Сергей Ильин

Тест антируткитов II (обсуждение)

В этой теме 65 сообщений

Коллеги, я вижу, что в догонку к только что опубликованному тесту на лечение активного заражения, есть потребность в проверке эффективности специализированных антируткитов для обнаружения сложных угроз.

Поэтому я предлагаю провести мини-тест небольшего набора специализированных антируткитов, среди которых:

1. Antivir Rootkit 1.1.0.1

2. AVZ 4.32

3. F-Secure BlackLight

4. Rootkit Unhooker 3.8

5. Sophos Anti-Rootkit 1.5

6. Trend Micro RootkitBuster 2.8

7. UnHackMe 5.7

8. VBA32 Antirootkit 3.12.3 beta

AVG Antirootkit - больше не существует

BitDefender Antirootkit - тоже больше нет

Gmer - в Авасте мы его уже посмотрели, стоит ли отдельно смотреть?

McAfee Rootkit Detective - вроде как тоже уже нет

Если есть какие-то предложения еще по тестируемым продуктам, то предлагайте, но не больше двух, много тестировать не хочется. Это же быстрый мини-тест ;)

Вредоносы предлагаю взять те же самые, что и в тесте антивирусов на активное заражение, только за вычетом тех, где руткит-технологии нет. В итоге получается такой список:

2. Rustock (NewRest)

3. Sinowal (Mebroot)

5. TDL (TDSS, Alureon, Tidserv)

6. TDL2 (TDSS, Alureon, Tidserv)

7. Srizbi

8. Rootkit.Podnuha (Boaxxe)

9. Rootkit.Pakes (synsenddrv)

10. Rootkit.Protector (Cutwail, Pandex, Pushdo)

11. Virus.Protector (Kobcka, Neprodoor)

13. Trojan-Spy.Zbot

14. Win32/Glaze

16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

Не хотелось бы брать другие самплы, так как тогда не будет корреляции результатов с тестом на лечение активного заражения. А так можно будет говорить о наличии в арсенале у вендоров, которые выглядели в тесте не очень хорошо со штатными средства, специальных средств для борьбы с этими сложными угрозами.

Предлагаю оперативно обсудить тест и начать его делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Надо бы быстрее фиксировать(скачивать) версии руткитов, пока их.. не обновили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gmer - в Авасте мы его уже посмотрели, стоит ли отдельно смотреть?

в авасте он не допиленный стоит

не хватает доктор вебовского

rootrepeal, sysinspector, icesword, osam-autorun-manager

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rootrepeal, sysinspector, icesword, osam-autorun-manager

icesword фтопку.

XueTr добавить (названьице самое то :lol:).

AVPTool

CureIt (если лицензия позволяет)

А есть ли смысл? Это не специализированные инструменты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Надо бы быстрее фиксировать(скачивать) версии руткитов, пока их.. не обновили.

Они зафиксированы :)

icesword фтопку

По причине ... ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Стух уже давно.

Panda AntiRootkit тоже, наверное, неактуален (от 2007). Разделили между Panda QuickRemover, Panda ActiveScan и Облаком.

McAfee Rootkit Detective хоть от 2007 г., но кое-что находит.

IceSword122en находит, конечно, много, но он тоже от 2007 года.

А XueTr, действительно, с новейшей поддержкой Windows7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Стух уже давно.

он может и стух, но получше будет чем

5. Sophos Anti-Rootkit 1.5

6. Trend Micro RootkitBuster 2.8

7. UnHackMe 5.7

эти поделки

А есть ли смысл? Это не специализированные инструменты.

в авптул использовать авз, он же там через драйверок кава вроде работает, а он получше будет чем в авз=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все-таки я предлагаю брать актуальные версии, те инструменты, которые обновляются. Остальные поделки фтопку. И работы меньше для тестировщиков.

в авптул использовать авз, он же там через драйверок кава вроде работает, а он получше будет чем в авз=))

А? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AVPTool

CureIt (если лицензия позволяет)

Это действительно специальные утилиты. Тогда надо брать еще и MSRT, McAfee Removal Tools и т.п., тест будет уже другой по смыслу.

в авасте он не допиленный стоит

А gmer отдельно развивается сейчас? Если нет, то не будет смысла брать устаревшую версию изначально.

не хватает доктор вебовского

А что у них?

ESET SysInspector 1.2.021 (английская версия).

Берем точно, я просто забыл про него.

rootrepeal, sysinspector, icesword, osam-autorun-manager

rootrepeal

icesword

osam-autorun-manager

Что-то из этого все таки берем?

XueTr добавить (названьице самое то laugh.gif).

Стоит взять в тест этот XueTr?

он может и стух, но получше будет чем

5. Sophos Anti-Rootkit 1.5

6. Trend Micro RootkitBuster 2.8

7. UnHackMe 5.7

Так они развиваются, версии новые выходят, проекты живые.

У меня сомнения по поводу F-Secure BlackLight. Продукт жив вообще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поэтому я предлагаю провести мини-тест небольшего набора специализированных антируткитов, среди которых:

8. VBA32 Antirootkit 3.12.3 beta

Уже релиз вышел. Версия 3.12.4.0. http://anti-virus.by/en/vba32arkit.shtml

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(Ego1st @ 17.02.2010, 9:39)

не хватает доктор вебовского

А что у них?

Dr.Web Shark. Только периода 2008-2009 года и без сканера.

Но может быть работа и была продолжена после.

Стоит взять в тест этот XueTr?

См. сами (ссылка). 7d2bcc84aab2t.jpg 95749b872ddet.jpg e3bcf6e79f5et.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А gmer отдельно развивается сейчас? Если нет, то не будет смысла брать устаревшую версию изначально.

Развивается.

Стоит взять в тест этот XueTr?

Стоит.

Dr.Web Shark. Только периода 2008-2009 года и без сканера.

Динозавры остаются за бортом :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Динозавры остаются за бортом

А вот от 2009 года.

ATool update to v.1.0021

_http://www.antiy.net/freetools/atool.htm Файл>>>

946a36f01078t.jpg eb8bc54a0165t.jpg 3fbd24ba4009t.jpg

Текст в некоторых кнопках уползает, но в китайском всё чётко.

---

SysProt AntiRootkit (у меня несколько раз ругнулся, но ясно на что)

_http://sites.google.com/site/sysprotantirootkit/ Файл в самом низу страницы.

aaccc891b255t.jpg a16844d945dat.jpg 9181b833b47ft.jpg

---

Gmer за прошлый год выпустили много новых версий/сборок. Видимо не зря. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Динозавры остаются за бортом

некоторые динозавры могут фору дать всяким разным недотулзам=))

А?

ошибся? казалось анализатор в авптул как раз, так и работает=))

rootrepeal

icesword

osam-autorun-manager

rootrepeal

и

osam-autorun-manager их точно, насчет icesword уже не уверен=))

Dr.Web Shark. Только периода 2008-2009 года и без сканера.

Но может быть работа и была продолжена после.

какого сканера? он кстати не хуже rku=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
какого сканера? он кстати не хуже rku=))

Действительно, что это я. Ну если не хотят... smile396.gif

Вот документация >>> DWShark_ru_pdf.zip.

a901ab54d4f4t.jpg 4bede436df4ft.jpg 40ee159e6f6ft.jpg

DWShark_ru_pdf.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

AVPTool всё-таки помощнее, чем KAV 9, в плане борьбы с руткитами.

Если же рассматривать только руткиты, которые детектируют заражение "из общих соображений" и не зависят от детекта файлов, то как это проверить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а антируткит от Авира- Avira AntiRootkit Tool ? было бы интересно посмотреть его...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AVPTool всё-таки помощнее, чем KAV 9, в плане борьбы с руткитами.

Если же рассматривать только руткиты, которые детектируют заражение "из общих соображений" и не зависят от детекта файлов, то как это проверить?

Дело не в детекте файлов, а в детекте аномалий + возможность вручную вылечить активное заражение используя эти инструменты. С другой стороны, самый лучший анти-руткит для меня - это WinDbg, все остальное - туфта :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ошибся? казалось анализатор в авптул как раз, так и работает=))

Если там использовать движок AVZ как ты предложил, то будет работать рандомный дров AVZ, при автоматическом лечении (сканер) работает klif.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если там использовать движок AVZ как ты предложил, то будет работать рандомный дров AVZ, при автоматическом лечении (сканер) работает klif.

значить ошибся, казалось где-то читал про то что описал выше ну да ладно значить не надо брать=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
значить ошибся, казалось где-то читал про то что описал выше ну да ладно значить не надо брать=))

В продукте движок AVZ работает через klif :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...