Is there a known/recommended way to do
a rootkit scan of 64-bit windows
system?
Existem apenas dois programas em que eu confio para isso:
ComboFix seguido por RegDelNull .
No entanto, não tenho certeza sobre o suporte ao ComboFix 64bit. Mas, se você criar um ponto de restauração antes de usá-lo, poderá usar o Console de recuperação para restaurá-lo, caso algo dê errado.
Mas eu sinto a necessidade de fazer 2 pontos aqui:
1. Mania de 64 bits
Eu ainda estou para entender por que a insistência em usar versões de 64 bits de seus sistemas operacionais. Por todas as razões práticas, há quase 0 vantagens em fazê-lo. Um sistema operacional de 64 bits só é útil quando os aplicativos de 64 bits que utilizam os novos recursos do processador e o espaço de endereço são feitos mainstream. Esse não é o caso. Muito poucos aplicativos são verdadeiros de 64 bits e aqueles que são, são tão somente por razões de compatibilidade. Na maior parte, esses aplicativos não fazem uso, nem têm utilidade para nenhum desses recursos. E então você se mete em problemas, como está vendo agora, ao tentar obter um software especializado que pode não funcionar bem em 64 bits.
2. Métodos
Não há uma maneira clara de fazer a verificação de rootkit. Mesmo a combofix certamente adota sua própria metodologia, que permitirá que outros rootkits ou outros novos passem ilesos. Dito isso, suas ferramentas de escolha sempre serão o console de recuperação ou a inicialização no modo de segurança, onde muitos desses rootkits não estarão em operação.
Com isso, alguns produtos de firewall oferecem proteção no nível do sistema (estou pensando Comodo , por exemplo) que permitirá a você para ver prompts no nível do sistema informando sobre muitas alterações que estão ocorrendo em seu computador.
Além disso, você deve ter o UAC ativado no nível mais alto e estar em execução em uma conta sem administrador. É para isso que o UAC foi criado e não há realmente mais nenhuma desculpa para não executar nossas máquinas Windows com uma conta sem privilégios. Nenhum rootkit jamais contornará o que realmente significa que você não precisa se preocupar em pesquisá-los.
Is it possible that my machine is LESS
likely to have a rootkit problem
BECAUSE I am running as 64-bit OS.
Wouldn't a rootkit have to run as a
64-bit process and isn't it likely
that right now that rootkits will not
be written to target 64-bit since it
is a smaller target audience? Is my
risk surface-area actually less?
Infelizmente não. Como mencionado, os sistemas de 64 bits permitem que aplicativos de 32 bits sejam executados em qualquer nível. Mas atenção! Você adiciona um certo nível de proteção, já que os rootkits podem falhar em um sistema operacional de 64 bits, por vários motivos; o mesmo que muitos outros aplicativos de 32 bits, inexplicavelmente ou não, também tendem a falhar em SOs de 64 bits. Os rootkits não são imunes a bugs. Mas é sobre isso.
Dito isso, há também a possibilidade de certos rootkits começarem a segmentar especificamente sistemas de 64 bits. Então você não está em lugar algum mais seguro.