Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA INF2 + INF3 - CZERWIEC 2015



PYTANIE NR 44.
Najmniej inwazyjnym, lecz skutecznym sposobem leczenia komputera zainfekowanego wirusem typu rootkit jest
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Rootkit potrafi ukrywać procesy i modyfikacje systemu, przez co działania wykonywane w zainfekowanym środowisku (np. Menadżer zadań czy monitor AV) mogą być niewiarygodne. Uruchomienie narzędzia z zewnętrznego, zaufanego nośnika umożliwia skanowanie "offline" i zwiększa szansę skutecznego wykrycia przy zachowaniu małej inwazyjności.

Pełne wyjaśnienie:

Rootkit to rodzaj złośliwego oprogramowania, którego celem jest ukrycie obecności atakującego i utrzymanie kontroli nad systemem. Charakterystyczne jest to, że rootkit może wpływać na to, co "widzi" system i użytkownik: listę procesów, plików, wpisów rejestru czy połączeń sieciowych. Z tego powodu praca w już uruchomionym, podejrzanym systemie bywa obarczona ryzykiem błędnej diagnozy.

Dlaczego uruchomienie specjalnego programu z zewnętrznego nośnika jest najmniej inwazyjne i skuteczne?

  • Najmniej inwazyjne – nie wymaga kasowania danych ani pełnej reinstalacji; celem jest diagnostyka i usunięcie zagrożenia z minimalną ingerencją.
  • Skuteczne – uruchomienie systemu ratunkowego/środowiska Live pozwala skanować dyski, gdy podejrzany system nie jest aktywny, co ogranicza zdolność rootkita do ukrywania się.
  • Zaufane środowisko – narzędzie startuje z nośnika, który nie był modyfikowany przez infekcję, więc wyniki skanowania są zwykle bardziej wiarygodne.

Dlaczego pozostałe odpowiedzi są błędne?

  • Usunięcie procesów w Menadżerze zadań – rootkit może ukrywać proces, automatycznie go wznawiać albo działać na poziomie, którego Menadżer nie pokaże. To metoda doraźna i często nieskuteczna.
  • Przeinstalowanie systemu operacyjnego – bywa skuteczne, ale nie spełnia warunku "najmniej inwazyjne", bo oznacza dużą ingerencję, przerwy w pracy i ryzyko utraty konfiguracji/danych (jeśli nie ma kopii).
  • Zainstalowanie najlepszego AV i czekanie – podejście "z czasem samo wykryje" jest ryzykowne: rootkit może blokować mechanizmy ochrony, ukrywać artefakty i działać dalej. Reakcja powinna być aktywna, a nie odłożona w czasie.

Wskazówka egzaminacyjna: gdy w pytaniu pojawia się zagrożenie typu rootkit i jednocześnie mowa o skuteczności, zwykle kluczowe jest uruchomienie skanowania poza zainfekowanym systemem (offline/bootowalny nośnik), bo zmniejsza to wpływ malware na wynik diagnostyki.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co to jest rootkit i czym różni się od zwykłego wirusa?
Rootkit to malware zaprojektowane głównie do ukrywania swojej obecności i umożliwiania dalszej kontroli nad systemem. W przeciwieństwie do wielu "zwykłych" wirusów może fałszować wyniki narzędzi systemowych (procesy, pliki, wpisy), dlatego jego wykrycie i usunięcie bywa trudniejsze.
Dlaczego skanowanie z LiveCD lub nośnika ratunkowego jest skuteczniejsze?
Bo skan odbywa się w zaufanym środowisku uruchomieniowym, gdy podejrzany system nie jest aktywny. Rootkit ma wtedy mniejsze możliwości ukrywania plików i procesów oraz manipulowania wynikami. To zwiększa wiarygodność diagnostyki i szansę skutecznego usunięcia.
Jakie są objawy, że komputer może mieć rootkita?
Częste sygnały to nietypowe spowolnienia, dziwne połączenia sieciowe, problemy z aktualizacjami zabezpieczeń, samoczynne wyłączanie ochrony lub niespójne wyniki skanów. Same objawy nie przesądzają o rootkicie, ale wskazują na potrzebę głębszej diagnostyki, najlepiej offline.
Czy Menadżer zadań wystarczy do usunięcia złośliwych procesów?
Zwykle nie. Rootkit może ukrywać proces, wznawiać go po zakończeniu albo działać na poziomie, którego Menadżer zadań nie pokazuje wprost. Zamykanie procesu bywa tylko chwilowym obejściem i nie usuwa przyczyny infekcji ani mechanizmu trwałości.
Kiedy reinstalacja systemu jest lepszym wyborem niż skan offline?
Gdy nie masz zaufania do integralności systemu, infekcja wraca, pojawiają się oznaki głębokiej kompromitacji lub nie da się potwierdzić pełnego usunięcia. Reinstalacja bywa skuteczna, ale jest bardziej inwazyjna i wymaga kopii danych oraz ponownej konfiguracji środowiska.
Czy najlepszy antywirus zawsze wykryje rootkita w działającym systemie?
Nie ma gwarancji. Rootkity są tworzone tak, by utrudniać wykrycie, np. przez ukrywanie artefaktów lub utrudnianie pracy narzędziom ochronnym. Dlatego w zadaniach egzaminacyjnych i w praktyce często wskazuje się skanowanie offline jako bardziej wiarygodne.
Jak przygotować bootowalny nośnik do skanowania offline komputera?
Najczęściej pobiera się narzędzie producenta (np. nośnik ratunkowy), tworzy pendrive lub płytę zgodnie z instrukcją, a potem uruchamia komputer z tego nośnika przez zmianę kolejności bootowania. Kluczowe jest użycie zaufanego źródła i aktualnych baz sygnatur.
Dlaczego rootkity są trudne do wykrycia w porównaniu z innym malware?
Bo ich główną funkcją jest kamuflaż: mogą przechwytywać funkcje systemu, ukrywać pliki i procesy oraz prezentować fałszywy obraz systemu narzędziom diagnostycznym. To sprawia, że standardowe metody "w działającym systemie" mogą dawać wyniki niepełne lub mylące.
Jakie błędy najczęściej robi się przy usuwaniu rootkita na egzaminie?
Typowe pomyłki to wybór "zamknij proces" jako rzekomo wystarczającego działania, albo założenie, że wystarczy zainstalować antywirus i czekać. Inny błąd to wybór reinstalacji mimo warunku "najmniej inwazyjne". Warto czytać uważnie kryterium w treści pytania.
Co zrobić z danymi użytkownika przed działaniami naprawczymi po infekcji?
Najpierw wykonaj kopię ważnych danych, ale z rozwagą: nie uruchamiaj podejrzanych plików i skanuj kopię w zaufanym środowisku. W praktyce warto też zmienić hasła (z czystego urządzenia) i sprawdzić logi. Na egzaminie pamiętaj o zasadzie minimalizacji ryzyka.
info

To pytanie poprawnie rozwiązuje 49% zdających egzamin. trudne

Eksperci podkreślają: "Rootkit potrafi ukrywać procesy i modyfikacje systemu, przez co działania wykonywane w zainfekowanym środowisku (np. Menadżer zadań czy monitor AV) mogą być niewiarygodne."

Źródła:

  • Microsoft Learn / Microsoft Defender Offline (opis działania skanowania offline), https://learn.microsoft.com/ (strona dotycząca Microsoft Defender Offline) - dostęp 2026-02-18
  • NIST Special Publication 800-83 Revision 1: Guide to Malware Incident Prevention and Handling for Desktops and Laptops (sekcje o obsłudze incydentów malware i ograniczeniach skanowania w aktywnym systemie), https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-83r1.pdf - dostęp 2026-02-18
  • Kaspersky Resource Center: Rootkit (definicja i charakterystyka zagrożenia), https://www.kaspersky.com/resource-center/definitions/what-is-a-rootkit - dostęp 2026-02-18

Materiały:

  • Dokumentacje producentów systemów i narzędzi dotyczące skanowania offline i nośników ratunkowych
  • Materiały szkoleniowe z podstaw reagowania na incydenty (incident response) dla systemów Windows/Linux
  • Wprowadzenia do tematyki rootkitów i technik ukrywania (persistence, stealth)
Zobacz też:

Aktualizacja pytania: 31.03.2026



Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego