Перейти к содержанию
Сергей Ильин

Какую программу можно считать руткитом?

Recommended Posts

Сергей Ильин

Речь в этой ветке пойдет о руткитах, сейчас этот термин использую все, кому не лень, пиарятся на нем почти все производители программного обеспечения (в том числе и антивирусные компании), заявляя о защите от этой новой, суперопасной угрозы.

Хотелось бы обсудить и сформулировать:

1. Какую программу можно считать руткитом?

Вопрос кажется простым, но экспертных точек зрения на него много.

В ветке про Dr.Web Shield это затрагивалось. Потом прочитал по ссылке переписку некого товарища с сапортом Drweb, получается что и некоторые антивирусы можно считать руткитами или наделенными функциями руткитов:

Почитайте статью Марка Руссиновича http://www.sysinternals.com/Utilities/RootkitRevealer.html что такое руткит и как он устроен. Сегодня не только KAV, но и некоторое другое ПО может быть по его поведению в системе расценено как типичный руткит. Средству борьбы с руткитами все равно что это за ПО.

2. Можно ли создать адекватную защиту от этой угрозы вообще?

a. Для какиех операционных систем существует угроза руткитов и какие проблемы существуют в их архитектуре?

б. Позможно ли появление принципиально новых руткитов?

Помню была интересная, но пугающая новость на эту тему Руткиты могут быть записаны в BIOS.

Думаю тема интересная, надеюсь будет много технических подробностей :-)

Добавлено спустя 55 секунд:

Да, есть есть какие-то ссылки и определения по этой теме скидывайте все сюда.

Заранее спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Эпизод два, "атака троллей". Техподдержку атакуют тролли с машин ЛК. :lol:

Это из последней ссылки. Будем считать это был :off:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
переписку некого товарища с сапортом Drweb.

Неверный номер запроса в тех. поддержку. Пожалуйста, проверьте корректность ссылки и повторите попытку.

Мне вот такая формулировка больше нравиться http://ru.wikipedia.org/wiki/Rootkit

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ego1st, ну уже почистили ... вчера вечером все открывалось :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Основная формулировка термина "руткит" дана в Википедии (ссылка Эгоиста).

Под самим термином "руткит" обычно понимают вредоносное приложение, которое вмешивается в работу системы для достижения своих целей. Сама технология вмешательства в работы API-функций применяется и для решения полезных задач. Например, для мониторинга системы, обеспечения безопасности, отладки и т.д.( поэтому не нужно расматривать руткит-технологию чисто как вредоносную)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Я бы определил руткит как снабженное драйвером приложение, выполняющее перехваты системных функций с целью сокрытия других приложений, ключей реестра и т.п...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Да, похоже, точную формулировку без специалистов Dr.Web нам не сформулировать. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

В Википедии написано:

В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать своё присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

Так как тогда быть с драйверами, маскирующими процессы по DKOM-технологии?? Согласно приведенному выше тексту, они не являются руткитами. :shock:

Как тогда их назвать? Это технология развивается (троян Rustock) и вполне возможно в скором времени заменит ставшую уже классической-правку KIst.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). © "VirusList.Ru"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). © "VirusList.Ru"

да я склонен к такому обьяснению функция, а то из вики получаеться что любая проактивка, hips. песочница являеться руткитом..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
×