Перейти к содержанию
Сергей Ильин

Мифы о 7-ми популярных антируткитах или как поймать невидимк

Recommended Posts

Сергей Ильин

Коллеги, специалисты S.N Safe&Software - Денис Шавровский и Юрий Ромащенко, написали замечательный технический обзор/сравнение 7-ми современных программ для борьбы с руткитами, который мы у нас с радостью опубликовываем: :thanks:

Мифы о 7-ми популярных антируткитах или как поймать невидимку

В статье рассматриваются такие антируткиты как:

    RootkitRevealer, AVZ (антивирусная утилита Олега Зайцева),
    Process Hunter,
    F-Secure BlackLight Rootkit Eliminator,
    UnHackMe,
    IceSword,
    Microsoft Windows Defender
    System Virginity Verifier
      Производится анализ слабых и сильных сторон этих программ, а также способы и возможности противостояния руткитам в целом.
      Очень рекомендую для ознакомления! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Вот те и раз.Жаль,что другие антивирусы не описаны,которые думают вслух,что руткитов ловят.Заодно бы и узнали,есть ли в этом случае смысл в загрузочном диске.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Я считаю, что нельзя сделать антируткит, который обнаруживал все варианты руткитов. Все-равно под любую прогу (антируткит) мона специально сделать руткит, который она не будет детектить. Никто не будет придумывать обход малоизвестного антируткита. Да и AVZ перехватывает далеко не только те функции, которые используют легетимные продукты (Касперский например). На сайте www.virusinfo.info можно убедиться в том, что AVZ обнаруживает перехваты современных руткитов (например, Trojan.PWS.GoldSpy).

Интересно было бы почитать их мнение по поводу работы Sophos Anti-Rootkit http://www.sophos.com/products/free-tools/...ti-rootkit.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прибочий Михаил

Я считаю, что нельзя сделать антируткит, который обнаруживал все варианты руткитов.
Цитата в тему: "По ракетам и антиракетам анти-антиракеты неслись" By Визбор, тот самый (196.. год).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Статья, скорее, для просвещения новичков. На глубокий анализ для профи не тянет- всё достаточно банально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Phoenix

Но и такие обзорные статьи тоже полезны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
На глубокий анализ для профи не тянет- всё достаточно банально.

Илья, а что можно было бы добавить в такой обзор, чтобы повысить его уровень? Чтобы он стал "для профи"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Ну, например, разбор методов детектирования скрытых ключей реестра, файлов, процессов и загруженных объектов ядра, используемых каждым конкретным инструментом с обсуждением слабых моментов реализации и идеологии. В данной статье всё это сделано достаточно поверхостно и вскользь. Также нет обзора ITW-руткитов и сравнительного анализа существующих антируткитов на эффективность детектирования, поскольку теоретически обойти можно любой антируткит, но мы живём в реальном мире и сталкиваемся с реальными угрозами и руткитами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      содержимое ключа нужно, без него не починить.
    • PR55.RP55
      Windows 10 Pro x64 (NT v10.0 SP0) build 15063  [C:\WINDOWS] ----------------------- Полное имя                  {6\[CLSID]
      Имя файла                   [CLSID]
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{60BD49A6-240E-48ef-8D73-AC8244BE1D85}\CLSID
      ------------------------ Полное имя                  {E\[CLSID]
      Имя файла                   [CLSID]
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{EAC2F030-5937-414C-9B7A-6B57F7C072E8}\CLSID ------------------------ Тема\образ. http://www.tehnari.ru/f35/t262097/
    • Draft
      подниму темку, актуально!
    • СФГ
      Добрый день! Рекомендуем металлические силовые опоры СФГ от производителя компании "ШОССЕ". Осуществляют доставку и установку всех типов многогранных дорожных опор: ОГС, СФГ, ОГК, НПК, НФГ, СПГ, ОГСГ, СОДГ, ОСФГ  На силовые опоры СФГ 400 9 метров действует спец цена Опоры СФГ 100 силовые длиной 10 метров - выгодная цена. Установка и продажа опор СФГ 1300 из наличия на складе + фундаменты для опор Компания "ШОССЕ" - все виды дорожных опор по лучшим ценам!
    • Ego Dekker
      Антивирусы были обновлены до версии 12.0.31.
×