eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Wargrinder (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› AntiRootkits
<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
Посл.ответ Сообщение

Ранг: 191.8 (ветеран)
Статус: Участник

Создано: 10 октября 2006 02:52 New!
Цитата · Личное сообщение · #1

Встретил набор - наверно все известны, но мож кому надоть

avaxhome.ru/software/1-1-i.html
rapidshare.de/files/25948200/AntiRootkits_AIO.rar 42655 KB

avaxhome.ru/software/antirootkit_aio.html
rapidshare.de/files/29252888/AntiRootkits_AIO.rar 42655 KB

Ранг: 34.1 (посетитель)
Статус: Участник

Создано: 19 августа 2007 08:25 New!
Цитата · Личное сообщение · #2

Gideon Vi
Собственно я не и говорил, что антивирусы обеспечивают нормальную защиту, а доказывать обратное вашим словам не имеет смысла т.к. и так всё понятно. Я говорил, лишь о возможном привлечении денежных средств и специалистов, а как следиствие развития рынка подобных услуг и появление новых антируткитов.

pushick
Я читаю русскоязычные новости и ориентируюсь только по обстановке на просторах СНГ, в итоге у меня сложилось мнение, что руткиты не достаточно распространены для того, что бы бить в набат.
P.S. не даром же я всё очеркнул и добавил "имхо".

Ранг: 31.8 (посетитель)
Статус: Участник

Создано: 19 августа 2007 08:37 New!
Цитата · Личное сообщение · #3

pushick пишет:
И антивирусники уже давно суетятся, встраивая свои убогие антируткиты в свои не менее убогие антивирусы

А убогие они потому, что на это есть обьективные причины. Что такое антивирус? Это продукт для массового пользователя. А значит антивирус должен обладать в первую очередь следующими характеристиками:
1 - Стабильность
2 - Гарантия отсутствия ложных срабатываний (должен находиться ТОЛЬКО вредоносный код, а не обычные программы код которых имеет схожий принцип действия)
3 - Работа в полностью автоматическом режиме без участия пользователя (нашел - удалил сам).

Ну а что можно сказать о относительно хороших антируткитах (RKU, gmer, rktrap)? А сказать можно только то, что они ни одному из вышеназваных критериев не удовлетворяют.
Стабильность пока что не на высоте даже у rku (неоднократно замечены бсоды на сканировании code hooks). Никакой гарантии от ложных срабатываний нет и не будет, т.к. эти антируткиты просто показывают хуки, не делая различия между вредоносным кодом и кодом похожим на него (вроде антивирусов и различных тулз). К тому же зачастую имеется и полнейший ложняк (показ хуков которых нет), этим болеет в основном gmer, хотя замечен такой случай и в rku.
Ну а насчет третьего пункта требований - он пока что самый нереальный из всех. Автоматическое удаление руткитов без участия пользователя (причем гарантирующее последующую стабильную работу системы и отсутствие ложных срабатываний) это пока что полный бред... Ну а обычному пользователю в выводимых rku данных никтогда не разобраться.
Ну и наконец, вышеназваные антируткиты имеют кучу проблем с совместимостью (к примеру попробуйте заюзать последнюю версию rku на машине с Drive crypt plus pack).

Ранг: 117.1 (ветеран)
Статус: Участник

Создано: 19 августа 2007 08:53 · Поправил: pushick New!
Цитата · Личное сообщение · #4

Ни один антивирус не отвечает этим требованиям.

Стабильностью не отличается ни один антируткит. С Mcafee RootkitDetective, AVG Antirootkit были получены самые разнообразные бсоды. Сами антивирусы, в частности касперский, не отличаются стабильностью, а его установка на комп приводит к возникновению кучи потенциальных бэкдоров для всевозможных эксплоитов.

Гарантия отсутствия ложных срабатываний недосягаема для антивирусов в той же степени, что и для антируткитов. Достаточно поэкспериментировать с упаковщиками и поотсылать файлы на вирустотал.
АВЗ имеет базу "чистых хукеров" и что с того? Ни у нас ни у аффтара гмера нет времени и желая создавать и постоянно обновлять подобную бд.

Работа в полностью автоматическом режиме тоже миф. По умолчанию большинство антивирусов сконфигурированы на то, чтобы спрашивать у пользователя действие. Да и ложными срабатываниями и просто багами антивирус как автоматический шредер файлов не очень то кому и нужен. Вечно глючащие и тормозящие систему мониторы. К тому же автоматически удалить что-либо уже активное без последствий не всегда удается.

Ни один антивирус не удовлетворяет этим требованиям. Они нереальны и недостяжимы.

Антируткиты никогда не являлись и не будут продуктом массового использования, соответственно их нельзя советовать всем и каждому как средство лечения и диагностики. Для интерпретирования их логов уже требуется определенная подготовка. Но как иначе, если не сообщать пользователю все расхождения, какой толк тогда от такого антируткита?

Проблемы с совместимостью, а от никуда не деться, потому что эта программа не "Блокнот". Соответственно, она всегда будет с чем-нибудь конфликтовать. Впрочем тоже самое применимо и к ав. Уж без этого никак.

Ранг: 31.8 (посетитель)
Статус: Участник

Создано: 19 августа 2007 09:19 New!
Цитата · Личное сообщение · #5

pushick пишет:
Стабильностью не отличается ни один антируткит. С Mcafee RootkitDetective, AVG Antirootkit были получены самые разнообразные бсоды. Сами антивирусы, в частности касперский, не отличаются стабильностью, а его установка на комп приводит к возникновению кучи потенциальных бэкдоров для всевозможных эксплоитов.

Ну я не говорил что антивирусы отличаются стабильностью, я говорил что они ДОЛЖНЫ ее иметь. Ну а кривые руки товариша каспермского давно всем известны.

pushick пишет:
Но как иначе, если не сообщать пользователю все расхождения, какой толк тогда от такого антируткита?

Ну в этом то и причина того, что включать их в состав антивируса нецелесообразно. Ибо потом саппорт заебется отвечать на звонки типа "у меня найден хук ZwWriteVirtualMemory в filtnt.sys, это вирус?".

pushick пишет:
Проблемы с совместимостью, а от никуда не деться, потому что эта программа не "Блокнот". Соответственно, она всегда будет с чем-нибудь конфликтовать. Впрочем тоже самое применимо и к ав. Уж без этого никак.

Ну а с этим никак не соглашусь. Совместимости надо добиваться, и рассматривать каждый случай несовместимости отдельно. Ну а сказать "мы не будем специально вводить совместимости с различным софтом..." это откровенное забивание на качество продукта.

Ранг: 162.2 (ветеран)
Статус: Участник

Создано: 19 августа 2007 10:34 New!
Цитата · Личное сообщение · #6

Одумайтесь, товарищи, у ав контор цель только денег срубить(и это правильно, имхо), и их мало волнует, что кто-то там их обходит. Остальное их не касается. А галочка о том что у них есть антируткит просто необходима для счастья пользователей.


Ранг: 274.9 (наставник)
Статус: Участник
Advisor

Создано: 19 августа 2007 11:23 New!
Цитата · Личное сообщение · #7

asd пишет:
у ав контор цель только денег срубить

У кого-то другие посылы?

Ранг: 117.1 (ветеран)
Статус: Участник

Создано: 19 августа 2007 12:18 New!
Цитата · Личное сообщение · #8

Sly Ass пишет:
Ну а с этим никак не соглашусь. Совместимости надо добиваться, и рассматривать каждый случай несовместимости отдельно. Ну а сказать "мы не будем специально вводить совместимости с различным софтом..." это откровенное забивание на качество продукта.


В общем правильно, но к частному не применимо, потому как отдельные случаи несовместимости могут возникать отнюдь не по причине _нашей_ программы. Добавить совместимость со всем просто невозможно. Например, drive crypt pack отсутствует не только у нас, но и у всех, у кого мы можем провести тест. Если добавление совместимости с каким-нибудь не слишком распространенным продуктом требует изменений ухудшающих в той или иной мере работоспособность, тогда нет, спасибо, это глупо подстраиваться под всякую хуйню. Но в общем никто никогда и не собирался полностью забивать на совместимость, если рассматривать случай с SSM, так там была наша бага, а не несовместимость, на месте SSM мог быть тот же Хакдор

Антивирусные антируткиты были созданы как обкатка технологий перед их внедрением в главный продукт. Не больше, не меньше. С точки зрения применения они практически бесполезны. Просто очередной пиар ход и галочка в whats new, все это чтобы срубить побольше бабла на пользователях.

Ранг: 31.8 (посетитель)
Статус: Участник

Создано: 19 августа 2007 13:47 New!
Цитата · Личное сообщение · #9

pushick пишет:
Например, drive crypt pack отсутствует не только у нас, но и у всех, у кого мы можем провести тест.

Проблема там состоит в том, что он не может прочитать файлы с системного напрямую (т.к. читает ниже фильтра drive crypt и получает зашифрованые данные), и выдает ошибку при запуске. К слову, прошлая версия запускается нормально. Решение тут простое - при невозможности raw чтения надо переключаться на обычное.

Ранг: 117.1 (ветеран)
Статус: Участник

Создано: 19 августа 2007 16:34 New!
Цитата · Личное сообщение · #10

Sly Ass пишет:
К слову, прошлая версия запускается нормально.


Если это 3.20 то понятно почему, если более старшие версии то как-то странно.

Что касается drive crypt то мы добавим команду в консоль, чтобы можно было переключить с disk.sys на обычный режим через api. Спасибо за тест.

Ранг: 163.7 (ветеран)
Статус: Участник

Создано: 19 августа 2007 16:38 New!
Цитата · Личное сообщение · #11

Shad0vv пишет:
если есть средства\кваликация для создания руткитов, то должны быть и для создания антируткитов.

Для написания руткита может хватить квалификации "пользователь гугла". Типичная малвара имеет один (реже несколько) векторов атаки, что сильно упрощает задачу - достаточно найти маленькую дырочку. Защита же требуется от множества атак, учесть их все сложно (до сих пор практика показывает, что не реально); добавление новых фич может потребовать не просто написать пару функций, а пересмотра архитектуры. А что касается средств... перефразируя одного известного персонажа: "если вы такие богатые, то где же "3е упаковщики"? ;)

Ранг: 163.7 (ветеран)
Статус: Участник

Создано: 19 августа 2007 16:42 · Поправил: S_T_A_S_ New!
Цитата · Личное сообщение · #12

[дубль]

Ранг: 191.8 (ветеран)
Статус: Участник

Создано: 20 сентября 2007 17:56 New!
Цитата · Личное сообщение · #13

Встретил. Может кто уже смотрел?

www.proactive-hips.com/
www.proactive-hips.com/history.php
proactive-hips.com/demonstration/
www.proactive-hips.com/diffedition.php

ProSecurity Version 1.30 Trial Time: 30 Days
www.proactive-hips.com/download/pssetup.exe
ProSecurity Version 1.30 Free Edition
www.proactive-hips.com/download/pssetup_free.exe

ProSecurity Version 1.40 Public Beta 2
What's new? [July 30, 2007]
1. [NEW] Windows Vista x86 is supported except the network protection function.
2. [FIX] The warning box can't keep top most on Windows 2003.
3. [FIX] Several BSOD bugs of v1.40 beta1 fixed.
4. [FIX] Other small bugs fixed.
www.proactive-hips.com/download/pssetup_140pb2.exe

Ранг: 117.1 (ветеран)
Статус: Участник

Создано: 21 сентября 2007 03:04 New!
Цитата · Личное сообщение · #14

ProSecurity - так это же хипс, не антируткит

Тогда добавим в список System Safety Monitor, DefenseWall, AntiHook3, Process Guard, SnS.

Ранг: 191.8 (ветеран)
Статус: Участник

Создано: 21 сентября 2007 03:43 · Поправил: Ratinsh New!
Цитата · Личное сообщение · #15

Какой ты вредный.
Тема не по профилю форума, к пакерам и крипторам отношения не имеет.
А подфорума или ветки форума по кернел-программингу, исследованию драйверов
нет. Приходится вот "родственников-ядерщиков" в один топик складывать.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 21 сентября 2007 05:51 New!
Цитата · Личное сообщение · #16

pushick, среди хипсов сейчас что-нибудь лучше SnS есть?

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 21 сентября 2007 09:03 New!
Цитата · Личное сообщение · #17

DefenseWall - насколько я знаю не хуже

Ранг: 117.1 (ветеран)
Статус: Участник

Создано: 21 сентября 2007 13:01 New!
Цитата · Личное сообщение · #18

Gideon Vi

ProSecurity единственная хипса не завалившая недавний мегатест с реальными малварами. Sns и DefenseWall не участвовали, но DW 100% завалилась бы также. После этого аффтары пофиксили щели и вроде нынешний SSM уже на уровне всего остальное. ИМХО ставить хипс - гробить тачку.

Ранг: 191.8 (ветеран)
Статус: Участник

Создано: 5 сентября 2009 20:16 · Поправил: Ratinsh New!
Цитата · Личное сообщение · #19

мож кому интересно глянуть нынешнее состояние

Topic: Actual 2009 Antirootkits
forum.sysinternals.com/forum_posts.asp?TID=20007
ну и до кучи
avaxhome.ws/software/software_type/security/Antiviruses/TorchSoft_Malware_Defender_2_3_3.html

Ранг: 10.6 (новичок)
Статус: Участник

Создано: 5 сентября 2009 21:13 New!
Цитата · Личное сообщение · #20

Вот у меня стоит AVZ. Хочу спросить - насколько он стабилен вообще и особенно - в режиме AVZ Guard для поиска руткитов. То есть не возникали ли у кого бсоды, проблемы, несовместимости. Только чтобы не нарушать хорошую беседу - шлите сообщения в личку.
P.S. Насчет того что Guard - не рабочий режим знаю.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 6 сентября 2009 00:10 New!
Цитата · Личное сообщение · #21

что-нибудь на подобии rku под семерку есть?

Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 16 сентября 2009 11:07 New!
Цитата · Личное сообщение · #22

Gideon Vi, вчера вышел RkU v3.8 LE build 380/580 Service Release 1

mportant:
This version doesn't contains significant detection improvements / innovations
It's service release targeting mostly support of the new Microsoft NT versions.

added: Windows 7 build 7600 (RTM) support
added: Windows Vista SP2 support
added: Window Hooks viewer (as promised to Twister in old 2008)
added: more callback types to explore / remove
updated: all build up with latest UG North RTL's
fixed: compatibility issue with VX/VX+ versions
fixed: drivers scanning for Vista SP1 / 2008
fixed: devices scanning for Vista SP1 / 2008
fixed: objects parsing for Vista SP1 / 2008
fixed: HAL related constant false positives
fixed: affect on program while some system unauthorized modification
fixed: Windows 2000 multiprocessor cores incompatibilities
fixed: Windows 2000 kernel routines bug
and some more stuff not listed in final release changelog

D/L (~403 Kb)
www.rootkit.com/vault/DiabloNova/RkU3.8.380.580.rar

Russian locals
www.rootkit.com/vault/DiabloNova/3.8.380.580_local_rus.rar

Resource locals
www.rootkit.com/vault/DiabloNova/3.8.380.580_2local.rar


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 16 сентября 2009 11:24 New!
Цитата · Личное сообщение · #23

sER пишет:
вчера вышел RkU v3.8 LE

а не LE версии нету?

Ранг: 255.8 (наставник)
Статус: Участник
vx

Создано: 16 сентября 2009 17:27 New!
Цитата · Личное сообщение · #24

> вышел RkU v3.8 LE build 380/580 Service Release 1
Оно ничего кроме тупых спласов и тп., жёсткой модификации не детектит, говно короче .


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 16 сентября 2009 18:59 New!
Цитата · Личное сообщение · #25

Clerk пишет:
Оно ничего кроме тупых спласов и тп., жёсткой модификации не детектит, говно короче


Посоветуй что-нибудь в качестве полноценной замены, а то иногда есть необходимость в подобном инструменте.

Ранг: 510.2 (!)
Статус: Модератор

Создано: 16 сентября 2009 21:35 New!
Цитата · Личное сообщение · #26

офф: не помню уже где, читал както сравнение руткит детекторов, дык там рку всех сделал....


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 16 сентября 2009 22:14 New!
Цитата · Личное сообщение · #27

sendersu пишет:
офф: не помню уже где, читал както сравнение руткит детекторов, дык там рку всех сделал....

ну да. Ту статью писал один из авторов сабжа

Ранг: 255.8 (наставник)
Статус: Участник
vx

Создано: 17 сентября 2009 05:08 New!
Цитата · Личное сообщение · #28

kioresk
Нет альтернативы на паблике, может приватные тулзы и есть, Но очень маловероятно. Вручную искать нужно.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 18 сентября 2009 04:24 New!
Цитата · Личное сообщение · #29

sER пишет:
вчера вышел RkU v3.8 LE build 380/580 Service Release 1


отлично, теперь хоть есть чем "тупые сплайсы" смотреть. Спасибо за новость

Ранг: 191.8 (ветеран)
Статус: Участник

Создано: 21 сентября 2009 08:40 · Поправил: Ratinsh New!
Цитата · Личное сообщение · #30

заскочил тут на сайт один - давно там не был
в идее наверно интересно глянуть пару ссылок
www.anti-malware.ru/forum/index.php?showtopic=2918&view=findpos t&p=58369
www.esagelab.ru/resources.php?n=3
и до кучи
avaxhome.ws/ebooks/programming_development/general/fuzzy_genetic/1596932147Fuzzing.html

Ранг: -3.7 (нарушитель)
Статус: Участник

Создано: 7 октября 2009 13:39 · Поправил: Модератор New!
Цитата · Личное сообщение · #31

sER ты где его нашел?
на более-менее официальной странице последняя версия - LE v3.8.342.554
http://rootkit.com/newsread.php?newsid=902
<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
 eXeL@B —› Софт, инструменты —› AntiRootkits

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS