Сергей Ильин

Какую программу можно считать руткитом?

В этой теме 11 сообщений

Речь в этой ветке пойдет о руткитах, сейчас этот термин использую все, кому не лень, пиарятся на нем почти все производители программного обеспечения (в том числе и антивирусные компании), заявляя о защите от этой новой, суперопасной угрозы.

Хотелось бы обсудить и сформулировать:

1. Какую программу можно считать руткитом?

Вопрос кажется простым, но экспертных точек зрения на него много.

В ветке про Dr.Web Shield это затрагивалось. Потом прочитал по ссылке переписку некого товарища с сапортом Drweb, получается что и некоторые антивирусы можно считать руткитами или наделенными функциями руткитов:

Почитайте статью Марка Руссиновича http://www.sysinternals.com/Utilities/RootkitRevealer.html что такое руткит и как он устроен. Сегодня не только KAV, но и некоторое другое ПО может быть по его поведению в системе расценено как типичный руткит. Средству борьбы с руткитами все равно что это за ПО.

2. Можно ли создать адекватную защиту от этой угрозы вообще?

a. Для какиех операционных систем существует угроза руткитов и какие проблемы существуют в их архитектуре?

б. Позможно ли появление принципиально новых руткитов?

Помню была интересная, но пугающая новость на эту тему Руткиты могут быть записаны в BIOS.

Думаю тема интересная, надеюсь будет много технических подробностей :-)

Добавлено спустя 55 секунд:

Да, есть есть какие-то ссылки и определения по этой теме скидывайте все сюда.

Заранее спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Эпизод два, "атака троллей". Техподдержку атакуют тролли с машин ЛК. :lol:

Это из последней ссылки. Будем считать это был :off:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
переписку некого товарища с сапортом Drweb.

Неверный номер запроса в тех. поддержку. Пожалуйста, проверьте корректность ссылки и повторите попытку.

Мне вот такая формулировка больше нравиться http://ru.wikipedia.org/wiki/Rootkit

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ego1st, ну уже почистили ... вчера вечером все открывалось :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Основная формулировка термина "руткит" дана в Википедии (ссылка Эгоиста).

Под самим термином "руткит" обычно понимают вредоносное приложение, которое вмешивается в работу системы для достижения своих целей. Сама технология вмешательства в работы API-функций применяется и для решения полезных задач. Например, для мониторинга системы, обеспечения безопасности, отладки и т.д.( поэтому не нужно расматривать руткит-технологию чисто как вредоносную)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я бы определил руткит как снабженное драйвером приложение, выполняющее перехваты системных функций с целью сокрытия других приложений, ключей реестра и т.п...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, похоже, точную формулировку без специалистов Dr.Web нам не сформулировать. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В Википедии написано:

В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать своё присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

Так как тогда быть с драйверами, маскирующими процессы по DKOM-технологии?? Согласно приведенному выше тексту, они не являются руткитами. :shock:

Как тогда их назвать? Это технология развивается (троян Rustock) и вполне возможно в скором времени заменит ставшую уже классической-правку KIst.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). © "VirusList.Ru"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). © "VirusList.Ru"

да я склонен к такому обьяснению функция, а то из вики получаеться что любая проактивка, hips. песочница являеться руткитом..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS