Встретил набор - наверно все известны, но мож кому надоть

avaxhome.ru/software/1-1-i.html
rapidshare.de/files/25948200/AntiRootkits_AIO.rar 42655 KB

avaxhome.ru/software/antirootkit_aio.html
rapidshare.de/files/29252888/AntiRootkits_AIO.rar 42655 KB

| Сообщение посчитали полезным:

Ничего себе набор!

Мне как-то больше по сердцу RootkitRevealer от Mark Russinovich and Bryce Cogswell

Не новая, но достаточна надёжна.

| Сообщение посчитали полезным:

Ну и размерчик
К уже сказанному мне по душе Process Hunter by Ms-Rem, сразу видно что нужно

| Сообщение посчитали полезным:

SysProt AntiRootkit v1.0.0.3 by swatkat
www.castlecops.com/zx/swatkat/SysProt.zip

| Сообщение посчитали полезным:

на rootkits.ru огромный выбор, каждый найдет че-нить для себя

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Из того, что ловит руткитов знаю Rootkit Unhooker, DarkSpy, GMER, IceSword. Остальное врядли поможет. Ну еще AVZ можно поюзать, но это больше антивирусная утилита, чем антируткит. Хотя если правильно спрятать дровину(без всяких процессов) все 4 курят.

-----
Research is my purpose

| Сообщение посчитали полезным:

Можно и здесь что-нить поискать
www.antirootkit.com/software.htm

| Сообщение посчитали полезным:

AVZ ловит и user mode и kernel mode и снимает перехваты,

и ме она больше всего по вкусу!

| Сообщение посчитали полезным:

wingrime пишет:
и снимает перехваты
Перехваты можно и не использовать. Я лично больше предпочитаю сплайсинг

| Сообщение посчитали полезным:

А дарк спай вообще вешает систему в синяк Что-то у меня его так и не получилось запустить, так что прежде чем сканить, сохраняйтесь.....

-----
The blood swap....

| Сообщение посчитали полезным:

Думаю книга здесь будет более корректна

Vieler Ric - Professional Rootkits (Programmer to Programmer)
Wrox / (2007-03-12) | 360 pages | ISBN: 0470101547 | CHM | 8Mb
rapidshare.com/files/41824399/WROX.Professional.Rootkits.chm.0470101547.rar (8218 KB)
rapidshare.com/files/41830983/Professional.Rootkits.0470101547.Source.Code-2-2-07.zip (18578 KB)
или
www.wrox.com/WileyCDA/WroxTitle/productCd-0470101547,descCd-download_code.html

| Сообщение посчитали полезным:

Ratinsh пишет:
Думаю книга здесь будет более корректна
класс. спасибо
давно искал, на амазоне как-то увидел.

-----
in search of sunrise

| Сообщение посчитали полезным:

Самая надежная и действително работающая прога - это Rootkit Unhooker.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k пишет:
Самая надежная и действително работающая прога - это Rootkit Unhooker.

угу, только вот: Has been released last public version of RkU

| Сообщение посчитали полезным:

Gideon Vi
Ну да, на паблике четвертую версию ждать не стоит.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Есть инфа, как присоединиться к тестерам?

| Сообщение посчитали полезным:

Gideon Vi
Читал AntiRootkits: Invisible War?
Там соавтор RkU пишет что 4 на не будет, она распростроняецо только внутри, так о каких тестерах идет речь?

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k пишет:
Читал AntiRootkits: Invisible War?

Ссылочку можно, если не затруднит?

| Сообщение посчитали полезным:

v0id2k пишет:
Там соавтор RkU пишет что 4 на не будет, она распростроняецо только внутри, так о каких тестерах идет речь?
пблик будет 3.80. Там не будет некоторых фишек которые будут в приватной версии.
W[4Fh]LF пишет:
Ссылочку можно, если не затруднит?
rku.nm.ru/invisible_war.rar

| Сообщение посчитали полезным:

v0id2k пишет:
так о каких тестерах идет речь?

это что, библия? её обязательно нужно прочесть? звиняйте, не знал

зы. прочёл. ничего полезного - банальное пиписькомерянье. может и заслуженное, но суть от этого не меняется

| Сообщение посчитали полезным:

Gideon Vi
Это строчки из обзора RkU:

Напоследок «вкусненькое», скриншот Rootkit Unhooker V4, той версии, что вряд ли попадет когда-либо в паблик

Хотя хз, отпишись EP_X0FF, может и возьмут тебя тестером

Gideon Vi пишет:
это что, библия? её обязательно нужно прочесть?
Я этого не говорил, я задал вопрос.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k пишет:
Я этого не говорил, я задал вопрос.

моё сори - жарковато у нас, все на взводе

v0id2k пишет:
отпишись EP_X0FF, может и возьмут тебя тестером

на врятли, я ничего значимого для сцены не делаю

| Сообщение посчитали полезным:

Есть надежный способ противостоять любому антируткиту. При попытке запуска последнего генериться BSOD, таким образом, чтобы упало где-то в глубинке ntoskrnl или и того хуже - в теле драйвера антируткита. Пойди догадайся, почему упало, все антируткиты имеют свойство BSOD-ить. Разрулить эту проблему пока никому не удалось на 100%. Но я считаю, что на данный момент все еще существует возможность создать концептуально недетектируемый руткит, и обойти те средствами обнаружения, которые существуют на данный момент.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
При попытке запуска последнего генериться BSOD

Каким образом ты узнаешь об этой попытке?

Error_Log пишет:
Но я считаю, что на данный момент все еще существует возможность создать концептуально недетектируемый руткит, и обойти те средствами обнаружения, которые существуют на данный момент.

По-крайней мере в той статье написано, что такие руткиты существуют.

| Сообщение посчитали полезным:

W[4Fh]LF пишет:
Каким образом ты узнаешь об этой попытке?
Спроси у аффтара haxdoor, например. Способов - тонна.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Но я считаю, что на данный момент все еще существует возможность создать концептуально недетектируемый руткит

почему нет. только он должен быть опенсорс

| Сообщение посчитали полезным:

Gideon Vi пишет:
только он должен быть опенсорс
как раз на основе опенсорс-руткитов пишутся ламоботы, аффтары которых умеют только копипастить.

Год назад антивирусники каким-то чудом поймали руткит, который на то время не ловился. С тех пор прошел год, старую версию кое-как научились ловить, а новую так никто из них и не увидел. Вопрос, почему?

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Год назад антивирусники каким-то чудом поймали руткит, который на то время не ловился. С тех пор прошел год, старую версию кое-как научились ловить, а новую так никто из них и не увидел. Вопрос, почему?
Печальная выходит перспектива для рядовых пользователей

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Error_Log пишет:
Спроси у аффтара haxdoor, например. Способов - тонна.

Точно, совсем забыл, что он мой сосед
Я кроме привязки к конкретным особенносям реализации отдельных антируткитов, способов не вижу. Вероятно они всё-таки есть конечно же

| Сообщение посчитали полезным:

Error_Log пишет:
как раз на основе опенсорс-руткитов пишутся ламоботы, аффтары которых умеют только копипастить.

а причём здесь это? Я придерживаюсь мысли, что супер анти-руткит должен быть опенсорсом именно для того, чтобы люди могли изменять кое-какие отдельные особенности (типа ollydbg.exe и _ODBG_) под себя, дабы не возникало таких ситуаций:
W[4Fh]LF пишет:
кроме привязки к конкретным особенносям реализации отдельных антируткитов
А иначе придётся делать так, как авторы RKU - приватную версию десятку избранных, паблик - остальным

| Сообщение посчитали полезным: