমতিযুক্ত স্থানগুলি এড়িয়ে চলুন।
  2. অ্যাডমিনিস্ট্রেটর হিসেবে ডান ক্লিক করে প্রোগ্রামটি চালু করুন। লাইসেন্সটি গ্রহণ করুন এবং যাচাই করুন যে রেজিস্ট্রি এবং ফাইল স্ক্যানিং বিকল্পগুলি সক্রিয় আছে।আপনার কিছু ইনস্টল করার দরকার নেই; এটি পোর্টেবল।
  3. "স্টার্ট স্ক্যান" টিপুন এবং যখন ডিভাইসটি কাজ করছে তখন এটি স্পর্শ করবেন না। প্রক্রিয়াটি কয়েক মিনিট সময় নিতে পারে, ডিস্কের আকার এবং রেজিস্ট্রি কীগুলির সংখ্যার উপর নির্ভর করে।
  4. শেষ হলে, ফলাফলের তালিকাটি পর্যালোচনা করুন। রিপোর্টটি সংরক্ষণ করুন এটি আরও বিস্তারিতভাবে অধ্যয়ন করতে অথবা আপনার ঘটনা প্রতিক্রিয়া দলের সাথে শেয়ার করতে।
  ধাপে ধাপে উইন্ডোজ ১১-এ স্ক্রিন ওরিয়েন্টেশন কীভাবে পরিবর্তন করবেন

ফলাফলের ব্যাখ্যা

প্রতিবেদনে সিস্টেম পাথ, রেজিস্ট্রি এন্ট্রি এবং বিভিন্ন ধরণের অসঙ্গতি তালিকাভুক্ত করা হয়েছে। আপনি যা খুঁজছেন তা পরিমাণ নয়, বরং গোপনীয়তার লক্ষণ। সন্দেহজনক এন্ট্রিগুলিতে প্রায়শই এলোমেলো নাম, অস্বাভাবিক অবস্থান থাকে অথবা API ভিউ এবং নিম্ন-স্তরের পঠনের মধ্যে কোনও অমিল আছে।

যদি API-তে কোনও পাথ লুকানো থাকে, কিন্তু ডিস্কে বিদ্যমান থাকে, তাহলে এটি একটি শক্তিশালী ইঙ্গিত হতে পারে। সংবেদনশীল এলাকার অধীনে রেজিস্ট্রি কী পরিষেবা সম্পর্কিত, ড্রাইভার বা অটোস্টার্ট বিশেষ মনোযোগের দাবি রাখে।

মনে রাখবেন যে অদ্ভুত সবকিছুই ক্ষতিকারক নয়। আধুনিক নিরাপত্তা এবং সিস্টেম নিজেই অস্বাভাবিক এন্ট্রি তৈরি করে বৈধ কারণে। তাই সাধারণ মিথ্যা ইতিবাচকতাগুলি কীভাবে চিনতে হয় তা জানা গুরুত্বপূর্ণ।

সাধারণ মিথ্যা ইতিবাচক লক্ষণ

সুরক্ষিত রেজিস্ট্রি হাইভের মধ্যে পার্থক্য দেখা স্বাভাবিক, যেখানে নকশা দ্বারা অ্যাক্সেস সীমাবদ্ধ।টুলটি এন্ট্রিগুলিকে অ্যাক্সেসযোগ্য হিসাবে চিহ্নিত করতে পারে, তবুও এটি প্রত্যাশিত আচরণ হতে পারে।

সিস্টেম ডিরেক্টরি এবং ফাইল সিস্টেম মেটাডেটাতেও অসঙ্গতি দেখা দিতে পারে। পুনরুদ্ধার পয়েন্ট, অ্যান্টিভাইরাস ক্যাটালগের মতো ক্ষেত্রগুলি অথবা বৈধ বিকল্প প্রবাহ রিপোর্টে কোনও প্রকৃত হুমকি ছাড়াই উপস্থিত হতে পারে।

আরেকটি ক্লাসিক হল অস্থায়ী এন্ট্রি যা স্ক্যানিংয়ের সময় পরিবর্তিত হয়। বিশ্লেষণের সময় যদি সিস্টেমটি পরিবর্তিত হয়, তুলনাটি এমন পার্থক্য প্রকাশ করতে পারে যার মধ্যে দূষিত গোপনীয়তা জড়িত নয়।

রুটকিটের লক্ষণ দেখা দিলে কী করবেন

যখন তোমার স্পষ্ট সন্দেহ হয়, তখন তাড়াহুড়ো করে কোনও বিষয়ে যাওয়া এড়িয়ে চলুন। প্রয়োজনে নেটওয়ার্ক থেকে সরঞ্জাম সংযোগ বিচ্ছিন্ন করুন, আপনার ফলাফলগুলি নথিভুক্ত করুন, এবং একটি নিয়ন্ত্রণ পরিকল্পনা প্রস্তুত করুন। অন্ধভাবে কিছু মুছে ফেলবেন না; আপনি পরিস্থিতি আরও খারাপ করতে পারেন।

একটি ভালো অভ্যাস হল অতিরিক্ত সরঞ্জাম ব্যবহার করে একটি বিশ্লেষণ চালানো যা নিশ্চিত করে। প্রমাণের বিভিন্ন উৎস একত্রিত করে সিদ্ধান্ত নেওয়ার আগে। যদি আপনি দূষিত কার্যকলাপ নিশ্চিত করেন, তাহলে উদ্ধার পরিবেশ এবং নিরাপদ পুনঃস্থাপন ব্যবহার করার কথা বিবেচনা করুন।

  কোপাইলট দিয়ে স্ক্রিপ্ট তৈরি: ধাপে ধাপে তৈরি থেকে ডিবাগিং পর্যন্ত

আপনি যদি কর্পোরেট পরিবেশে থাকেন, তাহলে আপনার নিরাপত্তা দলের সাথে যোগাযোগ করুন। একটি সমন্বিত প্রতিক্রিয়া পুনরায় সংক্রমণ রোধ করে এবং সম্ভাব্য ফরেনসিক বিশ্লেষণের জন্য তথ্য সংরক্ষণের অনুমতি দেয়।

সাধারণ ভুলগুলি এড়িয়ে চলা উচিত

  • ধরে নিবেন না যে কোনও পার্থক্য সংক্রমণের সমান। অতিরিক্ত আত্মবিশ্বাস খারাপ সিদ্ধান্তের দিকে পরিচালিত করে, যেমন গুরুত্বপূর্ণ ফাইল মুছে ফেলা এবং সিস্টেম ভেঙে ফেলা।
  • নিশ্চিতকরণ ছাড়া সরাসরি পুনরুদ্ধার বা পরিষ্কার শুরু করবেন না। বিভিন্ন সরঞ্জাম দিয়ে যাচাই করুন এবং ডকুমেন্টেশন দেখুন অভিনয়ের আগে, বিশেষ করে প্রযোজনা দলে।
  • প্রেক্ষাপট উপেক্ষা করবেন না। তৈরির তারিখ, ডিজিটাল স্বাক্ষর এবং এক্সিকিউটেবলের উৎপত্তি হল সন্দেহজনককে বৈধ থেকে আলাদা করার মূল অংশ।

আজকে RootkitRevealer ব্যবহার করা কখন যুক্তিসঙ্গত হবে

এটি দ্বিতীয় মতামত হিসেবে এবং শিক্ষাগত বা পরীক্ষাগারের উদ্দেশ্যে কার্যকর। গোপন করার কৌশল এবং তাদের প্রভাব বুঝতে সাহায্য করে সিস্টেমের অখণ্ডতার ক্ষেত্রে।

উইন্ডোজের আধুনিক সংস্করণগুলিতে বাস্তব-বিশ্বের ঘটনাগুলিতে, এটি একটি টুলসেটের অংশ হিসাবে ব্যবহার করুন। একাধিক প্রমাণের মধ্যে পারস্পরিক সম্পর্ক এটাই তোমাকে একটা দৃঢ় রায় দেবে।

নিরাপত্তা, নীতিশাস্ত্র এবং সম্মতি

শুধুমাত্র সেই সিস্টেমগুলিতে স্ক্যান করুন যেগুলি স্ক্যান করার অনুমতি আপনার আছে। অনুমোদন ছাড়াই অন্যের সরঞ্জাম নিয়ে গবেষণা করুন এটি অবৈধ এবং গুরুতর সমস্যা সৃষ্টি করতে পারে।

আপনি যদি সংবেদনশীল তথ্য পরিচালনা করেন, তাহলে সংগৃহীত তথ্য নথিভুক্ত করুন এবং সুরক্ষিত রাখুন। অভ্যন্তরীণ নীতি এবং আইনি কাঠামোকে সম্মান করে আপনার প্রতিষ্ঠান এবং এখতিয়ারের ক্ষেত্রে প্রযোজ্য।

উপরের সবগুলো থেকে এটা স্পষ্ট যে রুটকিটরিভিলার শেখার এবং গবেষণার উদ্দেশ্যে মূল্যবান, যদি বর্তমান সিস্টেমের সীমাবদ্ধতাগুলি বোঝা যায়। একটি পদ্ধতিগত বিশ্লেষণ, সতর্ক ব্যাখ্যা এবং পরিপূরক সরঞ্জামের ব্যবহার তারা একটি সাধারণ সন্দেহ এবং একটি সুপ্রতিষ্ঠিত সনাক্তকরণের মধ্যে পার্থক্য চিহ্নিত করে।