Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+4 невидимых)

 eXeL@B —› Софт, инструменты —› AntiRootkits
<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
Посл.ответ Сообщение

Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 10 октября 2006 02:52
· Личное сообщение · #1

Встретил набор - наверно все известны, но мож кому надоть

avaxhome.ru/software/1-1-i.html
rapidshare.de/files/25948200/AntiRootkits_AIO.rar 42655 KB

avaxhome.ru/software/antirootkit_aio.html
rapidshare.de/files/29252888/AntiRootkits_AIO.rar 42655 KB



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 12 июля 2007 04:49
· Личное сообщение · #2

W[4Fh]LF пишет:
Каким образом ты узнаешь об этой попытке?


Вешается нотифи на создание процессов. Далее только ваше воображение.
Есть вариант с сигнатурами, есть вариант с именем девайсов, но наиболее надежный именно сигнатурный поиск в памяти определенных строк. Так как сделано в рутките русток. Или вариант итальянского руткита громозон отечественного происхождения - анализ VERSION_INFO, если она есть

Такие программы как антируткиты и тем более руткиты никогда не должны быть опенсурс.
Во-первых, это будет использовано для создания клонов всевозможными аффтарами, как заметил Error_Log, во вторых, авторам руткитов будет проще разрабатывать свои программы в расчете на имеющиеся исходники антируткитов.

Error_Log пишет:
Год назад антивирусники каким-то чудом поймали руткит, который на то время не ловился. С тех пор прошел год, старую версию кое-как научились ловить, а новую так никто из них и не увидел. Вопрос, почему?


Ну не совсем так. Это были не антивирусники (они уже потом подключились и сделали из этого большую антивирусную тайну), а системы предотвращения. Кроме этого засветили этот руткит (rustock.b, ведь именно о нем мы говорим) обыкновенные баги реализации. Что касается сегодняшнего положения вещей с более новыми версиями руткита, то судя по всему антивирусным компаниям выгодно молчать о существовании чего то, что может их компрометировать и что не укладывается в их PR-компании. Действительно, для детекта такого рода руткитов потребуется маленькая революция в AV - индустрии. А это требует вложений. Ради одного руткита? Нецелесообразно.

-----
Security through obscurity is just an illusion




Ранг: 56.3 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 12 июля 2007 07:39
· Личное сообщение · #3

pushick
Спасибо за разъяснения.




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 12 июля 2007 08:50
· Личное сообщение · #4

pushick пишет:
Во-первых, это будет использовано для создания клонов всевозможными аффтарами, как заметил Error_Log


это не аргумент, а проявление эго. мы здесь о чём говорим: о защите интернет комьюнити или о удовлетворении амбиций разрабов?

pushick пишет:
во вторых, авторам руткитов будет проще разрабатывать свои программы в расчете на имеющиеся исходники антируткитов.


то есть теперь для написания руткитов нужны настолько минимальные знания, что человек их пишущий не способен нормально отдизасмить антируткит без сорсов?

pushick пишет:
Есть вариант с сигнатурами, есть вариант с именем девайсов, но наиболее надежный именно сигнатурный поиск в памяти определенных строк. Так как сделано в рутките русток. Или вариант итальянского руткита громозон отечественного происхождения - анализ VERSION_INFO, если она есть


сам даёшь аргументы в пользу опенсорса. если у меня есть возможность перекомпилять программу под себя, то и сигнатуры, и имена девайсов идут лесом, нет?



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 12 июля 2007 14:47
· Личное сообщение · #5

Gideon Vi пишет:
это не аргумент, а проявление эго. мы здесь о чём говорим: о защите интернет комьюнити или о удовлетворении амбиций разрабов?


Возможно это эго
Разве антируткиты применяются для защиты интернет комьюнити? Вообще то, чтобы уметь интепретировать их результаты и просто ими эффективно пользоваться уже нужны определенные знания. Их используют в основном продвинутые люди, энтузиасты, (анти)руткитописатели. Не масса. Защитой интернет комьюнити занимаются всевозможные компании и лаборатории, это ведь немного другой профиль?

Gideon Vi пишет:
то есть теперь для написания руткитов нужны настолько минимальные знания, что человек их пишущий не способен нормально отдизасмить антируткит без сорсов?


А так и есть. Если взять несколько малварных руткитов, winio.sys или all-in-one то они подчистую сдуты с примеров NtRootkit валяющихся на руткит.ком Не говоря уже о кучах клонов Hxdef. Если посмотреть различные форумы, посвященные системному программированию можно найти кучу тем и вопросов вроде "а у меня вот эта фигня не кАмпЕлируетЦО что-то"... "а как мне похучить IoDeleteDevice? я не могу найти её в SSDT " и прочие ламеризмы. По настоящему профессиональных работ всего ничего. Те кому дано всегда отреверзят (анти)руткит, те кому не дано... не стоит облегчать им жизнь.

Gideon Vi пишет:
сам даёшь аргументы в пользу опенсорса. если у меня есть возможность перекомпилять программу под себя, то и сигнатуры, и имена девайсов идут лесом, нет?


Это, наверное, скорее аргумент в пользу приватных детекторов. Пример - Process Hunter Ms-Rem'а. В данный момент представляет интерес только как набор исходников. Много народу нагрело на нем руку в прямом смысле слова. В unhackme AFAIK используется метод детекта, подчистую сдутый из процесс хантера (даже имена функций). Плюс открытость Process Hunter значительно облегчает его обход.

И что получается в конце? Действительно эффективный (анти)руткит тот, что не светится на публике.

-----
Security through obscurity is just an illusion





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 12 июля 2007 17:13
· Личное сообщение · #6

Признаю, убедил
Я, в принципе, направленной атаки руткитами не боюсь (если и будут, то на выходе из квартиры, чем-нибудь тупым по основанию черепа ), а для снятия хуков и публичного rKU полне хватает. Жаль, конечно, что приват в руках не подержу, ну да ладно



Ранг: 221.3 (наставник), 135thx
Активность: 0.190.07
Статус: Участник

Создано: 12 июля 2007 17:49
· Личное сообщение · #7

Gideon Vi пишет:
Жаль, конечно, что приват в руках не подержу, ну да ладно

Может еще подержишь )))

-----
xchg dword [eax], eax





Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 12 июля 2007 18:30
· Личное сообщение · #8

а вот 4.5 версию отсюда seem.about.free.fr/ никто не видел?



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 12 июля 2007 18:33
· Личное сообщение · #9

SEEM? Ничего особенного.

-----
Security through obscurity is just an illusion




Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 18 июля 2007 01:43
· Личное сообщение · #10

Интересно глянуть
http_//www.blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf
http_//www.nvlabs.in/

Panda Anti-Rootkit v1.08
research.pandasoftware.com/blogs/research/archive/2007/06/26/Rootkits-in-the-mist.aspx
research.pandasoftware.com/blogs./images/AntiRootkit.rar
Предыдущая
research.pandasoftware.com/blogs/research/archive/2007/04/27/New-Panda-Anti_2D00_Rootkit-_2D00_-Version-1.07.aspx
research.pandasoftware.com/blogs./images/AntiRootkit-1.07.zip



Ранг: 163.7 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 18 июля 2007 08:07
· Личное сообщение · #11

pushick пишет:
Вешается нотифи на создание процессов. Далее только ваше воображение.


Если бы у меня была достаточная мат. подготовка, я бы доказал, что фантазии должно хватить на решение NP-полной задачи за полиномиальное время. Пока же приведу факт из жизни: аналогичную задачу вот уже много лет пытаются решить антивирусы. Безуспешно.



Ранг: 61.4 (постоянный), 1thx
Активность: 0.020
Статус: Участник

Создано: 18 июля 2007 08:51
· Личное сообщение · #12

S_T_A_S_
дык вирусов больше чем антируткитов на несколько порядков.
И внести большую часть антирк в базу данных малвары вполне реально. Можно определять так же по сигнатурам, по названию процесса, по окну, классу окна, по размеру файла, ...



Ранг: 163.7 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 18 июля 2007 10:37
· Личное сообщение · #13

n0name
Ты меня не совсем понял. Поэтому не забудь добавить в руткит еще и мулятор + эвристик для детекта полиморфноых антируткитов



Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 18 июля 2007 11:24
· Личное сообщение · #14

GMER 1.0.13.12551
www.gmer.net/files.php



Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 19 июля 2007 08:08
· Личное сообщение · #15

Off
AutoRuns for Windows v8.70 By Mark Russinovich and Bryce Cogswell Published: July 9, 2007
www.microsoft.com/technet/sysinternals/utilities/autoruns.mspx?wt.svl=whatsnew
download.sysinternals.com/Files/Autoruns.zip




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 23 июля 2007 01:50
· Личное сообщение · #16

Rootkit Unhooker LE 3.7.300.502 http://rku.nm.ru/rkunhooker_v3/RkU3.7.300.502.zip
22 July 2007
RkUnhooker LE update (several fixes included)


Четвёртую версию мы с вами наверное не увидим... но, по крайней мере ребята совсем не забросили третью, что тоже не плохо




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 23 июля 2007 01:50
· Личное сообщение · #17

Ratinsh пишет:
GMER 1.0.13.12551


ужасная софтина



Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 23 июля 2007 11:37
· Личное сообщение · #18

Фон для хорошего софта тоже должен быть.



Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 23 июля 2007 13:53
· Личное сообщение · #19

Safe'n'Sec 3.0 Pro триал
www.safensoft.ru/download/protection/
www.safensoft.com/sns/snspro_rus.exe
антируткитная версия
www.safensoft.com/sns/snsprodeluxe_rus.exe
Safe'n'Sec + Антишпион
www.safensoft.ru/download/free_virus_protection/
www.safensoft.com/sns/safensecas_ru_2.5.exe



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 11 августа 2007 09:35
· Личное сообщение · #20

RkU v3.7.300.503

в основном исправлены мелкие GUI баги

rku.nm.ru/rkunhooker_v3/RkU3.7.300.503.zip

-----
Security through obscurity is just an illusion




Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

Создано: 11 августа 2007 13:03
· Личное сообщение · #21

pushick, у меня почему-то напрочь отказывается грузится RkU c дровом v4.0, хотя v3.x работает хорошо, ошибка "02 Error loading data file", думал может из-за sptd или sandbox'a аутпоста, но нет

ntoskrnl.exe - 5.1.2600.3093 (crc32 - 84afb151)



Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

Создано: 11 августа 2007 13:05
· Личное сообщение · #22

вот сам файл

rapidshare.com/files/48289811/ntoskrnl.rar.html (1MB)



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 11 августа 2007 18:58
· Личное сообщение · #23

raw ридер ntfs упал, ntoskrnl здесь не поможет, к сожалению.
попробуй выключить dep для rkunhooker.exe, проверить диск chkdsk /f

ошибка хоть и не частая, но уже известная. в чем причина хз, так как мы не можем воспроизвести это.
а какой диск, размер, сильно фрагментирован?
если есть желание помочь с дебагом, можем выслать спец. отладочную версию.

-----
Security through obscurity is just an illusion





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 12 августа 2007 02:12 · Поправил: Gideon Vi
· Личное сообщение · #24

Это... а зачем дразнить народ разговорами о приватном софте? Создайте отдельную тему и там обсуждайте



Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 18 августа 2007 01:57
· Личное сообщение · #25

Не новые, но наверно стоит глянуть
labs.idefense.com/software/malcode.php



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 18 августа 2007 07:50
· Личное сообщение · #26

бояны, особенно HookExplorer

-----
Security through obscurity is just an illusion




Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 18 августа 2007 09:49
· Личное сообщение · #27

Вот тоже уже как год
Kernel Memory Space Analyzer v8.1
www.microsoft.com/downloads/details.aspx?FamilyID=e84d3b35-63c3-445b-810d-9fed3fdeb13f&DisplayLang=en



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 18 августа 2007 10:55
· Личное сообщение · #28

Тоже боян, причем не понятно каким боком соотносимый к антируткитам. Имхо, сейчас все в полном дауне на этом фронте, нет ничего нового, китайцы окончательно побеждены со своими лажовыми поделками, гмер кампелирует методы второгодней давности, антивирусные поделки я вообще не считаю антируткитами. Руткит ревеалер загнулся давным-давно, Джоанна переела таблеток, авз полная лажа. Из последнего разве что rktrap интересен. Ну и есть какой-то мега загадочный антируткит, последняя надежда китайцев - DarkDetector

-----
Security through obscurity is just an illusion




Ранг: 34.1 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 18 августа 2007 22:38
· Личное сообщение · #29

Ну если есть средства\кваликация для создания руткитов, то должны быть и для создания антируткитов. Антивирусники, как противостоящий лагерь пока не особо суетятся, т.к. в данный момент вложенные средства не окупят продажи такого товара. Вот если руткиты и их технологии получат массовое распространение и приобретут масштабы эпидемии, да ещё и пресса это хорошо пропиарит, тогда естественно начнут клепать очередную "панацею", но уже за шекели.
-------------------
ИМХО




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 19 августа 2007 02:17
· Личное сообщение · #30

Shad0vv, ты в серьёз считаешь, что антивирусы сейчас нормально противостоят вирусам?



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 19 августа 2007 06:43
· Личное сообщение · #31

Shad0vv

А они уже давно нашли широкое применение. HxDef и его многочисленные клоны, HaxDoor, Rustock, Gromozon, многочисленные вариации на тему NtRootkit, список довольно большой, сходи сам посмотри antirootkit.com

И пресса уже давно и хорошо их пиарит (по крайней мере западная). Малвара с руткит-технологиями считается основной угрозой и одно только слово "руткит" вызывает панику у буржуев. И антивирусники уже давно суетятся, встраивая свои убогие антируткиты в свои не менее убогие антивирусы, примеры: nod32, kaspersky, avira, mcafee, avg, даже такая древность как drweb. Из всего этого гуано пока лучше всего получилось у касперских и то это спорное утверждение.

-----
Security through obscurity is just an illusion



<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
 eXeL@B —› Софт, инструменты —› AntiRootkits
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати