Перейти к содержанию
deviss

Антируткит в продуктах Симантек

Recommended Posts

deviss

У меня вопрос насчет антируткита, имеющегося в продуктах симантек, в частности, NIS 2010. На сайте заявлена защита от руткитов, что, естественно, подразумевает наличие антируткита. Однако, насколько я понимаю, отдельно обозначенного антируткита в том же НИС не представлено (не в смысле, что антируткита нет, а в смысле, что его не видно нигде в настройках программы или в процессах, вероятно он как-то "зашит" в основной процесс симантека). И все же, есть какие-то подробности работы этого антируткита? по какому он расписанию работает - вместе с быстрым/полным сканом? Подразумевается ли его участие в т.н. "ранней загрузке" или что-то еще? Конечно, я не обладаю специальными познаниями в области антивирусной защиты, но мне представляется, что работа руткитов несколько отлична от работы "простых" вирусов, и, соответственно, и методика борьбы с ними также отличается. Достаточно ли здесь лишь сигнатурного анализа и/или анализа поведения (на мой неискушенный взгляд, отлично реализованного в Сонаре)?

P.S. Решил открыть новую тему, поскольку поиск по форуму в ветке Симантека не дал искомого результата (а может не так искал и этот или подобный вопрос уже обсуждался здесь?).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
...отдельно обозначенного антируткита в том же НИС не представлено (не в смысле, что антируткита нет, а в смысле, что его не видно нигде в настройках программы...).

Вы невнимательно изучили раздел настроек:

--->

2df8d61a3541t.jpg

И все же, есть какие-то подробности работы этого антируткита? по какому он расписанию работает - вместе с быстрым/полным сканом? Подразумевается ли его участие в т.н. "ранней загрузке" или что-то еще?

Модуль, отвечающий за противодействие Rootkits, задействуется во всех упомянутых Вами случаях -

и при "Quick Scan", и при "Full System Scan", и при активации функции "Early-Load".

Помимо этого, данный модуль находится в непосредственном взаимодействии с модулем SONAR 2,

а также рядом других модулей, которые работают в виде единой взаимосвязанной системы.

Детальный алгоритм работы данной системы, либо ее отдельных модулей по вполне понятным причинам

(из соображений безопасности, коммерческой тайны, и т.д.) не подлежит огласке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Вы невнимательно изучили раздел настроек:

какой клёвый интерфейс, а есть где нибудь скрины и других окон антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
kvit.v, см. здесь

и здесь

Однако, насколько я понимаю, отдельно обозначенного антируткита в том же НИС не представлено

Отдельно он не представлен, так как он полностью интегрирован в сканер Реального времени, сделать это бесшовно позволило то, что Руткит технология Symantec базируется на уникальной технологии Veritas (ранее купленного Symantec) - VxMS (Veritas Mapping Service), ранее использовавшейся только в продуктах для резервного копирования и позволяющей получать доступ к диску на низком уровне:

http://en.wikipedia.org/wiki/Rootkit

Veritas VxMS (Veritas Mapping Service) позволяет антивирусным сканерам обходить Windows File System API, которые управляются операционной системой и, следовательно, уязвимы для манипуляций со стороны руткита. VxMS напрямую обращается на низком уровне к файлам на Windows NT File System. В сущности, VxMS может сопоставлять данные, сравнивать их со структурой файлов Windows, и изолировать какие-либо обнаруженные несоответствия. Технология VxMS впервые появилась в продуктах Norton компании Symantec в 2007 году и сейчас доступна также в продуктах Symantec Endpoint Protection 11.x
  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Внесу и свои 10 копеек иллюстрацией параметров, где сокрыт антируткит, т.к. был представлен скриншот только англоязычного интерфейса. Для наглядности - теперь и по-русски.

fdb67863049ft.jpg 10371a4ac60at.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Внесу и свои 10 копеек иллюстрацией параметров, где сокрыт антируткит, т.к. был представлен скриншот только англоязычного интерфейса. Для наглядности - теперь и по-русски.

fdb67863049ft.jpg 10371a4ac60at.jpg

Ай-яй-яй, позор на мою голову! :unsure: Слона-то я и не приметил. Спасибо, что ткнули носом, хотя это только включение самой функции, а вот каких-либо дополнительных настроек и возможности оценить работу данного инструмента т.с. в режиме реального времени (где он там копается и чего видит :-)) нет, но в целом ответ уважаемого Кирилла Керценбаума меня устроил. Спасибо всем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Слона-то я и не приметил. Спасибо, что ткнули носом, хотя это только включение самой функции, а вот каких-либо дополнительных настроек и возможности оценить работу данного инструмента...

deviss

Ну что Вы, я и не думал даже про это. И соответствующего обращения к Вам - вставить ник - в посте не было. Эту ведь тему придут и другие люди читать, зададутся аналогичным вопросом, посмотрят, прочитают, найдут, оценят. Только и всего.

А подробно раскрыть работу технологии – это совсем другое. Даже, если и будет когда-то опубликовано её описание, то оно же всё равно будет подано в несколько урезанном виде. Всех секретов работы разработчикам раскрывать неразумно, ведь кое-кто может сотворить для них "некое противодействие".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      1) Тема с WMI http://www.tehnari.ru/f35/t261417/ здесь для ряда объектов: Полное имя                  A3D.DLL
      Имя файла                   A3D.DLL
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{442D12A1-2641-11d2-90FB-006008A1F441}\InprocServer32\
                                  
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{d8f1eee0-f634-11cf-8700-00a0245d918b}\InprocServer32\
      ------------------------------------ Полное имя                  A3DAPI.DLL
      Имя файла                   A3DAPI.DLL
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}\InprocServer32\
      -------------------------------- Как-то маловато информации Или нет ? 2) Хотелось бы, чтобы в новых версиях uVS присутствовали данные по: alt+d Чтобы не было такого: http://forum.esetnod32.ru/messages/forum6/topic15013/message104717/#message104717  
    • Dpensermeda
      ceap viagra
      viagra for men for sale
      viagra online usa report
      viagra for sale for men
      - cialis half life
      cialis pills side effects positive 1
    • Bladery
      я иногда делаю на заказ ремонт техники, так как я разбираюсь в этом. а вот ваши советы на счет клубов, типа эльдорадо на деньги https://casinout.net/eldorado-na-dengy , это полная ерунда. Нужно думать о реальных возможностях, а не воздушных замках. Поймите же это.
    • Bladery
      я чаще всего использую гугл хром. в нем у меня нормально работают все мои любимые ресурсы. я часто использую брокерские платформы и мне приходится работать с десятками онлайн графиков. Вот с хромом проблем совсем не было, а другие браузеры иногда не отображают те графики, что работают у меня в хром. 
    • xxxzionxxx
      Качественные автомобильные чехлы из экокожи. Заводские лекала. Респектабельный внешний вид. http://autopelt.ru/ 
      Также вступайте в нашу группу где наш менеджер ответит на все интересующие Вас вопросы. https://vk.com/autopelt 
×