Перейти к содержанию
Сергей Ильин

Какую программу можно считать руткитом?

Recommended Posts

Сергей Ильин

Речь в этой ветке пойдет о руткитах, сейчас этот термин использую все, кому не лень, пиарятся на нем почти все производители программного обеспечения (в том числе и антивирусные компании), заявляя о защите от этой новой, суперопасной угрозы.

Хотелось бы обсудить и сформулировать:

1. Какую программу можно считать руткитом?

Вопрос кажется простым, но экспертных точек зрения на него много.

В ветке про Dr.Web Shield это затрагивалось. Потом прочитал по ссылке переписку некого товарища с сапортом Drweb, получается что и некоторые антивирусы можно считать руткитами или наделенными функциями руткитов:

Почитайте статью Марка Руссиновича http://www.sysinternals.com/Utilities/RootkitRevealer.html что такое руткит и как он устроен. Сегодня не только KAV, но и некоторое другое ПО может быть по его поведению в системе расценено как типичный руткит. Средству борьбы с руткитами все равно что это за ПО.

2. Можно ли создать адекватную защиту от этой угрозы вообще?

a. Для какиех операционных систем существует угроза руткитов и какие проблемы существуют в их архитектуре?

б. Позможно ли появление принципиально новых руткитов?

Помню была интересная, но пугающая новость на эту тему Руткиты могут быть записаны в BIOS.

Думаю тема интересная, надеюсь будет много технических подробностей :-)

Добавлено спустя 55 секунд:

Да, есть есть какие-то ссылки и определения по этой теме скидывайте все сюда.

Заранее спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Эпизод два, "атака троллей". Техподдержку атакуют тролли с машин ЛК. :lol:

Это из последней ссылки. Будем считать это был :off:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
переписку некого товарища с сапортом Drweb.

Неверный номер запроса в тех. поддержку. Пожалуйста, проверьте корректность ссылки и повторите попытку.

Мне вот такая формулировка больше нравиться http://ru.wikipedia.org/wiki/Rootkit

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ego1st, ну уже почистили ... вчера вечером все открывалось :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Основная формулировка термина "руткит" дана в Википедии (ссылка Эгоиста).

Под самим термином "руткит" обычно понимают вредоносное приложение, которое вмешивается в работу системы для достижения своих целей. Сама технология вмешательства в работы API-функций применяется и для решения полезных задач. Например, для мониторинга системы, обеспечения безопасности, отладки и т.д.( поэтому не нужно расматривать руткит-технологию чисто как вредоносную)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Я бы определил руткит как снабженное драйвером приложение, выполняющее перехваты системных функций с целью сокрытия других приложений, ключей реестра и т.п...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Да, похоже, точную формулировку без специалистов Dr.Web нам не сформулировать. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

В Википедии написано:

В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать своё присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

Так как тогда быть с драйверами, маскирующими процессы по DKOM-технологии?? Согласно приведенному выше тексту, они не являются руткитами. :shock:

Как тогда их назвать? Это технология развивается (троян Rustock) и вполне возможно в скором времени заменит ставшую уже классической-правку KIst.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). © "VirusList.Ru"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). © "VirusList.Ru"

да я склонен к такому обьяснению функция, а то из вики получаеться что любая проактивка, hips. песочница являеться руткитом..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
    • santy
    • santy
      можно, но только через контекстное меню.  а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click, так что не факт что это будет проще и быстрее. вообщем рационализация спорная, имхо. можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.  
    • PR55.RP55
      Дело то не в этом. Дело в наличие команды:  " Удалить только сам файл" в меню Инфо. значит отдавать команды через меню Инфо. можно. ( Для системных файлов так ,или иначе уже реализована защита ссылок от удаления. ) Вернёмся к теме: " alamor пишет: неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. "  
×