Перейти к содержанию
vaber

NT Internals: тест антируткитов

Recommended Posts

vaber

Introduction:

Today's malware doesn't need to hide such things like processes or device drivers any more. Instead of hiding whole processes it can inject any code into target process(es). Malware also doesn't need to use DLL (Dynamic-Link Library) to inject this code. It's obvious why malware uses DLLs instead of more stealthy shellcode - both writing and injecting DLL into target process are easiest then writing portable shellcode. Considerable part of malware injects DLLs using common ways, smaller part of malware injects DLLs using own loaders. No matter how malware will inject their DLL into target process, without additional modifications it will be visible to everyone. To prevent detection of injected DLL, malware can unlink it from doubly-linked lists. This will avoid detection of hidden DLLs by the simplest software. Some of software querying virtual memory using NtQueryVirtualMemory service to obtain information about all images mapped into current process address space. Using this method security software can show unlinked DLLs. The easiest way to avoid this kind of detection is to intercept NtQueryVirtualMemory. Currently I don't know any malware which uses most effective DLL hiding method based on VADs (Virtual Address Descriptor) modifications (if someone have any sample please let me know). Almost all (system process) processes have their own VAD trees which contain descriptors of allocated virtual memory. Each of them (the valid once) corresponding to control area structure which contain pointer at file object and segment structures. I saw a Chinese solution how to avoid DLL detection by erasing file name within the confines of file object, but it wasn't the best solution. Owing to malware I will not provide detailed information about two last method I used in this test. I can only say that Invisible Dynamic-Link Library 1.0 doesn't use any hooks. I decided to use a device driver instead of direct kernel memory modification to manipulate the process object and its VAD tree.

Полный вариант:

http://www.ntinternals.org/dll_detection_test.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v

Интересен тот факт, что ссылка на DrWeb ведет на этот сайт :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Introduction:

Today's malware doesn't need to hide such things like processes or device drivers any more. Instead of hiding whole processes it can inject any code into target process(es). Malware also doesn't need to use DLL (Dynamic-Link Library) to inject this code. It's obvious why malware uses DLLs instead of more stealthy shellcode - both writing and injecting DLL into target process are easiest then writing portable shellcode. Considerable part of malware injects DLLs using common ways, smaller part of malware injects DLLs using own loaders. No matter how malware will inject their DLL into target process, without additional modifications it will be visible to everyone. To prevent detection of injected DLL, malware can unlink it from doubly-linked lists. This will avoid detection of hidden DLLs by the simplest software. Some of software querying virtual memory using NtQueryVirtualMemory service to obtain information about all images mapped into current process address space. Using this method security software can show unlinked DLLs. The easiest way to avoid this kind of detection is to intercept NtQueryVirtualMemory. Currently I don't know any malware which uses most effective DLL hiding method based on VADs (Virtual Address Descriptor) modifications (if someone have any sample please let me know). Almost all (system process) processes have their own VAD trees which contain descriptors of allocated virtual memory. Each of them (the valid once) corresponding to control area structure which contain pointer at file object and segment structures. I saw a Chinese solution how to avoid DLL detection by erasing file name within the confines of file object, but it wasn't the best solution. Owing to malware I will not provide detailed information about two last method I used in this test. I can only say that Invisible Dynamic-Link Library 1.0 doesn't use any hooks. I decided to use a device driver instead of direct kernel memory modification to manipulate the process object and its VAD tree.

Полный вариант:

http://www.ntinternals.org/dll_detection_test.php

Не понял... Откуда в тесте взялся Dr.Web DwShark 1.0.0.11140, если его в релизе, насколько я помню, нет? И ссылка на его загрузку ведёт не на ресурсы drweb.com-а, а на anti-malware.ru, т.е. не на сайт производителя.... :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Не понял... Откуда в тесте взялся Dr.Web DwShark 1.0.0.11140, если его в релизе, насколько я помню, нет? И ссылка на его загрузку ведёт не на ресурсы drweb.com-а, а на anti-malware.ru, т.е. не на сайт производителя.... :blink:

его и не было в паблике, эту версию тут выложили в своё время...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
Не понял... Откуда в тесте взялся Dr.Web DwShark 1.0.0.11140, если его в релизе, насколько я помню, нет? И ссылка на его загрузку ведёт не на ресурсы drweb.com-а, а на anti-malware.ru, т.е. не на сайт производителя....

Да, это странно...

И результаты некоторых антируткитов не сильно радуют, откровенно говоря о GMER был лучшего мнения.. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Да, это странно...

А вот и автор "следа" нашёлся. Просьба администрации портала принять меры -- продукт не находится в официальном релизе, соответственно, распространению не подлежит.

И результаты некоторых антируткитов не сильно радуют, откровенно говоря о GMER был лучшего мнения.. :rolleyes:

Напишите Пржемуславу...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
А вот и автор "следа" нашёлся. Просьба администрации портала принять меры -- продукт не находится в официальном релизе, соответственно, распространению не подлежит.

так Вы же сами там обсуждали утилиту в своё время ;) а убирать смысла уже нет, она сама скоро состарится...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
так Вы же сами там обсуждали утилиту в своё время ;) а убирать смысла уже нет, она сама скоро состарится...

Обсуждал, и не отрицаю этого. Но, раз утиль пошла участвовать в тестированиях -- это уже неправильно.

Но, да, соглашусь, мне нужно было ещё тогда попросить убрать файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v

а у аваста обнаружил кстати ложное срабатывание:

31.10.2009 17:13:05 SYSTEM 1720 Sign of "Win32:Trojan-gen" has been found in "C:\Users\89\AppData\Local\Temp\Rar$EX00.650\RkU3.8.380.580.exe\{app}\RkUnhookerLE.exe\[PECompact]" file.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Просьба администрации портала принять меры -- продукт не находится в официальном релизе, соответственно, распространению не подлежит.

Не вижу взаимосвязи "не находится в официальном релизе" и "распространению не подлежит".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Интересная штука. Бесплатный пиар для дрвеп, чем тебе это не нравится Миша? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Интересная штука. Бесплатный пиар для дрвеп, чем тебе это не нравится Миша? :)

А зачем он им? :)

Я ещё немного под другим углом смотрю, исходя из показанных результатов (раз уж тест состоялся) -- те, кто в своё время писали Шарк, делали всё правильно. Имена тех, кто его писал -- известны (одно -- так уж точно! ;)). Дык кому пиар в конечном итоге-то? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А зачем он им? :)

Даже не знаю что и сказать :)

Я ещё немного под другим углом смотрю, исходя из показанных результатов (раз уж тест состоялся) -- те, кто в своё время писали Шарк, делали всё правильно. Имена тех, кто его писал -- известны (одно -- так уж точно! ;)). Дык кому пиар в конечном итоге-то? :)

Славе и Вадиму? :) Да не, скорее все-таки дрвеп. Если бы мы тулзу назвали VDR&SWW Shark, то конечно тут пиар был бы нам, а так...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

О MalwareDefender 2.4.3 я был хорошего мнения.Странно,что так вышло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Там MD не антируткит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax

Как я понимаю, банальнейший способ загрузки dll при помощи собственного лоадера они решили не тестировать? Занятно. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Что-то GMER реально провалился.

А вот RkU подтрвердил звание сильнейшего антируткита.

Может это исследование перевести на опубликовать на сайте? Что думаете, интересно это будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Может это исследование перевести на опубликовать на сайте? Что думаете, интересно это будет?

Будет интересно, правда простой копипаст достоин портала? Может нашим гуру есть что и самим сказать по этому поводу? Ведь выбрали экспертов, а они на полках пылятся.

Меня вот больше всех удивил VMMap т.к. он не позиционировался как что-то относящееся к антируткитам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Может это исследование перевести на опубликовать на сайте? Что думаете, интересно это будет?

Это всего-лишь детект скрытой длл-ки в памяти, имхо не стоит даже перевода.

@dr_dizel: когда сказать нечего, лучше молчать, не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Будет интересно, правда простой копипаст достоин портала? Может нашим гуру есть что и самим сказать по этому поводу? Ведь выбрали экспертов, а они на полках пылятся.

Есть у кого-то из экспертов желание сделать креатив (мини-тест или серию мини-тестов) технологий обнаружения руткитов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Это всего-лишь детект скрытой длл-ки в памяти, имхо не стоит даже перевода.

Размер маленький, зато результат какой на позавчерашний день. Тест говорит сам за себя - все гореутилиты "фтопку".

@dr_dizel: когда сказать нечего, лучше молчать, не так ли?

Что-то вы последнее время озабочены моей персоной. В танке плохо слышно? :) Лучше бы тест замутили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Размер маленький, зато результат какой на позавчерашний день. Тест говорит сам за себя - все гореутилиты "фтопку".

Вы совершенно не в теме. Тест об этом не говорит.

Что-то вы последнее время озабочены моей персоной. В танке плохо слышно? :) Лучше бы тест замутили.

В танке, по-моему, едете вы, самоизбранный независимый эксперт, пишущий анти-руткиты на батниках. Мне кажется, что модераторы до вас доберутся, любитель нелепых фраз, тролль и фантазер.

До теста мне нет никакого дела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Перепалки в PM! :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Перепалки в PM! :angry:

Так человек просто открыто врёт. По теме строит Станиславского с умным видом, затыкает другим рот и касательно дел портала ему "нет никакого дела".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nabl
Что-то GMER реально провалился.

А вот RkU подтрвердил звание сильнейшего антируткита.

Может это исследование перевести на опубликовать на сайте? Что думаете, интересно это будет?

Итак в сообщении 3 предложения.

Начинаем разбор с конца.

(орфографию и грамматику - нафик, сам не отличник) B)

... интересно это будет?

Да, будет. Но справильными комментариями.

А вот RkU подтрвердил звание сильнейшего антируткита.

когда Vaber опубликовал новость, RkU и GMER тест слили по полной

(в кэше Google'я можно найти или 3836047.jpg).

Получалось, что DiabloNova (автор RkU и SpiDie) слил DrWeb'у. Нехорошо. :angry:

DiabloNova "исправился", "подкрутил" RkU и его "небольшой холивар" продолжается. :rolleyes:

но

Что-то GMER реально провалился.

и тогда и сейчас тестилась версия 1.0.15.15163.

актуальная версия GMER'a - 1.0.15.15252.

Так, что Ваш пост наверно должен быть примерно таким:

Обновились результаты теста. К наиболее продвинутым утилитам, Dr.Web DwShark и RootRepeal, с механизмом "Hidden Dynamic-Link Library Detection" добавился RkU.Актуальная версия GMER'a не тестировалась.
  • Upvote 20

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Компьютеры легко защитить антивирусами, а вот как защитить свою страницу в ВК, например, очень мало кто знает. Сам недавно повергался взлому, мало того что потерял страницу, так еще и у друзей мошенники выдурили деньги. Потому, что касается защиты и безопасности далеко не везде она так очевидна и понятна многим пользователям. Что точно знаю, так это то, что защитить аккаунт можно с помощью информации из этой статьи по защите аккаунта  ,  мне очень помогло, теперь хоть могу спать спокойно, что никто уже не взломает, ведь в ВК есть все возможности для защиты, но многие люди не знают об этом. 
    • Moraband
      Лучше бы за взломы в ВК сажали, но увы максимум это блокировка страницы взломщика, а чаще всего вообще никаких санкций нет, при том что владельцы ВК теперь представители мэйл ру, лояльные к правительству. Потому советую людям самим задумываться о своей безопасности в ВК, потому что это сейчас одна из самых актуальных проблем, взломщики активизировались из-за кризиса, деньги всем нужны, потому берут взламывают и клянчат у друзей взломанного пользователя деньги. Всем советую изучить статью по защите от взломов в ВК , чтоб хоть как-то защитить себя . Вот это куда более важное дело, что переживать из-за нецензурной лексики пользователей, но у нас же как всегда борются с тем что не надо, игнорируя важную проблему. 
    • Moraband
      Маил ру, увы, сейчас постепенно захватывает все соц. сети, при этом принося ворох проблем. Последнее время в Вконтакте активизировались мошенники-взломщики, с которыми соц. сеть почему то борется очень слабенько, почти ничего не делая. Если бы блокировали по айпи адресу взломщиков, было бы куда лучше, но увы, этого скорее всего никогда не будет. Потому пользователям надо научиться защищать самостоятельно свой аккаунт и благо способы есть. Мне друг посоветовал статью по защите страницы в ВК от взломов , благодаря которой я могу узнать про различные виды взломов и как им противостоять в этих непростых условиях, всем советую ознакомиться, надеюсь, что сумел кому-то помочь. 
    • Moraband
      А сейчас все чаще практикуют совсем другие взломы, взломы Вконтакте. Вот у меня такое совсем недавно было, взламывали мою страницу. Сейчас еще пошел новый тренд  по мошенническим схемам. Начали просить денег, а друг поверил, что это я и скинул денег. Вообще основная проблема этих взломов, что люди думают, дескать их никогда не взломают, а на деле  это очень даже возможно, особенно если страница достаточно популярна и ее легко найти в поиске. Потому будьте осторожнее и лучше изучите статью, как защитить свой аккаунт Вконтакте   , тут очень хорошо написано, как эффективно бороться с мошенническими схемами, взломщиками и мошенниками, которые уже заполонили просторы ВК. Надеюсь, что взломанных станет хоть чуточку меньше =)
    • Moraband
      Ой, столько мошенников развелось сейчас в интернете, пруд пруди. Недавно столкнулся с новым веянием взломов в Вконтакте и вымогательства денег у друзей пользователя. Сам на такое и попал, а мой друг доверчивый и поверил в бредни, которые рассказывал взломщик, перевел ему 5к руб. От такого никто не застрахован, а причиной большого количества взломов выступает отсутствие знаний у простых пользователей. Потому, вот тут смотрите как защитить свой аккаунт от взлома , это очень полезно и реально даст возможность спать спокойно спать и быть точно уверенным, что в этот момент кто-то не вытягивает последние кровные из ваших друзей. 
×