Перейти к содержанию
vaber

Тест антируткитов

Recommended Posts

vaber

В ближайшее время собираюсь провести тест антируткитов.

Антируткиты будут использоваться только те, которые имеют функционал не только обнаружения присутствия руткита в системе, но и его обезвреживания (удаление/переименование файлов, удаление/переименование ключей/разделов реестра).

Вот приблизительный список антируткитов:

antivir_rootkit_beta_3

AVG_antirootkit_1.1.0.29

AVZ 4.23

Bitdefender_antirootkit-BETA2

BlackLight 2.2.1055

Gmer 1.0.12.12027

McAfee Rootkit Detective 1.0.0.41 Beta

Rootkit Unhooker 3.20

Sophos Anti-Rootkit 1.2.2

TrendMicro RootkitBuster 1.6.0.1055 Beta

UnHackMe 4.0

Задача антируткита - обнаружить, удалить (или сделать возможным ручное удаление) файлы, ключи реестра - сделать вредоноса неработоспособным.

Из руткитов будут использоваться только ITW-образцы.

Вот список вредоносных программ, которые предпологаю использовать в тесте:

Backdoor.Win32.Haxdoor

Backdoor.Win32.Padodor

Monitor.Win32.EliteKeylogger

Monitor.Win32.SpyLantern

Trojan-Spy.Win32.Goldun

Trojan-Clicker.Win32.Costrat

Worm.Win32.Feebs

Если какие-либо замечанидополнения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Мое пожелание одно - в AVZ установить AVZPM :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

В частности меня интересуют комментарии по поводу списка антирутктов и зловредов (что можно добавить).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Вы смотрели список антируткитов на VirusInfo? ;) Можно оттуда добавить парочку. Зловреды хорошие, противные, упрямые, часто встречающиеся - так что тут без претензий. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

IceSword один из лучших антируткитов которые я видел..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Вы смотрели список антируткитов на VirusInfo?

Да, там я смотрел. Только вот возможно пропустил какой-либо подходящий. Поэтому меня и интересуют комменты.

IceSword один из лучших антируткитов которые я видел..

В нем есть функционал удаления (переименования) файлов, ключей реестра или снятию хуков в user и kernel??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
IceSword один из лучших антируткитов которые я видел..

Посмотрим Ж))

В принципе он подходит для теста (детектит перехваты, выделяя цветом драйвер, который потом можно найти и удалить).

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Может имеет смысл протестировать также F-Secure Blacklight?

Хотя многие отзываются о нем не слишком хорошо, но для полноты картины можно было бы добавить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Может имеет смысл протестировать также F-Secure Blacklight?

Он есть в списке - 5 сверху :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

vaber, нужно для людей типа alexgr сформулировать до начала теста четкие критерии отбора вредоносов. Почему именно их берем, а не других? Какие методы (классы если говорить о выборке) маскировки своего присутствия они используют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

vaber я бы на твоём месте всё таки пошерстилбы на вирусинфо, в разделе антируткиты.. и сюда бы добавил антируткиты от известных компаний типа McAfee Rootkit Detective и Avira Antivir Rootkit Detection Beta что бы точно знать можно с помощью них хоть что-то личить или нет, а то каждая вторая компания навыпускала и незнаешь кто как работает..

ещё хотелось бы узнать как всё-таки будет тестироваться AVZ как и в прошлом тесте или нет, это всё таки больше ручной инструмент, написание скриптов а их там уйма вариантов, будут ли включаться AVZGuard/AVZPM/BootCleaner и т.д...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber я бы на твоём месте всё таки пошерстилбы на вирусинфо,

Я так и делал - но там и много и я еще не пересмотрел все. Поэтому и создал этот топик. Авира есть в списке, Макаффи дабавил.

ещё хотелось бы узнать как всё-таки будет тестироваться AVZ как и в прошлом тесте или нет, это всё таки больше ручной инструмент, написание скриптов а их там уйма вариантов, будут ли включаться AVZGuard/AVZPM/BootCleaner и т.д...

В тесте "активное заражение" использовались антивирусные средства, AVZ там участвовал именно не как утилита, а как антивирусный сканер.

В данном тесте будут тестироваться антируткиты, поэтому в AVZ будет использован весь его функционал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ну тут тогда я точно уверен, будет 100% из 100% большинство из этих троянов я лично сам удалял..

кстати Олег говорит что возможно в конце недели появиться новая версия, может лучше её поставить в тесты..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grnic
В ближайшее время собираюсь провести тест антируткитов.

Антируткиты будут использоваться только те, который в состаянии удалить файлы зловреда (или его руткит части).

Вот приблизительный список антируткитов:

...

Если какие-либо замечанидополнения?

Отобранные самплы не отражают всего спектра методов скрытия, уж лучше тестировать на детект разных _методов_ скрытия и, соответственно, подбирать самплы. Например, существует метод (и он будет реализован, вероятно, в Unreal.B), который не будет детектироваться никем из выше указанного списка программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Отобранные самплы не отражают всего спектра методов скрытия, уж лучше тестировать на детект разных _методов_ скрытия и, соответственно, подбирать самплы. Например, существует метод (и он будет реализован, вероятно, в Unreal.B), который не будет детектироваться никем из выше указанного списка программ.

Я с Вами согласен.

Подборка вредоносов еще ведется.

Что касается Unreal.B - это демо-руткит (в принципе, как и A). В данном тесте же я хочу использовать именно руткит-составляющую в ITW-образцах зловредов.

Не могли бы Вы, если есть информация привести названия зловредов по классификации Касперского, которые используют отличные способы скрытия в системе от приведенных мною образцов? Буду очень благодарен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Добавлю, что в ITW-образцах похоже и нет всех методов скрытия. Да и тест не подразумевает проверить все антируткиты на всех известных методиках скрытия. Тест проводиться для того, что бы показать способность данных антируткитов к обнаружению и обезвреживанию файлов, процессов, ключей реестра, скрытых по руткит методике, чаще всего применяемой в ITW-образцах зловредов.

З.Ы. IceSword v1.20 и SafetyCheck 1.6 Beta не будут использоваться в тесте.

Сафити - может только завершать процессы и снимать перехваты SDT

Айсворд - не показывает руткита - то есть не выделяет его цветом и никак не выдает, что файл скрыт. Если не знать имени файла руткита, то от других файлов он не даст его отличить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

vaber, а как будет оцениваться эффективность работы антируткитов? По детектированию присутствия руткита или по его полному удалению из системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber, а как будет оцениваться эффективность работы антируткитов? По детектированию присутствия руткита или по его полному удалению из системы?

Сергей, я скорее всего никак не буду оценивать антируткиты. Я просто буду заносить результаты в таблицу (удалено все; не удален тот-то; удалены не все, но остальные не активны; остался активным такой-то файл; не обнаружены скрытые файлы и т.п.). Хотя может быть я поменяю свое решение Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Сергей, я скорее всего никак не буду оценивать антируткиты. Я просто буду заносить результаты в таблицу (удалено все; не удален тот-то; удалены не все, но остальные не активны; остался активным такой-то файл; не обнаружены скрытые файлы и т.п.)

я считаю это правильно, кому надо пусть сам оценивает проценты и всё остальное вычисляет если надо..

главное информативность теста что бы была..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber

Добавте в тест еще и UnHackMe Pro

Вотофициальная страничка.[/url]

Эта программа в тесте не будет использоваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
vaber

Добавте в тест еще и UnHackMe Pro

Вотофициальная страничка.[/url]

Эта программа в тесте не будет использоваться.

А возможен более развернутый ответ. По каким принципам определяется участие или не участие? Причины, почему были забракованы IceSword и SafetyCheck понятны

З.Ы. IceSword v1.20 и SafetyCheck 1.6 Beta не будут использоваться в тесте.

Сафити - может только завершать процессы и снимать перехваты SDT

Айсворд - не показывает руткита - то есть не выделяет его цветом и никак не выдает, что файл скрыт. Если не знать имени файла руткита, то от других файлов он не даст его отличить.

Вот ваши требования к Антируткитам

Задача антируткита - обнаружить, удалить (или сделать возможным ручное удаление) файлы, ключи реестра - сделать вредоноса неработоспособным.
Насколько я знаю, эта программа позволяет выполнить данные действия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Добавте в тест еще и UnHackMe Pro

Ок, этот антируткит принимается. Версия 4.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin

Уж и не знаю как вас за это благодарить :)

А если серьёзно, то вы понимаете, что должно быть представлено как можно больше (в разумных пределах) продуктов чтобы найти лучшее.

P.S.

Относительно антируткитов вообще. Посмотрите этот манифест. Интересная вещь. Согласитесь. И тут же относительно требований к Антируткитам

Антируткиты будут использоваться только те, который в состаянии удалить файлы зловреда (или его руткит части).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×