Встретил набор - наверно все известны, но мож кому надоть

avaxhome.ru/software/1-1-i.html
rapidshare.de/files/25948200/AntiRootkits_AIO.rar 42655 KB

avaxhome.ru/software/antirootkit_aio.html
rapidshare.de/files/29252888/AntiRootkits_AIO.rar 42655 KB

| Сообщение посчитали полезным:

W[4Fh]LF пишет:
Каким образом ты узнаешь об этой попытке?

Вешается нотифи на создание процессов. Далее только ваше воображение.
Есть вариант с сигнатурами, есть вариант с именем девайсов, но наиболее надежный именно сигнатурный поиск в памяти определенных строк. Так как сделано в рутките русток. Или вариант итальянского руткита громозон отечественного происхождения - анализ VERSION_INFO, если она есть

Такие программы как антируткиты и тем более руткиты никогда не должны быть опенсурс.
Во-первых, это будет использовано для создания клонов всевозможными аффтарами, как заметил Error_Log, во вторых, авторам руткитов будет проще разрабатывать свои программы в расчете на имеющиеся исходники антируткитов.

Error_Log пишет:
Год назад антивирусники каким-то чудом поймали руткит, который на то время не ловился. С тех пор прошел год, старую версию кое-как научились ловить, а новую так никто из них и не увидел. Вопрос, почему?


Ну не совсем так. Это были не антивирусники (они уже потом подключились и сделали из этого большую антивирусную тайну), а системы предотвращения. Кроме этого засветили этот руткит (rustock.b, ведь именно о нем мы говорим) обыкновенные баги реализации. Что касается сегодняшнего положения вещей с более новыми версиями руткита, то судя по всему антивирусным компаниям выгодно молчать о существовании чего то, что может их компрометировать и что не укладывается в их PR-компании. Действительно, для детекта такого рода руткитов потребуется маленькая революция в AV - индустрии. А это требует вложений. Ради одного руткита? Нецелесообразно.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

pushick
Спасибо за разъяснения.

| Сообщение посчитали полезным:

pushick пишет:
Во-первых, это будет использовано для создания клонов всевозможными аффтарами, как заметил Error_Log

это не аргумент, а проявление эго. мы здесь о чём говорим: о защите интернет комьюнити или о удовлетворении амбиций разрабов?

pushick пишет:
во вторых, авторам руткитов будет проще разрабатывать свои программы в расчете на имеющиеся исходники антируткитов.

то есть теперь для написания руткитов нужны настолько минимальные знания, что человек их пишущий не способен нормально отдизасмить антируткит без сорсов?

pushick пишет:
Есть вариант с сигнатурами, есть вариант с именем девайсов, но наиболее надежный именно сигнатурный поиск в памяти определенных строк. Так как сделано в рутките русток. Или вариант итальянского руткита громозон отечественного происхождения - анализ VERSION_INFO, если она есть

сам даёшь аргументы в пользу опенсорса. если у меня есть возможность перекомпилять программу под себя, то и сигнатуры, и имена девайсов идут лесом, нет?

| Сообщение посчитали полезным:

Gideon Vi пишет:
это не аргумент, а проявление эго. мы здесь о чём говорим: о защите интернет комьюнити или о удовлетворении амбиций разрабов?

Возможно это эго
Разве антируткиты применяются для защиты интернет комьюнити? Вообще то, чтобы уметь интепретировать их результаты и просто ими эффективно пользоваться уже нужны определенные знания. Их используют в основном продвинутые люди, энтузиасты, (анти)руткитописатели. Не масса. Защитой интернет комьюнити занимаются всевозможные компании и лаборатории, это ведь немного другой профиль?

Gideon Vi пишет:
то есть теперь для написания руткитов нужны настолько минимальные знания, что человек их пишущий не способен нормально отдизасмить антируткит без сорсов?

А так и есть. Если взять несколько малварных руткитов, winio.sys или all-in-one то они подчистую сдуты с примеров NtRootkit валяющихся на руткит.ком Не говоря уже о кучах клонов Hxdef. Если посмотреть различные форумы, посвященные системному программированию можно найти кучу тем и вопросов вроде "а у меня вот эта фигня не кАмпЕлируетЦО что-то"... "а как мне похучить IoDeleteDevice? я не могу найти её в SSDT " и прочие ламеризмы. По настоящему профессиональных работ всего ничего. Те кому дано всегда отреверзят (анти)руткит, те кому не дано... не стоит облегчать им жизнь.

Gideon Vi пишет:
сам даёшь аргументы в пользу опенсорса. если у меня есть возможность перекомпилять программу под себя, то и сигнатуры, и имена девайсов идут лесом, нет?

Это, наверное, скорее аргумент в пользу приватных детекторов. Пример - Process Hunter Ms-Rem'а. В данный момент представляет интерес только как набор исходников. Много народу нагрело на нем руку в прямом смысле слова. В unhackme AFAIK используется метод детекта, подчистую сдутый из процесс хантера (даже имена функций). Плюс открытость Process Hunter значительно облегчает его обход.

И что получается в конце? Действительно эффективный (анти)руткит тот, что не светится на публике.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Признаю, убедил
Я, в принципе, направленной атаки руткитами не боюсь (если и будут, то на выходе из квартиры, чем-нибудь тупым по основанию черепа ), а для снятия хуков и публичного rKU полне хватает. Жаль, конечно, что приват в руках не подержу, ну да ладно

| Сообщение посчитали полезным:

Gideon Vi пишет:
Жаль, конечно, что приват в руках не подержу, ну да ладно
Может еще подержишь )))

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

а вот 4.5 версию отсюда seem.about.free.fr/ никто не видел?

| Сообщение посчитали полезным:

SEEM? Ничего особенного.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Интересно глянуть
http_//www.blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf
http_//www.nvlabs.in/

Panda Anti-Rootkit v1.08
research.pandasoftware.com/blogs/research/archive/2007/06/26/Rootkits-in-the-mist.aspx
research.pandasoftware.com/blogs./images/AntiRootkit.rar
Предыдущая
research.pandasoftware.com/blogs/research/archive/2007/04/27/New-Panda-Anti_2D00_Rootkit-_2D00_-Version-1.07.aspx
research.pandasoftware.com/blogs./images/AntiRootkit-1.07.zip

| Сообщение посчитали полезным:

pushick пишет:
Вешается нотифи на создание процессов. Далее только ваше воображение.

Если бы у меня была достаточная мат. подготовка, я бы доказал, что фантазии должно хватить на решение NP-полной задачи за полиномиальное время. Пока же приведу факт из жизни: аналогичную задачу вот уже много лет пытаются решить антивирусы. Безуспешно.

| Сообщение посчитали полезным:

S_T_A_S_
дык вирусов больше чем антируткитов на несколько порядков.
И внести большую часть антирк в базу данных малвары вполне реально. Можно определять так же по сигнатурам, по названию процесса, по окну, классу окна, по размеру файла, ...

| Сообщение посчитали полезным:

n0name
Ты меня не совсем понял. Поэтому не забудь добавить в руткит еще и мулятор + эвристик для детекта полиморфноых антируткитов

| Сообщение посчитали полезным:

GMER 1.0.13.12551
www.gmer.net/files.php

| Сообщение посчитали полезным:

Off
AutoRuns for Windows v8.70 By Mark Russinovich and Bryce Cogswell Published: July 9, 2007
www.microsoft.com/technet/sysinternals/utilities/autoruns.mspx?wt.svl=whatsnew
download.sysinternals.com/Files/Autoruns.zip

| Сообщение посчитали полезным:

Rootkit Unhooker LE 3.7.300.502 http://rku.nm.ru/rkunhooker_v3/RkU3.7.300.502.zip
22 July 2007
RkUnhooker LE update (several fixes included)

Четвёртую версию мы с вами наверное не увидим... но, по крайней мере ребята совсем не забросили третью, что тоже не плохо

| Сообщение посчитали полезным:

Ratinsh пишет:
GMER 1.0.13.12551

ужасная софтина

| Сообщение посчитали полезным:

Фон для хорошего софта тоже должен быть.

| Сообщение посчитали полезным:

Safe'n'Sec 3.0 Pro триал
www.safensoft.ru/download/protection/
www.safensoft.com/sns/snspro_rus.exe
антируткитная версия
www.safensoft.com/sns/snsprodeluxe_rus.exe
Safe'n'Sec + Антишпион
www.safensoft.ru/download/free_virus_protection/
www.safensoft.com/sns/safensecas_ru_2.5.exe

| Сообщение посчитали полезным:

RkU v3.7.300.503

в основном исправлены мелкие GUI баги

rku.nm.ru/rkunhooker_v3/RkU3.7.300.503.zip

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

pushick, у меня почему-то напрочь отказывается грузится RkU c дровом v4.0, хотя v3.x работает хорошо, ошибка "02 Error loading data file", думал может из-за sptd или sandbox'a аутпоста, но нет

ntoskrnl.exe - 5.1.2600.3093 (crc32 - 84afb151)

| Сообщение посчитали полезным:

вот сам файл

rapidshare.com/files/48289811/ntoskrnl.rar.html (1MB)

| Сообщение посчитали полезным:

raw ридер ntfs упал, ntoskrnl здесь не поможет, к сожалению.
попробуй выключить dep для rkunhooker.exe, проверить диск chkdsk /f

ошибка хоть и не частая, но уже известная. в чем причина хз, так как мы не можем воспроизвести это.
а какой диск, размер, сильно фрагментирован?
если есть желание помочь с дебагом, можем выслать спец. отладочную версию.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Это... а зачем дразнить народ разговорами о приватном софте? Создайте отдельную тему и там обсуждайте

| Сообщение посчитали полезным:

Не новые, но наверно стоит глянуть
labs.idefense.com/software/malcode.php

| Сообщение посчитали полезным:

бояны, особенно HookExplorer

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Вот тоже уже как год
Kernel Memory Space Analyzer v8.1
www.microsoft.com/downloads/details.aspx?FamilyID=e84d3b35-63c3-445b-810d-9fed3fdeb13f&DisplayLang=en

| Сообщение посчитали полезным:

Тоже боян, причем не понятно каким боком соотносимый к антируткитам. Имхо, сейчас все в полном дауне на этом фронте, нет ничего нового, китайцы окончательно побеждены со своими лажовыми поделками, гмер кампелирует методы второгодней давности, антивирусные поделки я вообще не считаю антируткитами. Руткит ревеалер загнулся давным-давно, Джоанна переела таблеток, авз полная лажа. Из последнего разве что rktrap интересен. Ну и есть какой-то мега загадочный антируткит, последняя надежда китайцев - DarkDetector

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Ну если есть средства\кваликация для создания руткитов, то должны быть и для создания антируткитов. Антивирусники, как противостоящий лагерь пока не особо суетятся, т.к. в данный момент вложенные средства не окупят продажи такого товара. Вот если руткиты и их технологии получат массовое распространение и приобретут масштабы эпидемии, да ещё и пресса это хорошо пропиарит, тогда естественно начнут клепать очередную "панацею", но уже за шекели.
-------------------
ИМХО

| Сообщение посчитали полезным:

Shad0vv, ты в серьёз считаешь, что антивирусы сейчас нормально противостоят вирусам?

| Сообщение посчитали полезным:

Shad0vv

А они уже давно нашли широкое применение. HxDef и его многочисленные клоны, HaxDoor, Rustock, Gromozon, многочисленные вариации на тему NtRootkit, список довольно большой, сходи сам посмотри antirootkit.com

И пресса уже давно и хорошо их пиарит (по крайней мере западная). Малвара с руткит-технологиями считается основной угрозой и одно только слово "руткит" вызывает панику у буржуев. И антивирусники уже давно суетятся, встраивая свои убогие антируткиты в свои не менее убогие антивирусы, примеры: nod32, kaspersky, avira, mcafee, avg, даже такая древность как drweb. Из всего этого гуано пока лучше всего получилось у касперских и то это спорное утверждение.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным: