deviss

Антируткит в продуктах Симантек

В этой теме 8 сообщений

У меня вопрос насчет антируткита, имеющегося в продуктах симантек, в частности, NIS 2010. На сайте заявлена защита от руткитов, что, естественно, подразумевает наличие антируткита. Однако, насколько я понимаю, отдельно обозначенного антируткита в том же НИС не представлено (не в смысле, что антируткита нет, а в смысле, что его не видно нигде в настройках программы или в процессах, вероятно он как-то "зашит" в основной процесс симантека). И все же, есть какие-то подробности работы этого антируткита? по какому он расписанию работает - вместе с быстрым/полным сканом? Подразумевается ли его участие в т.н. "ранней загрузке" или что-то еще? Конечно, я не обладаю специальными познаниями в области антивирусной защиты, но мне представляется, что работа руткитов несколько отлична от работы "простых" вирусов, и, соответственно, и методика борьбы с ними также отличается. Достаточно ли здесь лишь сигнатурного анализа и/или анализа поведения (на мой неискушенный взгляд, отлично реализованного в Сонаре)?

P.S. Решил открыть новую тему, поскольку поиск по форуму в ветке Симантека не дал искомого результата (а может не так искал и этот или подобный вопрос уже обсуждался здесь?).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...отдельно обозначенного антируткита в том же НИС не представлено (не в смысле, что антируткита нет, а в смысле, что его не видно нигде в настройках программы...).

Вы невнимательно изучили раздел настроек:

--->

2df8d61a3541t.jpg

И все же, есть какие-то подробности работы этого антируткита? по какому он расписанию работает - вместе с быстрым/полным сканом? Подразумевается ли его участие в т.н. "ранней загрузке" или что-то еще?

Модуль, отвечающий за противодействие Rootkits, задействуется во всех упомянутых Вами случаях -

и при "Quick Scan", и при "Full System Scan", и при активации функции "Early-Load".

Помимо этого, данный модуль находится в непосредственном взаимодействии с модулем SONAR 2,

а также рядом других модулей, которые работают в виде единой взаимосвязанной системы.

Детальный алгоритм работы данной системы, либо ее отдельных модулей по вполне понятным причинам

(из соображений безопасности, коммерческой тайны, и т.д.) не подлежит огласке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы невнимательно изучили раздел настроек:

какой клёвый интерфейс, а есть где нибудь скрины и других окон антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v, см. здесь

и здесь

Однако, насколько я понимаю, отдельно обозначенного антируткита в том же НИС не представлено

Отдельно он не представлен, так как он полностью интегрирован в сканер Реального времени, сделать это бесшовно позволило то, что Руткит технология Symantec базируется на уникальной технологии Veritas (ранее купленного Symantec) - VxMS (Veritas Mapping Service), ранее использовавшейся только в продуктах для резервного копирования и позволяющей получать доступ к диску на низком уровне:

http://en.wikipedia.org/wiki/Rootkit

Veritas VxMS (Veritas Mapping Service) позволяет антивирусным сканерам обходить Windows File System API, которые управляются операционной системой и, следовательно, уязвимы для манипуляций со стороны руткита. VxMS напрямую обращается на низком уровне к файлам на Windows NT File System. В сущности, VxMS может сопоставлять данные, сравнивать их со структурой файлов Windows, и изолировать какие-либо обнаруженные несоответствия. Технология VxMS впервые появилась в продуктах Norton компании Symantec в 2007 году и сейчас доступна также в продуктах Symantec Endpoint Protection 11.x
  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Внесу и свои 10 копеек иллюстрацией параметров, где сокрыт антируткит, т.к. был представлен скриншот только англоязычного интерфейса. Для наглядности - теперь и по-русски.

fdb67863049ft.jpg 10371a4ac60at.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Внесу и свои 10 копеек иллюстрацией параметров, где сокрыт антируткит, т.к. был представлен скриншот только англоязычного интерфейса. Для наглядности - теперь и по-русски.

fdb67863049ft.jpg 10371a4ac60at.jpg

Ай-яй-яй, позор на мою голову! :unsure: Слона-то я и не приметил. Спасибо, что ткнули носом, хотя это только включение самой функции, а вот каких-либо дополнительных настроек и возможности оценить работу данного инструмента т.с. в режиме реального времени (где он там копается и чего видит :-)) нет, но в целом ответ уважаемого Кирилла Керценбаума меня устроил. Спасибо всем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слона-то я и не приметил. Спасибо, что ткнули носом, хотя это только включение самой функции, а вот каких-либо дополнительных настроек и возможности оценить работу данного инструмента...

deviss

Ну что Вы, я и не думал даже про это. И соответствующего обращения к Вам - вставить ник - в посте не было. Эту ведь тему придут и другие люди читать, зададутся аналогичным вопросом, посмотрят, прочитают, найдут, оценят. Только и всего.

А подробно раскрыть работу технологии – это совсем другое. Даже, если и будет когда-то опубликовано её описание, то оно же всё равно будет подано в несколько урезанном виде. Всех секретов работы разработчикам раскрывать неразумно, ведь кое-кто может сотворить для них "некое противодействие".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее