vaber

NT Internals: тест антируткитов

В этой теме 27 сообщений

Introduction:

Today's malware doesn't need to hide such things like processes or device drivers any more. Instead of hiding whole processes it can inject any code into target process(es). Malware also doesn't need to use DLL (Dynamic-Link Library) to inject this code. It's obvious why malware uses DLLs instead of more stealthy shellcode - both writing and injecting DLL into target process are easiest then writing portable shellcode. Considerable part of malware injects DLLs using common ways, smaller part of malware injects DLLs using own loaders. No matter how malware will inject their DLL into target process, without additional modifications it will be visible to everyone. To prevent detection of injected DLL, malware can unlink it from doubly-linked lists. This will avoid detection of hidden DLLs by the simplest software. Some of software querying virtual memory using NtQueryVirtualMemory service to obtain information about all images mapped into current process address space. Using this method security software can show unlinked DLLs. The easiest way to avoid this kind of detection is to intercept NtQueryVirtualMemory. Currently I don't know any malware which uses most effective DLL hiding method based on VADs (Virtual Address Descriptor) modifications (if someone have any sample please let me know). Almost all (system process) processes have their own VAD trees which contain descriptors of allocated virtual memory. Each of them (the valid once) corresponding to control area structure which contain pointer at file object and segment structures. I saw a Chinese solution how to avoid DLL detection by erasing file name within the confines of file object, but it wasn't the best solution. Owing to malware I will not provide detailed information about two last method I used in this test. I can only say that Invisible Dynamic-Link Library 1.0 doesn't use any hooks. I decided to use a device driver instead of direct kernel memory modification to manipulate the process object and its VAD tree.

Полный вариант:

http://www.ntinternals.org/dll_detection_test.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересен тот факт, что ссылка на DrWeb ведет на этот сайт :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Introduction:

Today's malware doesn't need to hide such things like processes or device drivers any more. Instead of hiding whole processes it can inject any code into target process(es). Malware also doesn't need to use DLL (Dynamic-Link Library) to inject this code. It's obvious why malware uses DLLs instead of more stealthy shellcode - both writing and injecting DLL into target process are easiest then writing portable shellcode. Considerable part of malware injects DLLs using common ways, smaller part of malware injects DLLs using own loaders. No matter how malware will inject their DLL into target process, without additional modifications it will be visible to everyone. To prevent detection of injected DLL, malware can unlink it from doubly-linked lists. This will avoid detection of hidden DLLs by the simplest software. Some of software querying virtual memory using NtQueryVirtualMemory service to obtain information about all images mapped into current process address space. Using this method security software can show unlinked DLLs. The easiest way to avoid this kind of detection is to intercept NtQueryVirtualMemory. Currently I don't know any malware which uses most effective DLL hiding method based on VADs (Virtual Address Descriptor) modifications (if someone have any sample please let me know). Almost all (system process) processes have their own VAD trees which contain descriptors of allocated virtual memory. Each of them (the valid once) corresponding to control area structure which contain pointer at file object and segment structures. I saw a Chinese solution how to avoid DLL detection by erasing file name within the confines of file object, but it wasn't the best solution. Owing to malware I will not provide detailed information about two last method I used in this test. I can only say that Invisible Dynamic-Link Library 1.0 doesn't use any hooks. I decided to use a device driver instead of direct kernel memory modification to manipulate the process object and its VAD tree.

Полный вариант:

http://www.ntinternals.org/dll_detection_test.php

Не понял... Откуда в тесте взялся Dr.Web DwShark 1.0.0.11140, если его в релизе, насколько я помню, нет? И ссылка на его загрузку ведёт не на ресурсы drweb.com-а, а на anti-malware.ru, т.е. не на сайт производителя.... :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не понял... Откуда в тесте взялся Dr.Web DwShark 1.0.0.11140, если его в релизе, насколько я помню, нет? И ссылка на его загрузку ведёт не на ресурсы drweb.com-а, а на anti-malware.ru, т.е. не на сайт производителя.... :blink:

его и не было в паблике, эту версию тут выложили в своё время...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не понял... Откуда в тесте взялся Dr.Web DwShark 1.0.0.11140, если его в релизе, насколько я помню, нет? И ссылка на его загрузку ведёт не на ресурсы drweb.com-а, а на anti-malware.ru, т.е. не на сайт производителя....

Да, это странно...

И результаты некоторых антируткитов не сильно радуют, откровенно говоря о GMER был лучшего мнения.. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, это странно...

А вот и автор "следа" нашёлся. Просьба администрации портала принять меры -- продукт не находится в официальном релизе, соответственно, распространению не подлежит.

И результаты некоторых антируткитов не сильно радуют, откровенно говоря о GMER был лучшего мнения.. :rolleyes:

Напишите Пржемуславу...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот и автор "следа" нашёлся. Просьба администрации портала принять меры -- продукт не находится в официальном релизе, соответственно, распространению не подлежит.

так Вы же сами там обсуждали утилиту в своё время ;) а убирать смысла уже нет, она сама скоро состарится...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
так Вы же сами там обсуждали утилиту в своё время ;) а убирать смысла уже нет, она сама скоро состарится...

Обсуждал, и не отрицаю этого. Но, раз утиль пошла участвовать в тестированиях -- это уже неправильно.

Но, да, соглашусь, мне нужно было ещё тогда попросить убрать файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а у аваста обнаружил кстати ложное срабатывание:

31.10.2009 17:13:05 SYSTEM 1720 Sign of "Win32:Trojan-gen" has been found in "C:\Users\89\AppData\Local\Temp\Rar$EX00.650\RkU3.8.380.580.exe\{app}\RkUnhookerLE.exe\[PECompact]" file.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просьба администрации портала принять меры -- продукт не находится в официальном релизе, соответственно, распространению не подлежит.

Не вижу взаимосвязи "не находится в официальном релизе" и "распространению не подлежит".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересная штука. Бесплатный пиар для дрвеп, чем тебе это не нравится Миша? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересная штука. Бесплатный пиар для дрвеп, чем тебе это не нравится Миша? :)

А зачем он им? :)

Я ещё немного под другим углом смотрю, исходя из показанных результатов (раз уж тест состоялся) -- те, кто в своё время писали Шарк, делали всё правильно. Имена тех, кто его писал -- известны (одно -- так уж точно! ;)). Дык кому пиар в конечном итоге-то? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А зачем он им? :)

Даже не знаю что и сказать :)

Я ещё немного под другим углом смотрю, исходя из показанных результатов (раз уж тест состоялся) -- те, кто в своё время писали Шарк, делали всё правильно. Имена тех, кто его писал -- известны (одно -- так уж точно! ;)). Дык кому пиар в конечном итоге-то? :)

Славе и Вадиму? :) Да не, скорее все-таки дрвеп. Если бы мы тулзу назвали VDR&SWW Shark, то конечно тут пиар был бы нам, а так...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

О MalwareDefender 2.4.3 я был хорошего мнения.Странно,что так вышло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как я понимаю, банальнейший способ загрузки dll при помощи собственного лоадера они решили не тестировать? Занятно. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что-то GMER реально провалился.

А вот RkU подтрвердил звание сильнейшего антируткита.

Может это исследование перевести на опубликовать на сайте? Что думаете, интересно это будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Может это исследование перевести на опубликовать на сайте? Что думаете, интересно это будет?

Будет интересно, правда простой копипаст достоин портала? Может нашим гуру есть что и самим сказать по этому поводу? Ведь выбрали экспертов, а они на полках пылятся.

Меня вот больше всех удивил VMMap т.к. он не позиционировался как что-то относящееся к антируткитам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Может это исследование перевести на опубликовать на сайте? Что думаете, интересно это будет?

Это всего-лишь детект скрытой длл-ки в памяти, имхо не стоит даже перевода.

@dr_dizel: когда сказать нечего, лучше молчать, не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Будет интересно, правда простой копипаст достоин портала? Может нашим гуру есть что и самим сказать по этому поводу? Ведь выбрали экспертов, а они на полках пылятся.

Есть у кого-то из экспертов желание сделать креатив (мини-тест или серию мини-тестов) технологий обнаружения руткитов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это всего-лишь детект скрытой длл-ки в памяти, имхо не стоит даже перевода.

Размер маленький, зато результат какой на позавчерашний день. Тест говорит сам за себя - все гореутилиты "фтопку".

@dr_dizel: когда сказать нечего, лучше молчать, не так ли?

Что-то вы последнее время озабочены моей персоной. В танке плохо слышно? :) Лучше бы тест замутили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Размер маленький, зато результат какой на позавчерашний день. Тест говорит сам за себя - все гореутилиты "фтопку".

Вы совершенно не в теме. Тест об этом не говорит.

Что-то вы последнее время озабочены моей персоной. В танке плохо слышно? :) Лучше бы тест замутили.

В танке, по-моему, едете вы, самоизбранный независимый эксперт, пишущий анти-руткиты на батниках. Мне кажется, что модераторы до вас доберутся, любитель нелепых фраз, тролль и фантазер.

До теста мне нет никакого дела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Перепалки в PM! :angry:

Так человек просто открыто врёт. По теме строит Станиславского с умным видом, затыкает другим рот и касательно дел портала ему "нет никакого дела".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что-то GMER реально провалился.

А вот RkU подтрвердил звание сильнейшего антируткита.

Может это исследование перевести на опубликовать на сайте? Что думаете, интересно это будет?

Итак в сообщении 3 предложения.

Начинаем разбор с конца.

(орфографию и грамматику - нафик, сам не отличник) B)

... интересно это будет?

Да, будет. Но справильными комментариями.

А вот RkU подтрвердил звание сильнейшего антируткита.

когда Vaber опубликовал новость, RkU и GMER тест слили по полной

(в кэше Google'я можно найти или 3836047.jpg).

Получалось, что DiabloNova (автор RkU и SpiDie) слил DrWeb'у. Нехорошо. :angry:

DiabloNova "исправился", "подкрутил" RkU и его "небольшой холивар" продолжается. :rolleyes:

но

Что-то GMER реально провалился.

и тогда и сейчас тестилась версия 1.0.15.15163.

актуальная версия GMER'a - 1.0.15.15252.

Так, что Ваш пост наверно должен быть примерно таким:

Обновились результаты теста. К наиболее продвинутым утилитам, Dr.Web DwShark и RootRepeal, с механизмом "Hidden Dynamic-Link Library Detection" добавился RkU.Актуальная версия GMER'a не тестировалась.
  • Upvote 20

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Kaela Mensha Khaine
      Всем привет! 

      В системе (Windows 7 SP1) завелся подозрительный процесс, называется себя Swstem, в Process Explorer никаких данных по нему нет(вот тут https://drive.google.com/drive/folders/1v3mwDtdKzv-DvM4Qg_LR_H5BziUxEO7C?usp=sharing скрин, называется System), периодически пытается использовать сеть. Сильно подозреваю, что вирус или шпион, Spybot'ом сканировал, ничего, убиваю его, он снова возвращается. Антивирус (Avira) молчит. Как мне все таки найти, откуда запускается этот процесс и что это вообще такое? И как его удалить?
    • krovlime
      Строительство домов в Томске – это основное направление нашей компании. На нашем счету более сотни деревянных домов, в которых живут наши клиенты. И это не удивительно, ведь мы занимаемся строительством домов в Томске для вас уже с 2009 года. За это время мы накопили огромный опыт и наладили основные бизнес-процессы компании. Каждый этап строительства выполняется профессионалами и проходит под пристальным контролем ответственных лиц. Так мы добиваемся высоких показателей качества. Для строительства мы используем качественные строительные материалы от наших партнеров, что также положительно влияет на конечный результат – дом вашей мечты. Наша компания предлагает строительство домов в Томске под ключ и под усадку. Очень удобно на протяжении всего строительства работать с одним и тем же подрядчиком. Помимо непосредственно строительства домов в Томске мы выполняем множество других работ, такие как: строительство бань, веранд, беседок; устройство свайного и ленточного фундамента; кровельные, фасадные, отделочные работы; монтаж заборов, выгребных ям и септиков. Разные виды работ у нас выполняют разные специалисты, так что каждый занимается своим делом, тем, что он умеет делать лучше всего. Мы работаем с такими материалами как: нестроганый брус, профилированный брус, оцилиндрованное бревно и каркасное строительство. Строительство домов в Томске из нестроганого бруса – самый дешевый способ строительства своего жилища. Такой материал обладает рядом преимуществ, это: уже упомянутая дешевизна, а также экологичность и отличная звуко и теплоизоляция (хотя стоит отметить, что без дополнительных работ по утеплению комфортных показателей теплоизоляции добиться не удастся). Строительство домов в Томске из профилированного бруса – более дорогой вариант, но и плюсов у него больше. Например, наличие замков положительно влияет на уровень теплоизоляции. Стены из профилированного бруса не требуют дополнительной отделки с внутренней стороны, а с наружней достаточно хорошенько отшлифовать, обработать огне-биозащитой и покрыть слоем лака или краски, выглядеть дом при этом будет отлично. Дома из оцилиндрованного бревна обладают презентабельным и даже шикарным внешним видом, а строительство домов в Томске по каркасной технологии подойдет для реализации самых сложных архитектурных решений. Строительство домов в Томске ооорост70.рф
    • krovlime
      Как утеплить мансарду своими руками: 

      Утепление крыши и стен мансарды очень важный момент в ее строительстве и последующей эксплуатации. Утепленная мансарда увеличит полезную жилую площадь, защитит основные помещения дома от холода и жары при разных погодных условиях. 

      Выбор материала для утепления 

      Утепление мансарды можно выполнить искусственными или природными материалами. Теплоизоляция экологически чистыми натуральными материалами имеет свои недостатки – горючесть. Поэтому, используя в качестве утеплителя камыш, солому, гранулированную бумагу, трапы из морских водорослей и другие материалы, необходимо учитывать их пожароопасность, сравнительно небольшой срок службы и навыков по их монтажу.Наряду с натуральными, рынок стройматериалов предлагает огромный выбор искусственных утеплителей, обладающих рядом преимуществ по сравнению с природными теплоизоляциями.Самыми распространенными являются стекловата, минеральная вата из горных пород базальтов и искусственные плиты полистирольной группы материалов. 

      Минеральная вата относится к экологически чистому негорючему материалу, не влияет на здоровье человека и окружающую среду. Минвата обладает низкой теплопроводностью, то есть зимой хранит тепло, а летом противостоит перегреву. Имеет длительный эксплуатационный период. Выпускается в виде плит и матов, которые легко пропускают пары влаги. Утепление пенополистирольными материалами имеет свои положительные стороны. Они не бояться воды, отличные теплоизоляции, не поддерживают горения. Выпускаются в виде плит, легко монтируются. К недостаткам можно отнести плавление при высокой температуре с выделением ядовитого газа и высокую цену. 

      Технология утепления 

      Необходимость утепления крыши или мансарды необходимо учитывать еще при возведении дома. Поэтому стропила при монтаже крыши устанавливают на расстоянии ширины теплоизоляционных плит или матов. Сама технология утепления зависит от материала. 
      При применении минеральной или стекловаты на стропила набивается решетка или обрешетка, на не настилается гидроизолирующая пленка. Изолят противостоит поглощению влаги «ватой». На слое гидроизоляционной пленки с внешней стороны закрепляется контро обрешетка. Образующийся зазор выполняет функцию вентиляции. Между стропилами укладываются «ватные маты», которые с внутренней стороны помещения покрываются пароизоляционным материалом. 

      При утеплении полистирольными плитами гидро– и пароизоляционные слои пленки не нужны, так как сами плиты обладают гидрофобными свойствами. Плиты укладываются в два слоя. Первый, толщиной 8 см размещается между стропилами, а второй толщиной 5 см закрывает полностью стропила с основным слоем утеплителя, изолируя дом от проникновения извне холодного или горячего воздуха. 

      После укладки утеплителей стены и потолок мансарды отделываются гипсокартонными листами с последующей оклейкой обоями или вагонкой. Кровельные работы в томске krovlime.ru
    • Ego Dekker
      Год назад программа-вымогатель WannaCryptor.D (также известная как WannaCry и WCrypt) вызвала одни из самых разрушительных последствий в цифровом мире. И хотя сама угроза уже не представляет большой опасности, эксплойт EternalBlue, который вызвал волну распространения, по-прежнему угрожает системам без надлежащей защиты и примененных исправлений. По данным телеметрии ESET, его распространенность в течение последних нескольких месяцев растет, а недавно уровень выявления угрозы превзошел самые высокие показатели 2017 года. EternalBlue использует уязвимость (в Microsoft Security Bulletin MS17-010) реализации протокола Server Message Block (SMB) в устаревшей версии Microsoft. В результате атаки киберпреступники сканируют Интернет на наличие открытых портов SMB, а обнаружив их, запускают код эксплойта. При наличии уязвимости злоумышленники запускают выбранный под жертву компонент. Именно с помощью этого механизма год назад через сеть распространялась угроза WannaCryptor.D. Согласно данным телеметрии ESET, в течение следующих месяцев после пика распространения WannaCryptor количество попыток использовать эксплойт EternalBlue уменьшилась до сотни в день. Однако с сентября прошлого года использование угрозы начало медленно расти, достигнув новых высоких показателей в середине апреля 2018 года. Выявления EternalBlue в течение 2017-2018 годов в соответствии с ESET Live Grid® Стоит отметить, что метод проникновения EternalBlue на компьютеры пользователей не является успешным на устройствах с защитой ESET. Один из нескольких уровней защиты — Модуль защиты сети от атак — блокирует эту угрозу на начальном этапе. Это подтвердилось во время распространения WannaCryptor 12 мая 2017, а также всех предыдущих и последующих атаках киберпреступников. Напомним, эксплойт EternalBlue использовался во многих высокопрофильных кибератаках. Кроме WannaCryptor, эксплойт также применялся во время атаки Diskcoder.C (также известная как Petya, NotPetya и ExPetya) в июне 2017 года, а также программы-вымогателя BadRabbit в 4-м квартале 2017 года. EternalBlue также использовался группой киберпреступников Sednit (также известная как APT28, Fancy Bear и Sofacy) для атак сетей Wi-Fi в европейских отелях. Кроме этого, эксплойт стал одним из механизмов распространения вредоносных программ для майнинга криптовалюты. А совсем недавно EternalBlue был использован для распространения программы-вымогателя Satan. Напомним, эксплойт EternalBlue якобы был похищен из Агентства национальной безопасности (NSA), вероятно, в 2016 году. В Интернет угроза попала 14 апреля 2017 благодаря группе Shadow Brokers. Компания Microsoft опубликовала обновление, которое фиксируют уязвимость SMB 14 марта 2017, но до сих пор в реальной среде есть множество машин без примененных исправлений. Этот эксплойт и все атаки с его использованием показывают важность своевременного применения исправлений, а также потребность в надежном и многоуровневом решении для защиты, которое может заблокировать этот и другие вредоносные инструменты. Пресс-выпуск.
    • Ego Dekker