Антируткиты (Antirootkits)

[Ego1st 95]

хм хотя может и она, только если мне память не изменяет выкладывали на одном из форумов месяца 2 назад более новую версию, она у меня была на помершем харде(а я его все времонт донести немогу)=(

[dr_dizel 385]

Process Hacker - неплохая замена Process Explorer-у с одним недостатком: требует минимум .Net 2.

[Андрей-001 1099]

  dr_dizel сказал:

с одним недостатком: требует минимум .Net 2.

Ну с этим ещё можно как-то смериться.

Современный MS Office без .NET'а уже наполную не поставишь.

Не говоря уже про полнофункциональный дистрибутив от ATI.

[Deja_Vu 366]

  dr_dizel сказал:

Process Hacker - неплохая замена Process Explorer-у с одним недостатком: требует минимум .Net 2.

Класс ... недостаток - это не недостаток... это приемущество:

- можно использовать части программы как сборки

- занимает меньше места на дисковом пространстве

А вот недостаток в этой программе, что она лишь для x86 :-(

[p2u 824]

  dr_dizel сказал:

с одним недостатком: требует минимум .Net 2.

Офф-топ:

Видели, что можно даже очень успешно руткиты создать на NЕТ.Frame? Причём с детектом будет непросто; анализ кода ничего не даст - эффект будет в модифицированном Framework'e. Показали на BlackHat Europe 2009:

http://www.applicationsecurity.co.il/english/NETFrameworkRootkits/tabid/161/Default.aspx

Конец офф-топа.

Paul

[todnei 0]

SysProt AntiRootkit v1.0.1.0 http://sites.google.com/site/sysprotantirootkit/

[dr_dizel 385]

Обновился RootRepeal.

[dr_dizel 385]

kX-Ray v1.0 Build 68 (32-bit XP-Only Build)

[Fixxxer® 65]

  dr_dizel сказал:

Hypersight Rootkit Detector (Hypersight RD) - программа для обнаружения вредоносной активности в режиме ядра ОС Windows NT.

Программа использует технологию аппаратной виртуализации Intel VT-x. Она работает в режиме гипервизора на процессорах Intel, поддерживающих эту технологию (в данный момент программа работает только на компьютерах с процессорами семейства Intel Core 2). При этом операционная система работает в виртуальной машине, а все критические события в ней контролируются ядром Hypersight RD. Действия, свойственные руткитам, перехватываются Hypersight RD после чего пользователь оповещается о них.

Есть хорошая статья об этом, где такой подход разбивается в пух и прах! Ну да думаю её уже все видели

Кстати, принимая во внимание, что технологию GMER переняли в Avast - значит ли это, что антируткит от Avast - суть автоматизированный Gmer с сигнатурной базой?

И ещё, актуальную оценку эффективности антируткитов хотя бы на сегодняшний год никто не находил? Потому как описания и похвальбы - это одно, а вот реальность - другое...

[Ego1st 95]

  Цитата

Кстати, принимая во внимание, что технологию GMER переняли в Avast - значит ли это, что антируткит от Avast - суть автоматизированный Gmer с сигнатурной базой?

угу вкрутили в движок, потому в последнем тесте на активное заражение который тут проводился, они и поднялись=)

  Цитата

И ещё, актуальную оценку эффективности антируткитов хотя бы на сегодняшний год никто не находил? Потому как описания и похвальбы - это одно, а вот реальность - другое...

ну если бы они были не эффективных, их в таком количестве и не дела ли бы=)

[Fixxxer® 65]

  Ego1st сказал:

ну если бы они были не эффективных, их в таком количестве и не дела ли бы=)

Делать можно многое. Например, "оптимизаторы памяти", "ускорители интернета" и прочий хлам. Особенно, если за него платят. Я говорю об оценке эффективности. И желательно актуальной и не предвзятой, как было у EP_X0FF.

[Ego1st 95]

  Цитата

Делать можно многое. Например, "оптимизаторы памяти", "ускорители интернета" и прочий хлам. Особенно, если за него платят. Я говорю об оценке эффективности. И желательно актуальной и не предвзятой, как было у EP_X0FF.

ну если найдете, человека который займется анализом то будет даже хорошо, почитаю с радостью=)

мне банально лень заниматься такой ерундой, да и многим думается тоже=)

[dr_dizel 385]

XueTr

[Fixxxer® 65]

  dr_dizel сказал:

XueTr

Очередной китайский клон RkU? Ну и каков он? У меня лично вылетает с БСОДом.

[dr_dizel 385]

  Fixxxer® сказал:

Очередной китайский клон RkU? Ну и каков он? У меня лично вылетает с БСОДом.

Если сможете отличить хуки самого антируткита от вредоносных, то сойдёт в коллекцию на диск.

[_start: 35]

А что из этого всего многообразия в полной мере работает на Windows (Vista) x86-64?

[dr_dizel 385]

  _start: сказал:

А что ... работает на Windows (Vista) x86-64?

Там работает PatchGuard.

[Qu@dr0 0]

dr_dizel, ага, смешно. Чепуха этот PatchGuard. Взлом PatchGuard.

Offtop: чем больше я всё это читаю, тем больше хочется поставить Linux...

[Илья Рабинович 521]

  dr_dizel сказал:

Там работает PatchGuard

Который совершенно не мешает написать руткит на легитимном Kernel API + DKOM. Так что реально защищает х64 от руткитов только обязательная цифровая подпись драйверов.

[dr_dizel 385]

  Qu@dr0 сказал:

Чепуха этот PatchGuard

Так вы плохо прочитали статью. Ну взломают ещё раз PatchGuard, а потом мелкомягкие выпустят обновочку. Они защищают свои инвестиции... до очередного антимонопольного процесса.

  Илья Рабинович сказал:

Который совершенно не мешает написать руткит на легитимном Kernel API + DKOM. Так что реально защищает х64 от руткитов только обязательная цифровая подпись драйверов.

Ну средства защиты используют те же методы, что и руткиты + они могут подписывать свои драйвера, так почему же аверы касательно x64 больше работают орально?

[Black_Z 160]

Обновилась версия GMER теперь на сайте доступна последняя версия 1.0.15.15011

[Black_Z 160]

И снова обновление GMER, теперь доступна версия 1.0.15.15077

[Black_Z 160]

Очередное обновление GMER

Доступная для скачивания версия GMER 1.0.15.15086

[Андрей-001 1099]

  Black_Z сказал:

Очередное обновление GMER. Доступная для скачивания версия...

Интересно, что это они так усердно стали обновлять программу, то было долгое солнцестояние, а тут прям спринт какой-то.

[Black_Z 160]

  Андрей-001 сказал:

Интересно, что это они так усердно стали обновлять программу, то было долгое солнцестояние, а тут прям спринт какой-то.

Трудно что-то ответить, на официальном сайте молчат, могу предположить, что это может быть связано с подготовкой к выходу Avast! 5...

Но это лишь мои догадки...