Перейти к содержанию
Сергей Ильин

Какую программу можно считать руткитом?

Recommended Posts

Сергей Ильин

Речь в этой ветке пойдет о руткитах, сейчас этот термин использую все, кому не лень, пиарятся на нем почти все производители программного обеспечения (в том числе и антивирусные компании), заявляя о защите от этой новой, суперопасной угрозы.

Хотелось бы обсудить и сформулировать:

1. Какую программу можно считать руткитом?

Вопрос кажется простым, но экспертных точек зрения на него много.

В ветке про Dr.Web Shield это затрагивалось. Потом прочитал по ссылке переписку некого товарища с сапортом Drweb, получается что и некоторые антивирусы можно считать руткитами или наделенными функциями руткитов:

Почитайте статью Марка Руссиновича http://www.sysinternals.com/Utilities/RootkitRevealer.html что такое руткит и как он устроен. Сегодня не только KAV, но и некоторое другое ПО может быть по его поведению в системе расценено как типичный руткит. Средству борьбы с руткитами все равно что это за ПО.

2. Можно ли создать адекватную защиту от этой угрозы вообще?

a. Для какиех операционных систем существует угроза руткитов и какие проблемы существуют в их архитектуре?

б. Позможно ли появление принципиально новых руткитов?

Помню была интересная, но пугающая новость на эту тему Руткиты могут быть записаны в BIOS.

Думаю тема интересная, надеюсь будет много технических подробностей :-)

Добавлено спустя 55 секунд:

Да, есть есть какие-то ссылки и определения по этой теме скидывайте все сюда.

Заранее спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Эпизод два, "атака троллей". Техподдержку атакуют тролли с машин ЛК. :lol:

Это из последней ссылки. Будем считать это был :off:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
переписку некого товарища с сапортом Drweb.

Неверный номер запроса в тех. поддержку. Пожалуйста, проверьте корректность ссылки и повторите попытку.

Мне вот такая формулировка больше нравиться http://ru.wikipedia.org/wiki/Rootkit

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ego1st, ну уже почистили ... вчера вечером все открывалось :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Основная формулировка термина "руткит" дана в Википедии (ссылка Эгоиста).

Под самим термином "руткит" обычно понимают вредоносное приложение, которое вмешивается в работу системы для достижения своих целей. Сама технология вмешательства в работы API-функций применяется и для решения полезных задач. Например, для мониторинга системы, обеспечения безопасности, отладки и т.д.( поэтому не нужно расматривать руткит-технологию чисто как вредоносную)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Я бы определил руткит как снабженное драйвером приложение, выполняющее перехваты системных функций с целью сокрытия других приложений, ключей реестра и т.п...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Да, похоже, точную формулировку без специалистов Dr.Web нам не сформулировать. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

В Википедии написано:

В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать своё присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

Так как тогда быть с драйверами, маскирующими процессы по DKOM-технологии?? Согласно приведенному выше тексту, они не являются руткитами. :shock:

Как тогда их назвать? Это технология развивается (троян Rustock) и вполне возможно в скором времени заменит ставшую уже классической-правку KIst.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). © "VirusList.Ru"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). © "VirusList.Ru"

да я склонен к такому обьяснению функция, а то из вики получаеться что любая проактивка, hips. песочница являеться руткитом..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Mawa27
      Здравствуйте,я покупала в данном интернет-магазине https://compacttool.ru/ .Здесь достаточно широкий ассортимент товара и цены вполне адекватные+ быстрая доставка.Я осталась довольна покупкой.Рекомендую.
    • Sawa26
      Ребят где купить модуль питания  беспаечной платы?
    • Mawa27
      Я пользуюсь услугами вот этих ребят https://prohoster.info.Они предоставляют комплексные услуги по созданию сайтов и их обслуживанию, начиная от выбора доменного имени, заканчивая доп. услугами для его защиты от вирусных атак.
    • Sawa26
      Ребят,где приобрести надежный хостинг?
    • Alexey Markov
      Настоящий тест файерволов - это когда вы пытаетесь зайти на сайт со взрослым контентом, к примеру, казино https://slots-doc.com/ . Вот тут-то наступает момент истины.  Брандмаузер должен быть настроен так, чтобы позволить  программному обеспечению подключаться к серверу. Вопрос - как настраивать? Внутри панели управления брандмауэра как праивло есть список программ и разрешений для каждого файла программы. Эти разрешения устанавливаются по умолчанию при первом запуске нашей программы под брандмауэром. Он спросит вас, что делать, и если вы нажмете ОК и примете их рекомендацию, программа будет заблокирована. Чтобы исправить это, вам нужно найти этот список программ и установить их разрешения, выбрав «Разрешить все» или эквивалент неограниченного доступа. Это будет что-то похожее на процесс ниже, хотя расположение будет отличаться в каждом брандмауэре. Откройте панель управления брандмауэром (часто дважды щелкните значок брандмауэра возле системных часов Windows или найдите в меню «Пуск»).
      Нажмите на вкладку «Программы» (или иным образом найдите список программ).
      В списке программ вы увидите следующие пункты. Для каждого из них достаточно изменить «Блокировать все» на «Разрешить все» (или использовать наименее ограничивающие разрешения), чтобы вы могли получить доступ к сайту. Инструкции могут различаться, и для получения дополнительной помощи вам следует обратиться к поставщику программного обеспечения брандмауэра.
×