Тест антируткитов (результаты)

[vaber 350]

крутой тест, статья о антируткитах, blacklight на пару с бсодогенератором по имени Darkspy всех уделали

Странные результаты. Как видно не совсем соответствуют тем, что получили мы. Да и методология оценки странная.

[Сергей Ильин 1538]

Вообще - серьезная организация, исследование получилось масштабное. Мне лично очень понравилась первая половина, где идет описание существующих руткит-технологий, как все это дело работает и масштабов угрозы.

Сами результаты теста (таблички по каждому руткиту), на мой взгляд, выглядят правдоподобно, по крайней мере серьезных отклонений от результатов нашего теста по одни и тем же продуктам я не не нашел.

А вот что касается интерпретации этих результатов, то у меня тут возникают вопросы: какой смысл суммировать результаты по количеству детектированных процессов/файлов/портов?

Хорошо, конечно, если продукт аккуратно вычищает все следы, но руткит или жив или мертв. Если удаления какого-то количества файлов достаточно для деактивации руткита, то ему нужно ставить плюс за этого (с оговоркой конечно), как мы делали в нашем тесте.

Из-за этого у них получились какие-то странные итоговые результаты :?

Добавлено спустя 2 минуты 25 секунд:

Иван, а где ссылочка на "альтернативные результаты" журнала?

Поподробнее их изучить очень хочется :-)

[EP_X0FF 15]

Тесты, проведенные SANS не просто странные - они бредовые. Серьезная, несерьезная организация это ещё не гарантирует отсутствия дураков в её рядах.

Совершенно бредовые тесты, призванные либо:

1. отпиарить что-то (или кого-то)

2. полить воды на мельницу всеобщей буржуйской паники

А теперь, собственно, вскроем пациента. Берем этот дурацкий pdf. Пропускаем муторную и отставшую от жизни обзорную часть и переходим непосредственно к так называемым "результатам".

Во-первых, для тестирования выбираются далеко не самые новые версии программ, а в случае с нами им удалось откопать первую бету, аж с октября прошлого года, собственно в которой практически ничего ещё и не было. Для сравнения - версия гмера выбранна целенаправленно гораздо новее. Во время первой беты у него была актульна 1.011, если вообще не 1.010

Во-вторых, оценка руткитов по количеству "попаданий" (нашел-не нашел) это вообще полный бред. У некоторых из руткитов в тесте отсутствуют те или иные компоненты.

Китайский, так называемый "софт", не обладая и половиной необходимых возможностей, каким-то образом, во-первых - загрузился (с одним из лидеров - ds это довольно проблематично), во-вторых нашел, то чего в принципе нет.

HaxDoor

Заявлены результаты тестирования, в которых китайские программы и кривой гмер находят скрытые дрова и длл, а мы нет. Полный бред. Даже больше - НАГЛОЕ ВРАНЬЕ. А с DS и Icesword дорогие мои, вообще нужно знать, что искать. Что касается гмера, детект хакдора у него забит константой.

Rustock.B

Здесь господа, проводившие тест, совсем перебрали и выдали великую новость - вместе с lzx32.sys также идет lzx32.exe

Вынужден огорчить господ-тестирующих, у рустока нет процесса. У него есть маленький симпатичный дроппер, который устанавливает руткит и тут же самоудаляется (в теории, но не всегда получается) путем инжекта в explorer. Более того, господа-тестирующие в своем феерическом прологе сами КОНСТАТИРОВАЛИ, что

Rustock is a well-known rootkit popularized to the public

in part by publications from Symantec (Symantec Corp., 2006).

It's special amongst rootkits because it has NO PROCESS.

Так какого Х в таблице делает пункт с процессом lzx32.exe и как это Sophos его нашел? Остается надеятся, что это был все-таки ADS :lzx32.sys, а не процесс. То, что мы его не нашли не удивительно, поддержка NTFS появилась только в RC1.

Что удивительно, что аффтар теста специально включил в него версию Гмера, которая вышла после того как руткит попал к нему в руки и он обошел его антидетект. ИМХО это уже чересчур явное подыгрывание.

В-третих:

Подборка софта и описания аффтара теста. Порадовали очень сильно.

GMER выдвинут как найденный в капусте. Потрясающие возможности сноса всего, что он отдетектирует тоже порадовали. Ну-ну, курите дальше.

RKDetector2 =)))))) Просто закачайте её и посмотрите

http://rkdetector.com, если не забыл

Rootkit Hook Analyzer 2

Вот уж не знал, что он детектирует компоненты скрытых файлов или драйверов. Странно, наверное, когда мы неоднократно априори обходили его, что-то просмотрели.

Ken Dunham - аЦки жжот, пищи исч0

[Иван 290]

Лично вам Сергей я скан журнала могу прислать, а вот по поводу вывешивать здесь соглашусь с Inkogn

Я не имею права публиковать этот артикль.

[vaber 350]

Да, в этом "тесте" очень много ошибок - версии программ, несуществующие файлы в малварах, обнаружение открытых портов, не учитывается функционал, и - победители - они помогут только тогда, когда точно известно, что и где находится.