Перейти к содержанию
vaber

Тест антируткитов

Recommended Posts

vaber

В ближайшее время собираюсь провести тест антируткитов.

Антируткиты будут использоваться только те, которые имеют функционал не только обнаружения присутствия руткита в системе, но и его обезвреживания (удаление/переименование файлов, удаление/переименование ключей/разделов реестра).

Вот приблизительный список антируткитов:

antivir_rootkit_beta_3

AVG_antirootkit_1.1.0.29

AVZ 4.23

Bitdefender_antirootkit-BETA2

BlackLight 2.2.1055

Gmer 1.0.12.12027

McAfee Rootkit Detective 1.0.0.41 Beta

Rootkit Unhooker 3.20

Sophos Anti-Rootkit 1.2.2

TrendMicro RootkitBuster 1.6.0.1055 Beta

UnHackMe 4.0

Задача антируткита - обнаружить, удалить (или сделать возможным ручное удаление) файлы, ключи реестра - сделать вредоноса неработоспособным.

Из руткитов будут использоваться только ITW-образцы.

Вот список вредоносных программ, которые предпологаю использовать в тесте:

Backdoor.Win32.Haxdoor

Backdoor.Win32.Padodor

Monitor.Win32.EliteKeylogger

Monitor.Win32.SpyLantern

Trojan-Spy.Win32.Goldun

Trojan-Clicker.Win32.Costrat

Worm.Win32.Feebs

Если какие-либо замечанидополнения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Мое пожелание одно - в AVZ установить AVZPM :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

В частности меня интересуют комментарии по поводу списка антирутктов и зловредов (что можно добавить).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Вы смотрели список антируткитов на VirusInfo? ;) Можно оттуда добавить парочку. Зловреды хорошие, противные, упрямые, часто встречающиеся - так что тут без претензий. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

IceSword один из лучших антируткитов которые я видел..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Вы смотрели список антируткитов на VirusInfo?

Да, там я смотрел. Только вот возможно пропустил какой-либо подходящий. Поэтому меня и интересуют комменты.

IceSword один из лучших антируткитов которые я видел..

В нем есть функционал удаления (переименования) файлов, ключей реестра или снятию хуков в user и kernel??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
IceSword один из лучших антируткитов которые я видел..

Посмотрим Ж))

В принципе он подходит для теста (детектит перехваты, выделяя цветом драйвер, который потом можно найти и удалить).

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Может имеет смысл протестировать также F-Secure Blacklight?

Хотя многие отзываются о нем не слишком хорошо, но для полноты картины можно было бы добавить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Может имеет смысл протестировать также F-Secure Blacklight?

Он есть в списке - 5 сверху :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

vaber, нужно для людей типа alexgr сформулировать до начала теста четкие критерии отбора вредоносов. Почему именно их берем, а не других? Какие методы (классы если говорить о выборке) маскировки своего присутствия они используют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

vaber я бы на твоём месте всё таки пошерстилбы на вирусинфо, в разделе антируткиты.. и сюда бы добавил антируткиты от известных компаний типа McAfee Rootkit Detective и Avira Antivir Rootkit Detection Beta что бы точно знать можно с помощью них хоть что-то личить или нет, а то каждая вторая компания навыпускала и незнаешь кто как работает..

ещё хотелось бы узнать как всё-таки будет тестироваться AVZ как и в прошлом тесте или нет, это всё таки больше ручной инструмент, написание скриптов а их там уйма вариантов, будут ли включаться AVZGuard/AVZPM/BootCleaner и т.д...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber я бы на твоём месте всё таки пошерстилбы на вирусинфо,

Я так и делал - но там и много и я еще не пересмотрел все. Поэтому и создал этот топик. Авира есть в списке, Макаффи дабавил.

ещё хотелось бы узнать как всё-таки будет тестироваться AVZ как и в прошлом тесте или нет, это всё таки больше ручной инструмент, написание скриптов а их там уйма вариантов, будут ли включаться AVZGuard/AVZPM/BootCleaner и т.д...

В тесте "активное заражение" использовались антивирусные средства, AVZ там участвовал именно не как утилита, а как антивирусный сканер.

В данном тесте будут тестироваться антируткиты, поэтому в AVZ будет использован весь его функционал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ну тут тогда я точно уверен, будет 100% из 100% большинство из этих троянов я лично сам удалял..

кстати Олег говорит что возможно в конце недели появиться новая версия, может лучше её поставить в тесты..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grnic
В ближайшее время собираюсь провести тест антируткитов.

Антируткиты будут использоваться только те, который в состаянии удалить файлы зловреда (или его руткит части).

Вот приблизительный список антируткитов:

...

Если какие-либо замечанидополнения?

Отобранные самплы не отражают всего спектра методов скрытия, уж лучше тестировать на детект разных _методов_ скрытия и, соответственно, подбирать самплы. Например, существует метод (и он будет реализован, вероятно, в Unreal.B), который не будет детектироваться никем из выше указанного списка программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Отобранные самплы не отражают всего спектра методов скрытия, уж лучше тестировать на детект разных _методов_ скрытия и, соответственно, подбирать самплы. Например, существует метод (и он будет реализован, вероятно, в Unreal.B), который не будет детектироваться никем из выше указанного списка программ.

Я с Вами согласен.

Подборка вредоносов еще ведется.

Что касается Unreal.B - это демо-руткит (в принципе, как и A). В данном тесте же я хочу использовать именно руткит-составляющую в ITW-образцах зловредов.

Не могли бы Вы, если есть информация привести названия зловредов по классификации Касперского, которые используют отличные способы скрытия в системе от приведенных мною образцов? Буду очень благодарен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Добавлю, что в ITW-образцах похоже и нет всех методов скрытия. Да и тест не подразумевает проверить все антируткиты на всех известных методиках скрытия. Тест проводиться для того, что бы показать способность данных антируткитов к обнаружению и обезвреживанию файлов, процессов, ключей реестра, скрытых по руткит методике, чаще всего применяемой в ITW-образцах зловредов.

З.Ы. IceSword v1.20 и SafetyCheck 1.6 Beta не будут использоваться в тесте.

Сафити - может только завершать процессы и снимать перехваты SDT

Айсворд - не показывает руткита - то есть не выделяет его цветом и никак не выдает, что файл скрыт. Если не знать имени файла руткита, то от других файлов он не даст его отличить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

vaber, а как будет оцениваться эффективность работы антируткитов? По детектированию присутствия руткита или по его полному удалению из системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber, а как будет оцениваться эффективность работы антируткитов? По детектированию присутствия руткита или по его полному удалению из системы?

Сергей, я скорее всего никак не буду оценивать антируткиты. Я просто буду заносить результаты в таблицу (удалено все; не удален тот-то; удалены не все, но остальные не активны; остался активным такой-то файл; не обнаружены скрытые файлы и т.п.). Хотя может быть я поменяю свое решение Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Сергей, я скорее всего никак не буду оценивать антируткиты. Я просто буду заносить результаты в таблицу (удалено все; не удален тот-то; удалены не все, но остальные не активны; остался активным такой-то файл; не обнаружены скрытые файлы и т.п.)

я считаю это правильно, кому надо пусть сам оценивает проценты и всё остальное вычисляет если надо..

главное информативность теста что бы была..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber

Добавте в тест еще и UnHackMe Pro

Вотофициальная страничка.[/url]

Эта программа в тесте не будет использоваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
vaber

Добавте в тест еще и UnHackMe Pro

Вотофициальная страничка.[/url]

Эта программа в тесте не будет использоваться.

А возможен более развернутый ответ. По каким принципам определяется участие или не участие? Причины, почему были забракованы IceSword и SafetyCheck понятны

З.Ы. IceSword v1.20 и SafetyCheck 1.6 Beta не будут использоваться в тесте.

Сафити - может только завершать процессы и снимать перехваты SDT

Айсворд - не показывает руткита - то есть не выделяет его цветом и никак не выдает, что файл скрыт. Если не знать имени файла руткита, то от других файлов он не даст его отличить.

Вот ваши требования к Антируткитам

Задача антируткита - обнаружить, удалить (или сделать возможным ручное удаление) файлы, ключи реестра - сделать вредоноса неработоспособным.
Насколько я знаю, эта программа позволяет выполнить данные действия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Добавте в тест еще и UnHackMe Pro

Ок, этот антируткит принимается. Версия 4.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin

Уж и не знаю как вас за это благодарить :)

А если серьёзно, то вы понимаете, что должно быть представлено как можно больше (в разумных пределах) продуктов чтобы найти лучшее.

P.S.

Относительно антируткитов вообще. Посмотрите этот манифест. Интересная вещь. Согласитесь. И тут же относительно требований к Антируткитам

Антируткиты будут использоваться только те, который в состаянии удалить файлы зловреда (или его руткит части).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×