Сергей Ильин

Мифы о 7-ми популярных антируткитах или как поймать невидимк

В этой теме 8 сообщений

Коллеги, специалисты S.N Safe&Software - Денис Шавровский и Юрий Ромащенко, написали замечательный технический обзор/сравнение 7-ми современных программ для борьбы с руткитами, который мы у нас с радостью опубликовываем: :thanks:

Мифы о 7-ми популярных антируткитах или как поймать невидимку

В статье рассматриваются такие антируткиты как:

    RootkitRevealer, AVZ (антивирусная утилита Олега Зайцева),
    Process Hunter,
    F-Secure BlackLight Rootkit Eliminator,
    UnHackMe,
    IceSword,
    Microsoft Windows Defender
    System Virginity Verifier
      Производится анализ слабых и сильных сторон этих программ, а также способы и возможности противостояния руткитам в целом.
      Очень рекомендую для ознакомления! :)
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот те и раз.Жаль,что другие антивирусы не описаны,которые думают вслух,что руткитов ловят.Заодно бы и узнали,есть ли в этом случае смысл в загрузочном диске.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я считаю, что нельзя сделать антируткит, который обнаруживал все варианты руткитов. Все-равно под любую прогу (антируткит) мона специально сделать руткит, который она не будет детектить. Никто не будет придумывать обход малоизвестного антируткита. Да и AVZ перехватывает далеко не только те функции, которые используют легетимные продукты (Касперский например). На сайте www.virusinfo.info можно убедиться в том, что AVZ обнаруживает перехваты современных руткитов (например, Trojan.PWS.GoldSpy).

Интересно было бы почитать их мнение по поводу работы Sophos Anti-Rootkit http://www.sophos.com/products/free-tools/...ti-rootkit.html

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я считаю, что нельзя сделать антируткит, который обнаруживал все варианты руткитов.
Цитата в тему: "По ракетам и антиракетам анти-антиракеты неслись" By Визбор, тот самый (196.. год).
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Статья, скорее, для просвещения новичков. На глубокий анализ для профи не тянет- всё достаточно банально.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Но и такие обзорные статьи тоже полезны.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На глубокий анализ для профи не тянет- всё достаточно банально.

Илья, а что можно было бы добавить в такой обзор, чтобы повысить его уровень? Чтобы он стал "для профи"?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, например, разбор методов детектирования скрытых ключей реестра, файлов, процессов и загруженных объектов ядра, используемых каждым конкретным инструментом с обсуждением слабых моментов реализации и идеологии. В данной статье всё это сделано достаточно поверхостно и вскользь. Также нет обзора ITW-руткитов и сравнительного анализа существующих антируткитов на эффективность детектирования, поскольку теоретически обойти можно любой антируткит, но мы живём в реальном мире и сталкиваемся с реальными угрозами и руткитами.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      PR55.RP55, извиняюсь, про исполняемые недосмотрел, подумал вы .pf файлы предлагаете чистить. Сейчас у многих это "модно".
       
    • PR55.RP55
      alamor У меня порой возникает такое впечатление, что я пишу одно - а люди читают, что-то совсем другое. Ещё раз. Каталог: PREFETCH   в норме не содержит исполняемых файлов. он содержит файлы\информацию по запуску исполняемых файлов. Никто не предлагает очищать сам каталог. ------------------------ SourceMonitor Возможно, что-то в таком духе будет полезно для анализа файла, при добавлении этой информации в Инфо. http://soft.oszone.net/program/5829/SourceMonitor/
    • alamor
      PR55.RP55, не надо всякой фигнёй страдать. И поменьше читайте разные байки в интернете про очистку файлов префетчера. Тем более в контексте uVS после такой очистки вы потеряете часть файлов в образе которые запускались неявно или вручную и будете потом обвинять demkd, что новая версия видит меньше вирусни чем старая.
       
    • AM_Bot
      Антивирусная компания ESET провела опрос, посвященный онлайн-платежам. Респондентам предложили перечислить товары и услуги, которые они оплачивают в Сети, и меры предосторожности. Пользователи могли указать несколько вариантов ответа. Читать далее
    • AM_Bot
      Минкомсвязи собирается ограничить число удостоверяющих центров, которые сегодня имеют право выдавать квалифицированную электронную подпись, двумя государственными структурами. Соответствующий законопроект уже внесен ведомством. Читать далее