Перейти к содержанию
Сергей Ильин

Мифы о 7-ми популярных антируткитах или как поймать невидимк

Recommended Posts

Сергей Ильин

Коллеги, специалисты S.N Safe&Software - Денис Шавровский и Юрий Ромащенко, написали замечательный технический обзор/сравнение 7-ми современных программ для борьбы с руткитами, который мы у нас с радостью опубликовываем: :thanks:

Мифы о 7-ми популярных антируткитах или как поймать невидимку

В статье рассматриваются такие антируткиты как:

    RootkitRevealer, AVZ (антивирусная утилита Олега Зайцева),
    Process Hunter,
    F-Secure BlackLight Rootkit Eliminator,
    UnHackMe,
    IceSword,
    Microsoft Windows Defender
    System Virginity Verifier
      Производится анализ слабых и сильных сторон этих программ, а также способы и возможности противостояния руткитам в целом.
      Очень рекомендую для ознакомления! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Вот те и раз.Жаль,что другие антивирусы не описаны,которые думают вслух,что руткитов ловят.Заодно бы и узнали,есть ли в этом случае смысл в загрузочном диске.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Я считаю, что нельзя сделать антируткит, который обнаруживал все варианты руткитов. Все-равно под любую прогу (антируткит) мона специально сделать руткит, который она не будет детектить. Никто не будет придумывать обход малоизвестного антируткита. Да и AVZ перехватывает далеко не только те функции, которые используют легетимные продукты (Касперский например). На сайте www.virusinfo.info можно убедиться в том, что AVZ обнаруживает перехваты современных руткитов (например, Trojan.PWS.GoldSpy).

Интересно было бы почитать их мнение по поводу работы Sophos Anti-Rootkit http://www.sophos.com/products/free-tools/...ti-rootkit.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прибочий Михаил

Я считаю, что нельзя сделать антируткит, который обнаруживал все варианты руткитов.
Цитата в тему: "По ракетам и антиракетам анти-антиракеты неслись" By Визбор, тот самый (196.. год).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Статья, скорее, для просвещения новичков. На глубокий анализ для профи не тянет- всё достаточно банально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Phoenix

Но и такие обзорные статьи тоже полезны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
На глубокий анализ для профи не тянет- всё достаточно банально.

Илья, а что можно было бы добавить в такой обзор, чтобы повысить его уровень? Чтобы он стал "для профи"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Ну, например, разбор методов детектирования скрытых ключей реестра, файлов, процессов и загруженных объектов ядра, используемых каждым конкретным инструментом с обсуждением слабых моментов реализации и идеологии. В данной статье всё это сделано достаточно поверхостно и вскользь. Также нет обзора ITW-руткитов и сравнительного анализа существующих антируткитов на эффективность детектирования, поскольку теоретически обойти можно любой антируткит, но мы живём в реальном мире и сталкиваемся с реальными угрозами и руткитами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • loveawake.ru
      Задача. Нужно чтобы в панели инструментов была кнопка, при нажатии на которую очищались бы следующие каталоги:

      d:z_temp
      e:z_temp

      Т.е. должно очищаться содержимое этих каталогов, а сами они должны оставаться.
      Можно ли решить эту задачку?
    • demkd
      ---------------------------------------------------------
       4.11.5
      ---------------------------------------------------------
       o Добавлена поддержка отслеживания процессов.
         Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также
         достоверно определять все файлы, которые запускались с момента старта системы.
         Если отслеживание включено то в категорию "Запускался неявно или вручную" попадают только те файлы, что запускались с
         момента запуска системы.
         Твик #39 включает отслеживание, твик #40 отключает.
         (!) После включения отслеживания процессов требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию о процессах с момента перезагрузки системы.
         (!) Только дла активных и удаленных систем начиная с Vista (NT6.0).  o В информацию об исполняемом файле добавлена история запусков данного файла с указанием времени запуска и завершения процесса,
         pid, пользователь, родительский процесс. Двойным щелчком левой кнопкой мышки по имени файла родительского процесса
         можно открыть его информационное окно.
         Данные доступны с момента запуска системы, при включенном отслеживании процессов.  o В контекстном меню критерия доступна команда для проверки всего списка по данному критерию.  o Новая горячая клавиша:
         Ctrl+F7 - Отфильтровать список по пользовательской базе критериев.  o В лог добавлена информация о времени старта Windows.  
    • santy
      кстати, сейчас удобно стало с фильтрующими правилами. добавил несколько правил по майнеру flock, и сразу попадают в отфильтрованный список все запчасти от майнера, по которым срабатывают созданные правила
    • demkd
      значит добавлю это дело в uVS, иногда будет полезно распутывать цепочки запуска
    • santy
      Привет. предложенный метод сработал.     но здесь он и в задачи попал, возможно не успел все зачистить    
×