什麼是核心級惡意軟體以及如何防範它
惡意軟體有多種形式,但核心級惡意軟體是最危險的。是什麼讓它如此具有威脅性,你該如何防禦它?下面我們就來探討一下細節。
什麼是核心級惡意軟體?
核心是作業系統的核心元件,負責管理硬體和軟體之間的所有互動。它在稱為「核心模式」的提升特權層級上運行,這使其能夠不受限制地存取所有系統資源,包括記憶體、CPU 和連接的裝置。感染和操縱此特權等級的惡意軟體稱為核心級惡意軟體。
此類惡意軟體利用核心的高權限,使其能夠在偵測到最少的情況下執行惡意活動。透過在如此低的層級上運行,它可以逃避安全措施、持續存在並獲得對關鍵系統操作的控制。
以下是核心級惡意軟體的一些常見範例:
核心 Rootkit:這是最臭名昭著的核心級惡意軟體形式之一,它使攻擊者能夠在不被發現的情況下遠端控制電腦。此存取權限使他們能夠危害安全、安裝更多惡意軟體、監控活動或在 DDoS 攻擊中使用裝置。
Bootkits:它是一種 Rootkit,會感染 PC BIOS 或主開機記錄 (MBR),在作業系統載入之前載入惡意程式碼。他們可以安裝核心級惡意程式碼,並在作業系統重新啟動和重新安裝後持續存在。
核心模式木馬:此類木馬具有較高的權限,可以透過替換進程或嵌入其他進程來有效逃避偵測。
核心級勒索軟體:此類勒索軟體利用核心權限來加密資料或阻止使用者存取系統。它可以更有效地繞過安全性並使復原變得困難。
如何防範內核級惡意軟體
幸運的是,核心級惡意軟體感染您的 PC 相當具有挑戰性。此類惡意軟體需要提升權限,而作業系統不會向未經授權的程式授予這些權限。因此,核心級惡意軟體通常依賴利用已知漏洞或取得對管理員帳戶的實體或遠端存取權限。
PC 安全系統旨在偵測和防止核心級惡意軟體攻擊。即使有人試圖故意安裝此類惡意軟體,作業系統的安全機制也可能會阻止安裝。
但是,您仍然需要在 PC 上啟用安全功能,以最大程度地減少漏洞並及時偵測攻擊。請依照以下步驟防禦核心級惡意軟體:
確保啟用安全啟動和 TPM 2.0
安全啟動和 TPM 2.0(可信任平台模組)是 Windows 中的基本安全功能,對於防禦核心級惡意軟體至關重要。這就是為什麼 Windows 11 安裝也需要它們。
安全啟動在啟動過程中檢查所有軟體的數位簽名,阻止任何未經驗證的軟體運作。
TPM 2.0 是一種實體安全晶片,用於儲存啟動過程的加密雜湊值。它透過在每次啟動時比較這些雜湊值來偵測任何篡改,並在發現變更時提醒使用者。
若要檢查是否啟用了安全啟動,請在 Windows 搜尋中搜尋“系統資訊”,然後開啟“系統資訊”應用程式。您將在系統摘要中找到安全啟動狀態值。確保其設定為On。
若要確保啟用(或支援)TPM 2.0,請按Windows+ R,然後tpm.msc
在「執行」對話方塊中鍵入。
如果其中任何一項已停用,請造訪 BIOS/UEFI,並啟用安全類別下的值。啟用安全啟動應該很簡單,但 TMP 2.0 是您的 PC 可能沒有的硬體晶片。
在 Windows 中啟用基於虛擬化的安全性
基於虛擬化的安全性 (VBS) 使用硬體虛擬化在隔離環境中運行關鍵系統進程,以防止惡意應用程式對其進行篡改。由於核心級惡意軟體經常利用關鍵系統進程中的漏洞,因此此功能可以保護它們。
在 Windows 搜尋中,鍵入“Windows 安全性”,然後開啟Windows 安全性應用程式。轉到裝置安全->核心隔離,並確保記憶體完整性已開啟。
將使用者帳戶控制 (UAC) 設定為最高安全性
UAC 透過阻止應用程式在未經您許可的情況下安裝或更改您的電腦來保護您的電腦。您可以將其設定為最高安全性,以便當您或任何應用程式嘗試安裝某些內容或變更設定時,Windows 總是會詢問您的許可。
在 Windows 搜尋中搜尋“uac”,然後按一下“變更使用者帳戶控制設定”。將此處的滑桿設定為始終在最頂部通知。
讓電腦保持最新狀態
如前所述,核心級惡意軟體經常利用漏洞來感染 PC。保持系統最新可確保及時修補已知漏洞,防止惡意程式利用它們。
確保將 Windows、驅動程式和 BIOS/UEFI 更新到最新版本。
Windows:若要更新 Windows,請前往Windows 設定中的Windows 更新,然後按一下檢查更新。如果它顯示“您已更新”,則一切正常。否則,請下載並安裝建議的更新。
驅動程式:這些是最容易受到攻擊的,因為它們在啟動過程中加載,並且受損的驅動程式可能會在核心層級造成感染。您可以使用iObit Driver Booster等驅動程式更新工具自動更新所有驅動程式。
BIOS/UEFI:更新 BIOS/UEFI 有點困難,因為您需要手動執行,但值得慶幸的是,這些更新很少見。
使用標準使用者帳戶進行日常使用
標準使用者帳戶對許多功能的存取受到限制,但對於日常使用來說已經足夠了。由於它受到限制,它也限制了內核惡意軟體感染設備的能力。
若要建立標準帳戶,請開啟 Windows 設置,然後前往帳戶->其他使用者。按一下「新增帳戶」以建立新帳戶,並確保選擇「標準帳戶」而不是「管理員」。
偶爾運行啟動時掃描
啟動時掃描是大多數防毒軟體(包括 Microsoft Defender)的標準功能。此掃描會重新啟動您的電腦並在作業系統完全載入之前進行掃描。這對於防禦核心級惡意軟體非常有效,因為它可以在它們試圖隱藏作業系統之前檢測到它們。有時,請運行它以確保您的電腦是乾淨的。
若要在 Windows 中執行此掃描,請在 Windows 搜尋中搜尋“Windows 安全性”,然後開啟Windows 安全應用程式。
前往病毒和威脅防護->掃描選項,然後選擇Microsoft Defender 防毒(離線掃描)。當您按一下「立即掃描」時,它會提示您重新啟動電腦以進行掃描。
避免執行有風險的程序
這是避免所有類型的系統安全風險的一般建議,但對於核心級惡意軟體而言尤其重要。如果不停用作業系統的安全功能,它就無法存取核心。這意味著核心級惡意軟體將發出明顯的危險信號,例如要求您停用安全功能來運行應用程式。
謹慎下載可疑軟體,例如電玩駭客或盜版付費程式。如果某個應用程式要求您停用特定的安全保護,那麼潛在的風險可能會超過它所提供的任何好處。
如果您的電腦感染該怎麼辦
異常高的 CPU 使用率、凍結、崩潰 (BSOD) 和可疑網路活動是核心級惡意軟體感染的常見跡象。如果您認為您的電腦已被感染,則需要立即採取行動。不幸的是,您的選擇有限,因為惡意軟體可能非常黏性。
使用具有 Rootkit 刪除功能的防毒軟體
大多數具有 Rootkit 刪除功能的防毒軟體可以刪除大多數類型的核心級惡意軟體。我們推薦Malwarebytes,因為它具有非常有效的專用 Rootkit 刪除功能。
您必須先啟用 Rootkit 掃描功能,因為預設情況下它是停用的。按一下Malwarebytes 中的「設定」,然後前往「掃描與偵測」部分。啟用掃描 Rootkit選項。
您的下一次掃描還將包括 rootkit 掃描功能,該功能可找到感染您 PC 的核心級惡意軟體。
運行啟動時掃描
如上所述,啟動時掃描可以偵測依賴在啟動過程之前隱藏自身的核心級惡意軟體。您可以像我們上面那樣執行 Microsoft Defender 掃描,也可以使用第三方應用程式。Avast One具有強大的啟動時掃描功能,如果 Microsoft Defender 失敗,您可以嘗試該功能。
重新安裝Windows
如果安全軟體無法捕獲核心級惡意軟體,重新安裝 Windows 應該可以解決該問題。您應該進行全新安裝,因為目前映像可能已被感染。安裝 Windows 11 的方法有多種,因此請選擇您喜歡的方法。
總體而言,內核級惡意軟體可能非常危險,但駭客很難將其進入您的裝置。如果您在清除核心級惡意軟體時遇到問題,升級/重新安裝 BIOS 可以解決該問題。您也可以將其交給專業人士來刷新 BIOS 並清除 CMOS。
圖片來源:Freepik。所有螢幕截圖均由 Karrar Haider 製作。
發佈留言