Перейти к содержанию
Сергей Ильин

Тест антируткитов II (обсуждение)

Recommended Posts

Сергей Ильин

Коллеги, я вижу, что в догонку к только что опубликованному тесту на лечение активного заражения, есть потребность в проверке эффективности специализированных антируткитов для обнаружения сложных угроз.

Поэтому я предлагаю провести мини-тест небольшего набора специализированных антируткитов, среди которых:

1. Antivir Rootkit 1.1.0.1

2. AVZ 4.32

3. F-Secure BlackLight

4. Rootkit Unhooker 3.8

5. Sophos Anti-Rootkit 1.5

6. Trend Micro RootkitBuster 2.8

7. UnHackMe 5.7

8. VBA32 Antirootkit 3.12.3 beta

AVG Antirootkit - больше не существует

BitDefender Antirootkit - тоже больше нет

Gmer - в Авасте мы его уже посмотрели, стоит ли отдельно смотреть?

McAfee Rootkit Detective - вроде как тоже уже нет

Если есть какие-то предложения еще по тестируемым продуктам, то предлагайте, но не больше двух, много тестировать не хочется. Это же быстрый мини-тест ;)

Вредоносы предлагаю взять те же самые, что и в тесте антивирусов на активное заражение, только за вычетом тех, где руткит-технологии нет. В итоге получается такой список:

2. Rustock (NewRest)

3. Sinowal (Mebroot)

5. TDL (TDSS, Alureon, Tidserv)

6. TDL2 (TDSS, Alureon, Tidserv)

7. Srizbi

8. Rootkit.Podnuha (Boaxxe)

9. Rootkit.Pakes (synsenddrv)

10. Rootkit.Protector (Cutwail, Pandex, Pushdo)

11. Virus.Protector (Kobcka, Neprodoor)

13. Trojan-Spy.Zbot

14. Win32/Glaze

16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

Не хотелось бы брать другие самплы, так как тогда не будет корреляции результатов с тестом на лечение активного заражения. А так можно будет говорить о наличии в арсенале у вендоров, которые выглядели в тесте не очень хорошо со штатными средства, специальных средств для борьбы с этими сложными угрозами.

Предлагаю оперативно обсудить тест и начать его делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Надо бы быстрее фиксировать(скачивать) версии руткитов, пока их.. не обновили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Gmer - в Авасте мы его уже посмотрели, стоит ли отдельно смотреть?

в авасте он не допиленный стоит

не хватает доктор вебовского

rootrepeal, sysinspector, icesword, osam-autorun-manager

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Wordmonger

AVPTool

CureIt (если лицензия позволяет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
rootrepeal, sysinspector, icesword, osam-autorun-manager

icesword фтопку.

XueTr добавить (названьице самое то :lol:).

AVPTool

CureIt (если лицензия позволяет)

А есть ли смысл? Это не специализированные инструменты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Надо бы быстрее фиксировать(скачивать) версии руткитов, пока их.. не обновили.

Они зафиксированы :)

icesword фтопку

По причине ... ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
По причине ... ?

Стух уже давно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Стух уже давно.

Panda AntiRootkit тоже, наверное, неактуален (от 2007). Разделили между Panda QuickRemover, Panda ActiveScan и Облаком.

McAfee Rootkit Detective хоть от 2007 г., но кое-что находит.

IceSword122en находит, конечно, много, но он тоже от 2007 года.

А XueTr, действительно, с новейшей поддержкой Windows7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Стух уже давно.

он может и стух, но получше будет чем

5. Sophos Anti-Rootkit 1.5

6. Trend Micro RootkitBuster 2.8

7. UnHackMe 5.7

эти поделки

А есть ли смысл? Это не специализированные инструменты.

в авптул использовать авз, он же там через драйверок кава вроде работает, а он получше будет чем в авз=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Все-таки я предлагаю брать актуальные версии, те инструменты, которые обновляются. Остальные поделки фтопку. И работы меньше для тестировщиков.

в авптул использовать авз, он же там через драйверок кава вроде работает, а он получше будет чем в авз=))

А? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
AVPTool

CureIt (если лицензия позволяет)

Это действительно специальные утилиты. Тогда надо брать еще и MSRT, McAfee Removal Tools и т.п., тест будет уже другой по смыслу.

в авасте он не допиленный стоит

А gmer отдельно развивается сейчас? Если нет, то не будет смысла брать устаревшую версию изначально.

не хватает доктор вебовского

А что у них?

ESET SysInspector 1.2.021 (английская версия).

Берем точно, я просто забыл про него.

rootrepeal, sysinspector, icesword, osam-autorun-manager

rootrepeal

icesword

osam-autorun-manager

Что-то из этого все таки берем?

XueTr добавить (названьице самое то laugh.gif).

Стоит взять в тест этот XueTr?

он может и стух, но получше будет чем

5. Sophos Anti-Rootkit 1.5

6. Trend Micro RootkitBuster 2.8

7. UnHackMe 5.7

Так они развиваются, версии новые выходят, проекты живые.

У меня сомнения по поводу F-Secure BlackLight. Продукт жив вообще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Поэтому я предлагаю провести мини-тест небольшего набора специализированных антируткитов, среди которых:

8. VBA32 Antirootkit 3.12.3 beta

Уже релиз вышел. Версия 3.12.4.0. http://anti-virus.by/en/vba32arkit.shtml

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Цитата(Ego1st @ 17.02.2010, 9:39)

не хватает доктор вебовского

А что у них?

Dr.Web Shark. Только периода 2008-2009 года и без сканера.

Но может быть работа и была продолжена после.

Стоит взять в тест этот XueTr?

См. сами (ссылка). 7d2bcc84aab2t.jpg 95749b872ddet.jpg e3bcf6e79f5et.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
А gmer отдельно развивается сейчас? Если нет, то не будет смысла брать устаревшую версию изначально.

Развивается.

Стоит взять в тест этот XueTr?

Стоит.

Dr.Web Shark. Только периода 2008-2009 года и без сканера.

Динозавры остаются за бортом :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Динозавры остаются за бортом

А вот от 2009 года.

ATool update to v.1.0021

_http://www.antiy.net/freetools/atool.htm Файл>>>

946a36f01078t.jpg eb8bc54a0165t.jpg 3fbd24ba4009t.jpg

Текст в некоторых кнопках уползает, но в китайском всё чётко.

---

SysProt AntiRootkit (у меня несколько раз ругнулся, но ясно на что)

_http://sites.google.com/site/sysprotantirootkit/ Файл в самом низу страницы.

aaccc891b255t.jpg a16844d945dat.jpg 9181b833b47ft.jpg

---

Gmer за прошлый год выпустили много новых версий/сборок. Видимо не зря. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Динозавры остаются за бортом

некоторые динозавры могут фору дать всяким разным недотулзам=))

А?

ошибся? казалось анализатор в авптул как раз, так и работает=))

rootrepeal

icesword

osam-autorun-manager

rootrepeal

и

osam-autorun-manager их точно, насчет icesword уже не уверен=))

Dr.Web Shark. Только периода 2008-2009 года и без сканера.

Но может быть работа и была продолжена после.

какого сканера? он кстати не хуже rku=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
какого сканера? он кстати не хуже rku=))

Действительно, что это я. Ну если не хотят... smile396.gif

Вот документация >>> DWShark_ru_pdf.zip.

a901ab54d4f4t.jpg 4bede436df4ft.jpg 40ee159e6f6ft.jpg

DWShark_ru_pdf.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Wordmonger

AVPTool всё-таки помощнее, чем KAV 9, в плане борьбы с руткитами.

Если же рассматривать только руткиты, которые детектируют заражение "из общих соображений" и не зависят от детекта файлов, то как это проверить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yura5

а антируткит от Авира- Avira AntiRootkit Tool ? было бы интересно посмотреть его...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
AVPTool всё-таки помощнее, чем KAV 9, в плане борьбы с руткитами.

Если же рассматривать только руткиты, которые детектируют заражение "из общих соображений" и не зависят от детекта файлов, то как это проверить?

Дело не в детекте файлов, а в детекте аномалий + возможность вручную вылечить активное заражение используя эти инструменты. С другой стороны, самый лучший анти-руткит для меня - это WinDbg, все остальное - туфта :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
ошибся? казалось анализатор в авптул как раз, так и работает=))

Если там использовать движок AVZ как ты предложил, то будет работать рандомный дров AVZ, при автоматическом лечении (сканер) работает klif.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Если там использовать движок AVZ как ты предложил, то будет работать рандомный дров AVZ, при автоматическом лечении (сканер) работает klif.

значить ошибся, казалось где-то читал про то что описал выше ну да ладно значить не надо брать=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
значить ошибся, казалось где-то читал про то что описал выше ну да ладно значить не надо брать=))

В продукте движок AVZ работает через klif :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×