Мифы о 7-ми популярных антируткитах или как поймать невидимк - Аналитика - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Мифы о 7-ми популярных антируткитах или как поймать невидимк

Автор Сергей Ильин, в Аналитика

Recommended Posts

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Коллеги, специалисты S.N Safe&Software - Денис Шавровский и Юрий Ромащенко, написали замечательный технический обзор/сравнение 7-ми современных программ для борьбы с руткитами, который мы у нас с радостью опубликовываем: :thanks:

Мифы о 7-ми популярных антируткитах или как поймать невидимку

В статье рассматриваются такие антируткиты как:

    RootkitRevealer, AVZ (антивирусная утилита Олега Зайцева),
    Process Hunter,
    F-Secure BlackLight Rootkit Eliminator,
    UnHackMe,
    IceSword,
    Microsoft Windows Defender
    System Virginity Verifier
      Производится анализ слабых и сильных сторон этих программ, а также способы и возможности противостояния руткитам в целом.
      Очень рекомендую для ознакомления! :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Inkogn    0

Inkogn
Опубликовано

Вот те и раз.Жаль,что другие антивирусы не описаны,которые думают вслух,что руткитов ловят.Заодно бы и узнали,есть ли в этом случае смысл в загрузочном диске.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано

Я считаю, что нельзя сделать антируткит, который обнаруживал все варианты руткитов. Все-равно под любую прогу (антируткит) мона специально сделать руткит, который она не будет детектить. Никто не будет придумывать обход малоизвестного антируткита. Да и AVZ перехватывает далеко не только те функции, которые используют легетимные продукты (Касперский например). На сайте www.virusinfo.info можно убедиться в том, что AVZ обнаруживает перехваты современных руткитов (например, Trojan.PWS.GoldSpy).

Интересно было бы почитать их мнение по поводу работы Sophos Anti-Rootkit http://www.sophos.com/products/free-tools/...ti-rootkit.html

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Прибочий Михаил    20

Прибочий Михаил
Опубликовано

Я считаю, что нельзя сделать антируткит, который обнаруживал все варианты руткитов.
Цитата в тему: "По ракетам и антиракетам анти-антиракеты неслись" By Визбор, тот самый (196.. год).

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано

Статья, скорее, для просвещения новичков. На глубокий анализ для профи не тянет- всё достаточно банально.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Phoenix    0

Phoenix
Опубликовано

Но и такие обзорные статьи тоже полезны.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано
На глубокий анализ для профи не тянет- всё достаточно банально.

Илья, а что можно было бы добавить в такой обзор, чтобы повысить его уровень? Чтобы он стал "для профи"?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано

Ну, например, разбор методов детектирования скрытых ключей реестра, файлов, процессов и загруженных объектов ядра, используемых каждым конкретным инструментом с обсуждением слабых моментов реализации и идеологии. В данной статье всё это сделано достаточно поверхостно и вскользь. Также нет обзора ITW-руткитов и сравнительного анализа существующих антируткитов на эффективность детектирования, поскольку теоретически обойти можно любой антируткит, но мы живём в реальном мире и сталкиваемся с реальными угрозами и руткитами.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Аналитика

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      uVS - оффтопик

      От PR55.RP55 · Опубликовано

      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
×