Cách phòng chống mã độc Rootkits

Một phần của tài liệu BÀI TẬP NHÓM AN TOÀN THÔNG TIN (Trang 40 - 41)

Phát hiện rootkit đã khó, loại bỏ chúng và những phần mềm phá hoại đi kèm còn khó hơn bội phần. Rootkit có thể can thiệp và ngăn chặn quá trình quét/diệt rootkit. Vì vậy, chúng ta nên lưu trữ các dữ liệu quan trọng trước khi bắt đầu

chạy tiện ích loại bỏ rootkit. Rất có thể sau khi loại bỏ rootkit, Windows sẽ không hoạt động được bình thường hay tệ hơn là dữ liệu trên đĩa bị rootkit xóa mất khi “nó” biết sắp bị xử lý. Nói chung, không có cách nào để đảm bảo chắc chắn hệ thống không có rootkit nếu kiểm tra ngay từ máy đó. Rootkit chế độ nhân như RootkitRevealer có thể kiểm soát mọi hành vi của hệ thống, dù đó là thao tác đọc thẳng dữ liệu của FAT/NTFS. Việc so sánh kết quả quét trực tuyến và kết quả quét off-line từ một môi trường sạch như khởi động bằng CD có thể tin cậy hơn nhưng ngay cả cách làm đó cũng có thể bị rootkit vô hiệu hóa. Cuộc chiến giữa những kẻ viết rootkit và các công cụ quét rootkit là một cuộc đuổi bắt không ngừng và người dùng sẽ phải liên tục cập nhật các chương trình quét rootkit.

Để quá trình quét/diệt rootkit thực sự hiệu quả, cần đọc kỹ hướng dẫn của chương trình để biết các bước đặc biệt (nếu có) trước, trong và sau khi quét. Sau khi đã quét xong, hãy khởi động lại máy và quét lại lần nữa để khẳng định các rootkit vừa diệt không quay trở lại. Cuối cùng, nếu muốn đảm bảo hệ thống không còn rootkit thì biện pháp hiệu quả nhất là định dạng lại ổ cứng và cài lại Windows.

Rootkit thực ra là mối đe dọa an ninh thứ phát. Nói một cách khác, hệ thống đã có một số lỗ hổng bảo mật cho phép tin tặc xâm nhập hệ thống, chẳng hạn như cấu hình sai, xác thực yếu hay lỗ hổng bảo mật chưa được vá. Khi rootkit đã được cài vào hệ thống tức là hệ thống đã bị xâm nhập từ trước. Cách tốt nhất để phòng chống rootkit là ngăn chặn khả năng cài đặt chúng bằng chiến lược phòng thủ nhiều lớp. Cụ thể là:

- Cập nhật hệ thống chống antivirus và phần mềm gián điệp. - Triển khai hệ thống tường lửa mạng và host-based.

- Cập nhật các bản vá cho hệ điều hành và ứng dụng. - Xiết chặt hệ điều hành.

- Sử dụng phương pháp xác thực mạnh.

- Không bao giờ sử dụng phần mềm từ những nguồn không tin cậy.

Một phần của tài liệu BÀI TẬP NHÓM AN TOÀN THÔNG TIN (Trang 40 - 41)

Tải bản đầy đủ (PDF)

(43 trang)