deviss

Антируткит в продуктах Симантек

В этой теме 8 сообщений

У меня вопрос насчет антируткита, имеющегося в продуктах симантек, в частности, NIS 2010. На сайте заявлена защита от руткитов, что, естественно, подразумевает наличие антируткита. Однако, насколько я понимаю, отдельно обозначенного антируткита в том же НИС не представлено (не в смысле, что антируткита нет, а в смысле, что его не видно нигде в настройках программы или в процессах, вероятно он как-то "зашит" в основной процесс симантека). И все же, есть какие-то подробности работы этого антируткита? по какому он расписанию работает - вместе с быстрым/полным сканом? Подразумевается ли его участие в т.н. "ранней загрузке" или что-то еще? Конечно, я не обладаю специальными познаниями в области антивирусной защиты, но мне представляется, что работа руткитов несколько отлична от работы "простых" вирусов, и, соответственно, и методика борьбы с ними также отличается. Достаточно ли здесь лишь сигнатурного анализа и/или анализа поведения (на мой неискушенный взгляд, отлично реализованного в Сонаре)?

P.S. Решил открыть новую тему, поскольку поиск по форуму в ветке Симантека не дал искомого результата (а может не так искал и этот или подобный вопрос уже обсуждался здесь?).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...отдельно обозначенного антируткита в том же НИС не представлено (не в смысле, что антируткита нет, а в смысле, что его не видно нигде в настройках программы...).

Вы невнимательно изучили раздел настроек:

--->

2df8d61a3541t.jpg

И все же, есть какие-то подробности работы этого антируткита? по какому он расписанию работает - вместе с быстрым/полным сканом? Подразумевается ли его участие в т.н. "ранней загрузке" или что-то еще?

Модуль, отвечающий за противодействие Rootkits, задействуется во всех упомянутых Вами случаях -

и при "Quick Scan", и при "Full System Scan", и при активации функции "Early-Load".

Помимо этого, данный модуль находится в непосредственном взаимодействии с модулем SONAR 2,

а также рядом других модулей, которые работают в виде единой взаимосвязанной системы.

Детальный алгоритм работы данной системы, либо ее отдельных модулей по вполне понятным причинам

(из соображений безопасности, коммерческой тайны, и т.д.) не подлежит огласке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы невнимательно изучили раздел настроек:

какой клёвый интерфейс, а есть где нибудь скрины и других окон антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v, см. здесь

и здесь

Однако, насколько я понимаю, отдельно обозначенного антируткита в том же НИС не представлено

Отдельно он не представлен, так как он полностью интегрирован в сканер Реального времени, сделать это бесшовно позволило то, что Руткит технология Symantec базируется на уникальной технологии Veritas (ранее купленного Symantec) - VxMS (Veritas Mapping Service), ранее использовавшейся только в продуктах для резервного копирования и позволяющей получать доступ к диску на низком уровне:

http://en.wikipedia.org/wiki/Rootkit

Veritas VxMS (Veritas Mapping Service) позволяет антивирусным сканерам обходить Windows File System API, которые управляются операционной системой и, следовательно, уязвимы для манипуляций со стороны руткита. VxMS напрямую обращается на низком уровне к файлам на Windows NT File System. В сущности, VxMS может сопоставлять данные, сравнивать их со структурой файлов Windows, и изолировать какие-либо обнаруженные несоответствия. Технология VxMS впервые появилась в продуктах Norton компании Symantec в 2007 году и сейчас доступна также в продуктах Symantec Endpoint Protection 11.x
  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Внесу и свои 10 копеек иллюстрацией параметров, где сокрыт антируткит, т.к. был представлен скриншот только англоязычного интерфейса. Для наглядности - теперь и по-русски.

fdb67863049ft.jpg 10371a4ac60at.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Внесу и свои 10 копеек иллюстрацией параметров, где сокрыт антируткит, т.к. был представлен скриншот только англоязычного интерфейса. Для наглядности - теперь и по-русски.

fdb67863049ft.jpg 10371a4ac60at.jpg

Ай-яй-яй, позор на мою голову! :unsure: Слона-то я и не приметил. Спасибо, что ткнули носом, хотя это только включение самой функции, а вот каких-либо дополнительных настроек и возможности оценить работу данного инструмента т.с. в режиме реального времени (где он там копается и чего видит :-)) нет, но в целом ответ уважаемого Кирилла Керценбаума меня устроил. Спасибо всем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слона-то я и не приметил. Спасибо, что ткнули носом, хотя это только включение самой функции, а вот каких-либо дополнительных настроек и возможности оценить работу данного инструмента...

deviss

Ну что Вы, я и не думал даже про это. И соответствующего обращения к Вам - вставить ник - в посте не было. Эту ведь тему придут и другие люди читать, зададутся аналогичным вопросом, посмотрят, прочитают, найдут, оценят. Только и всего.

А подробно раскрыть работу технологии – это совсем другое. Даже, если и будет когда-то опубликовано её описание, то оно же всё равно будет подано в несколько урезанном виде. Всех секретов работы разработчикам раскрывать неразумно, ведь кое-кто может сотворить для них "некое противодействие".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS