Domů

Bootovací AV disky

Přihlásit se
eArchiv

Bootovací AV disky

Stále vynalézavější a agresivnější malware se dokáže ve Windows ukrýt téměř dokonale. Pomocí bootovacího antivirového CD odhalíte i ty nejzákeřnější hrozby.
    PETR KRATOCHVÍL  

PETR KRATOCHVÍL  
Bootovací antivir považuji za výborný bezpečnostní nástroj, ale pouze pro zkušenější uživatele. Začátečník s ním totiž často může nadělat „víc škody než užitku“.

Experti odhadují, že zisky z počítačového zločinu už před několika lety překonaly výnosy z distribuce drog či zbraní. Vzhledem k tomu, že IT zločinci rozhodně nejsou hloupí, nemalou část ze získaných miliard investují do dalšího „výzkumu a rozvoje“. I díky tomu vznikají stále komplikovanější viry a trojské koně, schopné proniknout téměř do jakéhokoliv počítače a skrýt se v něm téměř beze stop. Olej do ohně přilévají i samotné státy, jejichž specializované útvary vyvíjejí útočné a výzvědné nástroje pro kybernetickou válku (viz Chip 10/2012, str. 38). Nikoho proto asi příliš nepřekvapí, že ani ty nejlepší antivirové nástroje nemají stoprocentní účinnost. Podstatně horší situace je, pokud na počítači nemáte ten nejlepší (nebo vůbec žádný) antivir. Zjistit, zda je váš systém infikovaný, je v tomto případě téměř nemožné - malware může být v systému skryt jako rootkit a nainstalovaný běžný antivir (nebo on-line nástroj) ho nemá šanci odhalit. Šikovně naprogramovaný rootkit totiž dokáže neuvěřitelná kouzla: kromě toho, že se dovedně skrývá v systému, dokáže také často zabránit spuštění vybraných aplikací (obvykle bezpečnostních nástrojů), případně upravovat výsledky hledání pomocí Googlu.

Bootovací antivir

Řešením problému je využití „služeb“ speciálního antivirového řešení, které maskování rootkitů ignoruje - při jejich použití se totiž Windows vůbec nespustí. Obvykle jde o bezpečnostní řešení na bázi Linuxu. Po nabootování tohoto operačního systému se spustí aplikace upravená výrobcem antiviru, která umožní kontrolu počítače. Kromě kontroly počítače na viry nabízí některé bootovací nástroje i další programy. Praktický je například prohlížeč, který umožní konzultovat nalezenou infekci „přes internet“ nebo stáhnout další bezpečnostní utility. Důležitou komponentou je také souborový manažer, který umožní získat přístup k pevnému disku a zálohovat důležitá data bez nutnosti bootovat do Windows! Některé „bootdisky“ také nabídnou e-mailového klienta nebo poznámkový blok, ty ale pro odvirování počítače důležité nejsou.
Obrovskou výhodou těchto bootovacích nástrojů je skutečnost, že je může použít kdokoliv a kdykoliv. U nich totiž nezáleží na tom, v jakém stavu je kontrolovaný operační systém nebo jak moc je systém zavirovaný. Vzhledem k použitému Linuxu jsou obvykle minimální také systémové nároky - u většiny řešení je minimem 256 (ideálně 512) MB RAM a alespoň procesor Intel Pentium 300 MHz.

Než se pustíte do kontroly

Dříve než se ale pustíte do kontroly (či přímo odvirování) svého systému, je nutné upozornit na několik drobností. Nejprve je třeba si uvědomit, že pokud je systém skutečně masivně „obsazen“ malwarem, může při jeho odstraňování dojít i k odstranění nebo poškození dat či programů. Při testování nás takto „vypekl“ nástroj od F-Secure, který se při skenování na nic neptal a nalezenou infekci rovnou odstranil, což mělo za následek poškození Windows. Většina ostatních nástrojů má implicitně nastaven pokyn jen malware zaznamenat, odstranění je možné až na přímý příkaz uživatele. I tak ale doporučujeme před začátkem kontroly počítače (pokud je to možné) vytvořit bod obnovy a zálohovat všechna důležitá data. Pokud je váš systém v takovém stavu, že už to není možné, použijte nejprve Bitdefender Rescue CD, který obsahuje nástroje na zálohování (Partition Image). Rychlým nouzovým řešením může být zkopírování dat na externí disk pomocí souborového manažeru (obsahují ho například nástroje od firem AVG a Dr. WEB).
Je také nutné počítat s tím, že antivirová kontrola nepatří k nejrychlejším - u větších disků o objemech několika set gigabajtů se klidně může protáhnout na deset hodin. Na rozdíl od standardních antivirů si zde totiž bezpečnostní nástroje nemohou vypomáhat triky zkracujícími dobu skenu.

Bootdisky druhé generace

Bootovací antiviry už nejsou žádnou novinkou - objevily se téměř před deseti lety. Tehdy šlo ale o jednoduché nástroje pracující v režimu příkazové řádky, které zvládly jen jednoduchý sken. Tato druhá generace antivirů už obvykle pracuje v grafickém režimu - základem „bootdisku“ je sice stejně jako před lety Linux, v současnosti už ale s pěkným grafickým rozhraním, téměř podobným Windows. Jednou z mála výjimek byl F-Secure Rescue CD, který stále spoléhal na „pokročilejší“ příkazovou řádku. V jakémsi pseudografickém režimu běžel i vítěz testu od AVG, kterému ale nechyběla přehlednost a snadná ovladatelnost. Někde na půl cesty „uvázl“ Avira AntiVir Rescue System, který měl do pohledné grafiky daleko, ale nabídl větší uživatelský komfort, než byste čekali od příkazové řádky. Naopak nádherné prostředí pro práci nabízely například Kaspersky Rescue Disk 10 nebo Dr. WEB Live CD.
Dalším důkazem vývoje bootovacích antivirů byla rozsáhlá nabídka funkcí. Mezi poměrně běžné patřil například přímý přístup k disku s Windows, který umožňuje zazálohování dat. Pravdou sice je, že například u nástrojů Kaspersky Rescue Disk nebo Bitdefender Rescue CD šlo o poněkud komplikovanější verzi linuxového „správce souborů“ (který může méně zkušené uživatele vyděsit), ale i tak jde o příjemný pokrok. Doslova rozmazlováni jsou uživatelé bootdisků Dr. WEB a AVG, které nabízí obvyklého dvoupanelového správce souborů (á la Total Commander), se kterým je práce dětsky snadná. Opravdovým rekordmanem v nabídce funkcí bylo Rescue CD od AVG. O jeho promyšlenosti svědčí například i skutečnost, že kromě klasického updatu signatur z webu (který nemusí být vždy možný) program nabízí i možnost aktualizace z off-line zdroje - například dat stažených u kamaráda a uložených na flash disk. Podle našeho názoru zaujme nástroj od AVG především zkušenější uživatele - ti například ocení možnost připojení šifrovaných disků (truecrypt), S.M.A.R.T. test disku, nebo nástroj na obnovení smazaných souborů.
Zaujmout své uživatele se snaží také Bitdefender Rescue CD, který nabídne například možnost připojení k internetu přes síť či Wi-Fi, nebo funkce pro zálohování a obnovu (partition image).

Kontroluj a odstraň

Již zmiňovaný problematický přístup nástroje od F-Secure byl naštěstí výjimkou. U všech ostatních antivirů bylo možné přesně určit, co s nalezenými škůdci udělat. Slabší možnosti nabídl jen antivir od Aviry, její „Smart Scan“ rozhodně nemohl nahradit nabídku chybějících „pokročilých“ voleb. U Aviry jsme také kroutili hlavou při zhlédnutí možností hledání konkrétních typů malwaru - žertovné programy a dialery podle našeho názoru patří spíše do minulého století. Přesným opakem byl ale Bitdefender Rescue CD, který nabízel nejen přímou kontrolu na přítomnost rootkitů, ale také například sken sítě!

Achillova pata

Pokud bychom měli testovaným nástrojům něco vytknout a určit jejich vývojářům oblast pro zlepšení, bylo by to jejich ovládání. To je například i jediná slabina našeho vítěze testu: celá řada dialogů byla nadbytečná a počet zbytečných kliknutí zvyšoval zmatek nezkušených uživatelů. Na podobné problémy jsme narazili i u nástroje Bitdefender Rescue CD, jehož poněkud složitější ovládání až příliš odkazuje na linuxové základy. Pokud ale máte tento operační systém v malíčku, budete se v antiviru cítit jako doma. Vzorem pro ostatní tak mohou v této oblasti být jen Dr. WEB Live CD a Kaspersky Rescue Disk, jejichž jednoduché a přehledné ovládání zvládne i začátečník.
Faktem ale zůstává, že naprostou většinu testovaných nástrojů dokáže využít i naprostý začátečník a odstranění jednodušších rootkitů jejich pomocí je hračkou. Ať už vás tedy zaujal kterýkoliv antivir, za vyzkoušení a kontrolu počítače rozhodně stojí.
      autor@chip.cz

SHRNUTÍ TESTU
Vítězem  Překvapivým vítězem testu se stal tentokrát nástroj od AVG. Nenabídl ani nejlepší grafické prostředí, ani nejrychlejší sken, ale v žádné z těchto testovacích disciplín nepropadl. Nás si ovšem zcela získal rozsáhlou nabídkou funkcí, které často nenajdete ani v komerčních bezpečnostních balících s cenou blížící se tisíci korun. Pravda sice je, že většina nástrojů není určena začátečníkům, zkušenější čtenáři Chipu ale budou určitě nadšeni…
Zajímavou variantou pro méně zkušené uživatele může být nástroj Dr. WEB Live CD, které kromě přehledného ovládání nabídne v líbivém grafickém „kabátku“ široké spektrum „bonusů“. Po nabootování „linuxového jádra“ tak můžete nejen pracovat se soubory na disku s Windows, ale také surfovat nebo posílat e-maily. Není tedy překvapením, že tento nástroj najdete i na bootovací verzi Chip DVD (DVD Index Boot CD) a vy si ho můžete snadno kdykoliv bez problémů vyzkoušet.
Nezkušení uživatelé by se měli rozhodně vyhnout Rescue CD od F-Secure. Tento nástroj sice odhalil všechny naše „cvičné hrozby“, ale zároveň je bez jakéhokoliv dotazu smazal a jako „bonus“ přivedl Windows do nouzového režimu. Všechny způsobené problémy se nám sice podařilo během krátké doby opravit a i Windows se po několikaminutové „práci s diskem“ rozběhly, méně zkušení uživatelé by ale mohli zpanikařit a zmiňované problémy neodborným zásahem ještě zhoršit.


Jak Chip testuje AV boot scanery
Bootovací antiviry jsme hodnotili podle celé řady kritérií. Mezi nejdůležitější patřila rychlost, kdy jsme testovali nejen rychlost samotného skenu, ale i aktualizace. Další ostře sledovanou věcí byly funkce - klíčový byl především přístup k datům ve Windows a možnosti skenování. Kladné body získaly nástroje za dodatečnou výbavu, umožňující uživateli pomocí bootovacího disku víc než jen skenování. To se může hodit například tehdy, pokud je váš počítač zcela „mimo provoz“ a vy potřebujete odeslat důležitý e-mail nebo zkontrolovat web. Z hlediska ergonomie jsme ocenili grafické ovládací prostředí a snadné nastavení skenování a práce s nalezeným malwarem.
Výkon (40 %)  Kíčovým kritériem pro hodnocení výkonu byla rychlost aktualizace nástroje a především skenování. Testy probíhaly na notebooku s procesorem i5 a zpola zaplněným pevným diskem o velikosti 500 GB.
Funkce (40 %)  Základem hodnocení byl rozsah funkcí antiviru a možnosti nastavení skenování. Ocenili jsme, když bylo například možné určit, co lze s nalezeným malwarem dělat.
Ergonomie (10 %)  U ergonomie jsme připisovali „kladné body“ za grafické rozhraní, ale kladně jsme hodnotili i snadné a srozumitelné ovládání.
Výbava (10 %)  Zde jsme se zaměřili na zhodnocení dodatečné výbavy bootovacích nástrojů a například ocenili integrovaný prohlížeč, e-mailový klient nebo souborový manažér.


S ČÍM NASTARTOVAT?
Nevíte, který bootovací antivirus zvolit? Nabízíme vám stručný přehled kladů a záporů testovaných programů, který vám toto dilema pomůže vyřešit.

DR. WEB LIVECD
+ grafické GUI
+ rozsáhlé možnosti skenu
+ prohlížeč, e-mail, správce souborů
- pomalejší sken

F-SECURE RESCUE CD
+ relativně rychlý
- ovládání jako z příkazového řádku
- omezené možnosti skenu
- žádné dodatečné nástroje

AVG FREE ANTIVIRUS RESCUE CD
+ velmi rozsáhlá nabídka funkcí
+ pokročilé možnosti skenu a „čištění“
- GUI z minulého století

AVIRA ANTIVIR RESCUE SYSTÉM
+ jednoduché ovládání
- omezené možnosti skenu a „čištění“
- minimální počet doplňkových funkcí

KASPERSKY RESCUE DISK 10
+ příjemné grafické prostředí
- omezené možnosti skenování
- komplikovanější nastavení

BITDEFENDER RESCUE CD
+ nabídka zajímavých funkcí
+ grafické GUI
- komplikovanější ovládání

ROOTKIT: MASKOVANÁ HROZBA
Primárním účelem bootovacích antivirů je odhalování rootkitů. Jde totiž o poměrně nebezpečnou hrozbu, která je běžnými prostředky téměř nezjistitelná. Když v Chipu píšeme o virech nebo malwaru, obvykle máme na mysli software, který ve vašem počítači provádí nekalou činnost - většinou krade citlivé údaje. Navenek se nijak neprojevuje, systému neškodí a na nezabezpečeném počítači může pracovat celé měsíce. Antivirové řešení, které je stále častěji standardní výbavou počítače, si s takovouto hrozbou snadno poradí. Aby tedy nebyl škodlivý program odhalen, používají hackeři tzv. rootkity - programy, které dokážou malware skrýt a zabránit jeho odhalení.

JAK FUNGUJE ROOTKIT
Zjednodušeně lze říci, že moderní operační systémy využívají pro komunikaci mezi softwarem a mezi jádrem operačního systému tzv. DLL knihovny. Například pro výpis běžících procesů program „zavolá“ na příslušnou DLL knihovnu, která mu tento výpis zprostředkuje.
Rootkit funguje tak, že vybrané DLL knihovny upraví a ovlivňuje jejich komunikaci - například maskuje soubory či procesy před uživatelem. Klíčovým problémem je skutečnost, že rootkit sám o sobě může být zcela neškodný a uživatel si vůbec nemusí všimnout, že v systému je. Podezření může uživatel získat až poté, co jeho „maskovací služby“ využije například malware kradoucí finanční údaje. Problémem je, že rootkit se často maskuje téměř na úrovni operačního systému, takže je skoro nemožné odhalit ho běžnými prostředky. Je tak obvykle třeba použít bootovací antiviry nebo specializované antirootkit řešení.
Typickou ukázkou pokročilé techniky rootkitů může být například škůdce známý jako TDL4, který se používá především pro zamaskování instalace keyloggerů a dalšího malwaru na kompromitované počítače. Ačkoliv se objevil už v roce 2008, je pro celou řadu nástrojů dodnes obtížně detekovatelný. Díky integrovanému šifrování je jeho detekce neoproveditelná i ze strany nástrojů na sledování sítě, které nedokážou zachytit komunikaci rootkitu s řídicími servery. TDL4 byl také první rootkit, který mohl infikovat i 64bitové verze Windows, když dokázal obejít ochranu jádra, která měla dovolit instalovat pouze ovladače digitálně podepsané důvěryhodnými stranami.

NOVÉ TRIKY
O tom, že autoři rootkitů nespí a vymýšlejí stále nové a rafinovanější metody skrývání, svědčí i nová verze rootkitu, který je také znám pod názvy Alureon a TDSS. Ten patří sám o sobě mezi nejobtížněji detekovatelné a nejsofistikovanější současné rootkity, ale nová verze jde ještě dále. Při jeho analýze se ukázalo, že jeho komponenty, a to včetně ovladače běžícího na úrovni jádra, byly kompletně přepsány - ať už původními tvůrci, nebo někým, kdo se kódu zmocnil či ho koupil. Rootkit nyní neskrývá v počátečním sektoru MBR (Master Boot Rekord), ale vytváří si na konci disku skryté oddíly a nastavuje je jako aktivní. Díky tomu se spouští spolu s operačním systémem, ale uniká pozornosti antirootkit nástrojů sledujících právě počáteční sektor MBR.


Foto popis|  Nástroj od Aviry balancuje na hranici grafického rozhraní, jeho nabídka funkcí je ale slabší...
Foto popis|  U bootovacího disku od F-Secure příliš mnoho voleb nehledejte. Program působí jako z minulého století.
Foto popis|  Kaspersky Rescue Disk nabízí rozsáhlou nabídku funkcí v elegantním balení.
Foto popis|  Nástroj Dr. WEB Live CD nabízí kombinaci široké nabídky funkcí a přehledného rozhraní.
Foto popis|  Při bootování ze záchranného disku od AVG máte na výběr několik možností...
Foto popis|  Rozhraní AVG Rescue CD má sice do „grafiky“ daleko, ale je přehledné a překvapivě praktické.