Перейти к содержанию
Don't.Care.A.Fig

Антируткиты (Antirootkits)

Recommended Posts

Don't.Care.A.Fig

AntiHookExec, ApiHookCheck, KprocCheck, SDT Restore http://www.security.org.sg/

Antikit http://anti-virus.by/download_files/antikit.zip

AVG antirootkit http://www.softpedia.com/progDownload/AVG-...load-48738.html

Avira AntiRootkit Tool http://www.avira.com/en/support/support_downloads.html

AVZ http://z-oleg.com/secur/avz/

Archon Scanner http://www.antirootkit.com/software/Archon-Scanner.htm

BitDefender RootkitUncover http://download.bitdefender.com/windows/de...otkit-BETA2.exe http://www.softpedia.com/get/Antivirus/Bit...itUncover.shtml

BreakPE http://seconfig.sytes.net/breakpe

DarkSpy http://www.fyyre.net/~cardmagic

Detectproc http://www.kd-team.com/

FLISTER proof-of-concept, KLISTER, modGREPER, Patch Finder, System Virginity Verifier http://www.invisiblethings.org/tools.html

F-Secure BlackLight http://www.f-secure.com/blacklight/cure.shtml

GMER, Catchme http://www.gmer.net/ http://www.majorgeeks.com/GMER_d5198.html

HookExplorer http://labs.idefense.com/files/labs/releas...s/HookExplorer/

Helios, Helios Light http://helios.miel-labs.com/

IceSword http://202.38.64.10/~jfpan/

Kernel PS http://virusinfo.info/showthread.php?t=1330

McAfee Rootkit Detective http://vil.nai.com/vil/stinger/rkstinger.aspx http://www.majorgeeks.com/download5447.html

Packed Driver Detector http://www.misec.net/products/pdd/

Panda Antirootkit http://research.pandasoftware.com/blogs/re...it-cleaner.aspx

Process hunter http://www.wasm.ru/toollist.php?list=21#359

RAIDE http://www.rootkit.com/newsread.php?newsid=544

RegDellNull http://www.microsoft.com/technet/sysintern...RegDelNull.mspx

RegReveal http://www.geocities.jp/kiskzo/regreveal.html

RKDetect - Rootkit by anomaly detector http://securityvulns.ru/soft/rkdetect/

RKDetector http://www.rkdetector.com/

rootchk http://www.uploads.ejvindh.net/rootchk.exe

Rootkit Hook Analyzer http://www.resplendence.com/hookanalyzer/

RootkitRevealer http://www.microsoft.com/technet/sysintern...itRevealer.mspx

Rootkit Unhooker, Process Walker http://rkunhooker1.narod.ru/

SanityCheck http://www.resplendence.com/sanity

Safe'n'Sec Rootkit Detector http://www.safensoft.ru/security.phtml?c=17&id=1063

SafetyCheck http://yyuyao.googlepages.com/home

Seem http://3psilon.info/-Seem-System-Eyes-and-Ears.html

Sophos Anti-Rootkit http://www.sophos.com/products/free-tools/...ti-rootkit.html

SysProt AntiRootkit http://swatrant.blogspot.com/

Trend Micro RootkitBuster http://www.trendmicro.com/download/rbuster.asp

UnHackMe http://greatis.com/unhackme/faq.htm

VICE http://www.rootkit.com/project.php?id=20

Linux and other OS

chkrootkit http://www.chkrootkit.org/

OS X Rootkit Hunter http://mac.softpedia.com/get/Security/OS-X...it-Hunter.shtml

Rkscan http://www.hsc.fr/ressources/outils/rkscan/index.html.en

Rootkit Hunter http://www.rootkit.nl/projects/rootkit_hunter.html

Rootkit Profiler LX http://www.trapkit.de/research/rkprofiler/rkplx/rkplx.html

Rootkitty http://www.ubcd4win.com/forum/index.php?showtopic=2424

Unhide http://www.security-projects.com/?Unhide:Download

Zeppoo http://www.zeppoo.net/

Rootkit removal tools

Win32/Alman.C removal tool

http://global.ahnlab.com/global/file_remov...ame=v3alman.zip

Aries Sony Rootkit Remover

http://www.lavasoftusa.com/support/securit...kit_remover.php

Sony rootkit removal tool for Windows 2000/XP

http://www.norman.com/support/support_tools/69011/en

Gromozon related removal tools:

Automatic Gromozon Removal Tool http://411-spyware.com/remove-gromozon

Gromozon Remover Tool http://www.spywareremove.com/removeGromozon.html

Gromozon Rootkit Removal Tool http://thepiratebay.org/tor/3538707/Gromoz...it_Removal_Tool

Gromozon Rootkit Removal Tool http://www.prevx.com/gromozon.asp

Fixgrom http://pcalsicuro.phpsoft.it/FixGrom.exe

Haxdoor removal tools:

Haxfix http://forum.hijackthis.de/showthread.php?t=15448

Mebroot Removal Tool

http://www.symantec.com/content/en/us/glob.../FixMebroot.exe

http://download.softpedia.ro/dl/abdd485ef6.../FixMebroot.exe

Rustock (a,b,c) removal tools:

Greatis Rustock ( a,b,c ) Removal Tool http://greatis.com/security/Rustock(lzx32....emoval_tool.htm

Rustbfix http://www.uploads.ejvindh.net/rustbfix.exe

Win-Trojan/Rustock.Gen removal tool http://global.ahnlab.com/global/file_remov...rustock_gen.zip

Win-Trojan/Rustock removal tool http://global.ahnlab.com/global/file_remov...e=v3rustock.zip

Sinowal Cleaner

http://www.norman.com/support/support_tools/58733/en

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Hypersight Rootkit Detector (Hypersight RD) - программа для обнаружения вредоносной активности в режиме ядра ОС Windows NT.

screenshot_ie6.gif

Программа использует технологию аппаратной виртуализации Intel VT-x. Она работает в режиме гипервизора на процессорах Intel, поддерживающих эту технологию (в данный момент программа работает только на компьютерах с процессорами семейства Intel Core 2). При этом операционная система работает в виртуальной машине, а все критические события в ней контролируются ядром Hypersight RD. Действия, свойственные руткитам, перехватываются Hypersight RD после чего пользователь оповещается о них.

Поддерживаются: Windows 2000, Windows XP, Windows Server 2003.

----------------------------------------------------------------------------------

Руткитов у меня под ругой не было, но из подопытных программ спалились следующие все:

StarForce 4.70.10.1

Alcohol 52% 1.9.7.6221

Dr.Web Shield 4.44.1.03181

Spider 4.44.4.3190

При отключённой защите антируткита (только мониторинг) палился RootKit Unhooker 3.7.300.503, при включённой - BSOD-ился драйвер последнего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

У vba32, кстати, тоже есть антируткит. Очень удобная вещь, например то, что скрыто в системе пишется "hidden". Ну а пробить вирус ли это или нет дело не сложное. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Avast! Antirootkit

"Я поставлю ему оценку: 2 из максимальных 5 - уровень антируткита Sophos." --EP_X0FF

P.S. [+] АнтиРуткиты: Невидимая Война

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Спасибо Don't.Care.A.Fig за отличный список существующих антируткитов.

Предлагаю всем высказаться о личных предпочтениях, опыте и рекомендациях, какой антируткит эффективнее/удобнее и почему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
Спасибо Don't.Care.A.Fig за отличный список существующих антируткитов.

Не прошло и года :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
А где же заветная версия 4.1?

Её не дают в руки простым смертным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Avira RootKit Detection -это очень удобная вещь. у моего друга как мой друг сказал он стока вещей нащёл)) и кстати ссылку на сайт не правельный дали они на страницу бета тестирования дали ))))))) http://betatest.avira.com/pages/index.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Don't.Care.A.Fig

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

del

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

RootRepeal

Version 1.3.5-Added: Bypassing of the latest TDSS variants.-Added: RootRepeal now shows the version on the About page.-Fixed: Some general bug fixes.Version 1.3.4-Fixed: Fixed multiple compatibility problems with Windows Vista SP2 and Windows Server 2008 SP2.Version 1.3.3-Added: Bypassing of the newer TDSS variants.  Even if errors show on startup, RootRepeal should still run correctly.-Improved: Initialization should now be compatible with all versions of Windows up to Windows Vista SP2, and more configurations.-Improved: Reduced false positives in Stealth Code scan - check the options dialog for more detail.-Fixed: Bug in unhooking DbgPrint callbacks on Windows-Fixed: Initialization bug on Windows Vista SP2.-Fixed: Internal speed improvements.-Fixed: Signature verification should now work correctly.Version 1.3.2-Added: Kernel-mode callbacks viewer and deleter.-Added: Shadow SSDT scan (with unhooking support).-Improved: Many bug fixes in the NTFS filesystem parser.-Improved: Startup - should be more compatible with additional configurations-Improved: Resource handling.-Improved: RootRepeal whitelists some files in the Stealth Objects scan, to reduce false positives.  You can control this in the Options dialog.-Fixed: Memory leak when verifying driver signatures.-Fixed: Multiple bugs in startup and the drivers scan.Version 1.3.0-Added: Additional disk reading method.  Please read the FAQ, above, for more details.-Added: Experimental support for verifying the digital signatures of drivers in the drivers scan.-Added: Advanced options for file removal.  Please do NOT use these unless you know what they do!-Added: Tool to wipe/copy/delete any file.-Added: A tool to delete registry keys (and all subkeys/values) that have had the permissions or owner changed.  Note: This will not delete rootkit-protected registry keys.-Improved: Safe mode support.  RootRepeal now fully supports Safe mode.-Fixed: Major bugs in program initialization and files scan.Version 1.2.3-Added: Stealth Objects scan (scans for hidden handles, threads, modules, kernel code and IRP handlers)-Added: Hidden Services scan.-Improved: Initialization speed and compatibility.-Added: RootRepeal can now fix MBR modifications caused by the Mebroot trojan.-Improved: Files scan speed.-Improved: Scan speed in the Drivers and Processes scan.-Fixed: Display names in the SSDT scan.-Fixed: Intermittant bug in the files scan.-Fixed: Bugs in handling some FAT32 directories.-Added crashdump reporting.Version 1.1.2-Improved: Initialization speed.-Fixed: Bugs in handling certain types of directories on NTFS.-Fixed: "Could not find kernel file on disk" bug on initialization.-Fixed: Bugs in scanning for hidden ADSs on NTFS.Version 1.1.1 -Fixed: Bug in the files scan that causes a crash.Version 1.1.0-Added: SSDT scan page.-Improved: Process scanning on Windows Server 2003 and Windows Vista.-Improved: Process scan internals on all versions of Windows.-Improved: Speed of the files scan.-Improved: Windows Vista SP0 and SP1 support.-Fixed: Bugs in the process scan.-Fixed: Various small bugs, user-interface bugs.-Fixed: Bypassing certain types of malware.-Fixed: Minor bug while using "Wipe File" on a directory.Version 1.0.2-Added: Showing whether a driver's file is hidden on-disk.-Added: Saving settings to a file.-Improved: "Report" tab - generating a condensed report.-Fixed: Process scan on Windows 2003 Server SP1+-Fixed: BSoD when starting files scan.-Fixed: Crashes while scanning NTFS partitions.-Fixed: Previously terminated processes showing as "hidden" in the processes scan.-Fixed: Bypassing malware that attempts to prevent raw-disk scanning.-Fixed: User-interface bugs.

thumbjq2.jpg

Отредактировал dr_dizel

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Интересно, а разве антируткиты не входят в сами антивирусные пакеты, которые выпускают аваст, Нортон и т.д. В чем необходимость делать эти продукты отдельными? Или это для тех, кто юзает "чужой" антивирус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Интересно, а разве антируткиты не входят в сами антивирусные пакеты, которые выпускают аваст, Нортон и т.д. В чем необходимость делать эти продукты отдельными? Или это для тех, кто юзает "чужой" антивирус?

1. у ВСЕХ АВ крайне слабые и бессистемные антируткит-компоненты. Есть несколько исключений уровня "лучшее из худшего", типа 2-3, но и они не дотягивают до актуальности современным угрозам.

Причем по большому счету, это не баг, а фича (точнее, прямое следствие самой бизнес-модели АВ-вендора).

- для комплексного продукта качественная борьба с миноритарным врагом не является первоприоритетной

- крупный софт более инертен в разработке; к нему выше требования в смысле стабильности, что усложняет цикл тестирования - как следствие, в плане противостояния cutting edge технологиям он заметно отстает от реальности

2. специализированная утилита может и должна быть профессиональной - в отличие от компонента АВ пакета для "простого пользователя", в котором глубокий функционал, требующий специальных знаний, не уместен.

это основные пункты. остальные проявятся, если задуматься, в чем суть отличий между "АВ вендором" и "производителем некоммерческой утилиты". разные мотиваторы, разные целевые аудитории, разные приоритеты и ресурсы..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Угу, и ещё разное отношение к своим пользователям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cander
Rootkit Unhooker

Интересно, кто сейчас этот проект развивает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Интересно, кто сейчас этот проект развивает?

О программе посмотреть теперь не модно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cander
Цитата(cander @ 20.08.2008, 14:10)

Интересно, кто сейчас этот проект развивает?

О программе посмотреть теперь не модно?

Действительно О программе написаны теже. Прикольно там после благодарностей написано

Теперь вы часть ботнета Rustol.Z

Улыбнуло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • GeorgeAbent
      Здравствуйте! Класный у вас сайт!
      Что скажете по поводу этих новостей?:
      http://itcyber.ru/14669-sniper-elite-4-poluchaet-novyy-igrovoy-treyler.html
      "Что круче?": Более дешёвый Teclast M8 или Xiaomi M8 "Что круче?": Более дешёвый Teclast M8 или Xiaomi M8
      информационные образовательные технологии http://itcyber.ru/information-technology-it/
      криптовалюта прогноз последние новости http://itcyber.ru/kriptovaluta/
      Ещё много интересного нашел тут: новости IT России и мира http://itcyber.ru/
    • DonaldSaina
      Приветствую всех! Класный у вас сайт!
      Нашёл познавательное в сети: ГРУ Украины продолжает следить за деятельностью русских в Сирии http://planetnew.ru/news/15613-gru-ukrainy-prodolzhaet-sledit-za-deyatelnostyu-russkih-v-sirii.html
      http://planetnew.ru/information-technology-it/34060-eks-glavu-samsung-mogut-posadit-na-12-let-v-yuzhnoy-koree.html
      Ещё много всего по теме нашел тут: 17 11 2021 г новороссия россия признала днр и лнр
      свежие новости видео http://planetnew.ru/video/
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
×