64bit computer og sikkerhed...
Er du den heldige ejer af en 64 bit computer, så skal du tænke sikkerhed og rensning på en lidt anden måde end den normale 32 bit bruger. Mange forholdsregler er de samme, men 64 bit computeren adskiller sig fra 32 bit computeren på en række områder. Det vil jeg kort diskutere på denne side. Jeg skal forsøge at gøre det så simpelt som muligt og den mere tekniske læser må så benytte links i bunden af denne side, hvis de vil vide mere.
"Kernel Patch Protection"
I 64bit windows systemer har Microsoft introduceret et ny teknik - såkaldt Kernel Patch Protection (PatchGuard). Kernel er det første "software-lag", der ligger mellem computerens hardware og de programmer (applications) du normalt benytter
 |
billede taget fra Wikipedia
De mest hårdføre virus programmer, spyware og lignende infektioner gemmer sig gerne i kernel for dels at kunne manipulere din computer mest muligt, og dels for at undgå opdagelse (rootkits). Ved at lægge sig "under" dine programmer kan det være endog meget vanskeligt for almindelige programmer at opdage dem. I 32bit styresystemer er dette muligt, men i 64bit systemer har Microsoft introduceret en teknik, der beskytter kernel så ingen programmer (i teorien) længere kan lægge sig ind i den. Kernel bliver ganske enkelt overvåget af et stykke software og i det tilfælde, hvor nogen/noget forsøger at ændre på kernel, så vil computeren ganske enkelt ikke tillade det - i stedet vil computeren initiere almindelig fejlsøgning når et forsøg på at ændre kernel konstateres, og i sidste ende vil computeren lukke ned inden virus og spyware bliver aktive.
"Device drivere" er de stumper hardware specifikke software, der får dit computertilbør (mus, printer osv.) til at virke. Som en del af kernel, eller umiddelbart ovenpå kernel ligger disse "device drivere", som på 32bit systemer har tilsvarende rettigheder som kernel til at udføre processer på computeren. Derfor vil virus, spyware osv. også benytte sig af driver-teknik og driver-lignende programmer til at manipulere din computer og til at skjule sig. På 64bit computere har Microsoft frataget drivere kernel-rettigheder og ikke-godkendte (unsigned) drivers vil ikke længere kunne køre.
De mest komplekse og ødelæggende stykker virus og spyware benytter sig af kernel-mode og driver-mode teknikker, som 64bit computere er beskyttet imod. Således har du med din 64bit computer fået et ekstra lag beskyttelse mod malware, der i øjeblikket er programmeret til at ramme 32bit computere. Det kommer vel på et tidspunkt, men i øjeblikket er der stort set ikke lavet 64bit malware. Der har været succesfulde forsøg på at undgå Kernel Patch Protection, men indtil videre har Microsoft lukket de "huller", der er fundet med jævnlige opdateringer til PatchGuard.
Endelig skal det nævnes, at producenter af processorer (Intel, AMD) har benyttet lejligheden - under udvikling af de nye 64bit processorer - til at indføre mekanismer, der forhindrer udnyttelse af såkaldt "buffer overflow" - en anden kendt teknik til udbredelse af virus/spyware.
"Windows on Windows" (WoW)
På et 64bit system holdes 64bit og 32bit programmer adskilt. De har hver deres egne sæt af systemmapper, og hver deres områder i registreringsdatabasen. Der er dog også områder i registreringsdatabasen, der deles af de to, hvilket kan gøre manuel rensning vanskelig. 64bit programmerne kan godt komme til 32bit program områder, men det omvendte er normalt ikke tilfældet. Da al virus/spyware (malware) er skrevet som 32bit programmer, så vil 64bit delen af din computer være under en vis grad af beskyttelse fra malware. 32bit malware vil forsøge at inficere filer på din computer, men da de ikke umiddelbart har adgang til 64bit delen, så vil det sjældent lykkes. Det betyder dog ikke, at du ikke kan blive ramt af malware på en 64bit computer, men som oftest vil det være ganske enkelt at fjerne, da det ikke kan installeres "ordentligt". Lidt "poppet" sagt, så køres 32bit programmer i et virtuelt miljø, der ikke har indflydelse på 64bit delen af din computer - altså kører der et 32bit Windows system inde i dit 64bit Windows system (heraf Windows on Windows).
Til sammen giver 64bit teknikker og arkitektur (PatchGuard og WoW) dig en del ekstra beskyttelse i forhold til den "normale" 32bit computer. Det nødvendiggør dog også særlige metoder, hvis du skal have fjernet infektioner, der - på trods af din ekstra beskyttelse - er sluppet ind på din computer. Skulle du være blevet ramt af malware, så vil jeg anbefale følgende fremgangsmåde:
1. Hent følgende programmer (jeg går ud fra, at du allerede har antivirus installeret og opdateret):
Malwarebytes AntiMalware
SuperAntispyware
CCleaner
2. Installer SuperAntispyware (som kun kan installeres i Normal tilstand) og CCleaner (husk at fjerne flueben så du ikke får Yahoo Toolbare installeret).
3. Genstart i Fejlsikret tilstand med netværk... og sæt en kande kaffe over - pkt. 4 kommer til at tage timer!
4. a. Kør en rensning med CCleaner (så går de efterfølgende scanninger hurtigere)
4. b. Installer, opdater og kør en fuld scanning med Malwarebytes AntiMalware
4. c. Opdater og kør en fuld scanning med SuperAntispyware
4. d. Kør en fuld scanning med dit Antivirus program
5. Genstart i Normal tilstand, og din computer skulle nu gerne være fri for infektioner.
6. Skulle din computer stadig være inficeret, så er der nu kun nogle få redskaber tilbage (men der bliver flere og flere)... Hent følgende:
http://oldtimer.geekstogo.com/OTS.exe
Dobbeltklik på OTS.exe -> Klik på "Extras" i det lilla område og klik herefter på "Run Scan" i det mørke-grå område. Din computer vil nu blive scannet og efter et stykke tid vil en log åbne sig. Den kan du kopiere ind på på ctrlaltdel.dk - og så vil jeg forsøge at guide dig lidt videre.
Så må vi se, hvad der sker.... :-)
***************************************************************
Referencer:
http://en.wikipedia.org/wiki/Kernel_Patch_Protection
http://blogs.msdn.com/windowsvistasecurity/archive/2006/08/11/695993.aspx
http://en.wikipedia.org/wiki/Architecture_of_Windows_NT#Kernel
http://uninformed.org/index.cgi?v=3&a=3
http://www.microsoft.com/whdc/driver/kernel/64bitpatch_FAQ.mspx