Встретил набор - наверно все известны, но мож кому надоть

avaxhome.ru/software/1-1-i.html
rapidshare.de/files/25948200/AntiRootkits_AIO.rar 42655 KB

avaxhome.ru/software/antirootkit_aio.html
rapidshare.de/files/29252888/AntiRootkits_AIO.rar 42655 KB

| Сообщение посчитали полезным:

Gideon Vi
Собственно я не и говорил, что антивирусы обеспечивают нормальную защиту, а доказывать обратное вашим словам не имеет смысла т.к. и так всё понятно. Я говорил, лишь о возможном привлечении денежных средств и специалистов, а как следиствие развития рынка подобных услуг и появление новых антируткитов.

pushick
Я читаю русскоязычные новости и ориентируюсь только по обстановке на просторах СНГ, в итоге у меня сложилось мнение, что руткиты не достаточно распространены для того, что бы бить в набат.
P.S. не даром же я всё очеркнул и добавил "имхо".

| Сообщение посчитали полезным:

pushick пишет:
И антивирусники уже давно суетятся, встраивая свои убогие антируткиты в свои не менее убогие антивирусы
А убогие они потому, что на это есть обьективные причины. Что такое антивирус? Это продукт для массового пользователя. А значит антивирус должен обладать в первую очередь следующими характеристиками:
1 - Стабильность
2 - Гарантия отсутствия ложных срабатываний (должен находиться ТОЛЬКО вредоносный код, а не обычные программы код которых имеет схожий принцип действия)
3 - Работа в полностью автоматическом режиме без участия пользователя (нашел - удалил сам).

Ну а что можно сказать о относительно хороших антируткитах (RKU, gmer, rktrap)? А сказать можно только то, что они ни одному из вышеназваных критериев не удовлетворяют.
Стабильность пока что не на высоте даже у rku (неоднократно замечены бсоды на сканировании code hooks). Никакой гарантии от ложных срабатываний нет и не будет, т.к. эти антируткиты просто показывают хуки, не делая различия между вредоносным кодом и кодом похожим на него (вроде антивирусов и различных тулз). К тому же зачастую имеется и полнейший ложняк (показ хуков которых нет), этим болеет в основном gmer, хотя замечен такой случай и в rku.
Ну а насчет третьего пункта требований - он пока что самый нереальный из всех. Автоматическое удаление руткитов без участия пользователя (причем гарантирующее последующую стабильную работу системы и отсутствие ложных срабатываний) это пока что полный бред... Ну а обычному пользователю в выводимых rku данных никтогда не разобраться.
Ну и наконец, вышеназваные антируткиты имеют кучу проблем с совместимостью (к примеру попробуйте заюзать последнюю версию rku на машине с Drive crypt plus pack).

| Сообщение посчитали полезным:

Ни один антивирус не отвечает этим требованиям.

Стабильностью не отличается ни один антируткит. С Mcafee RootkitDetective, AVG Antirootkit были получены самые разнообразные бсоды. Сами антивирусы, в частности касперский, не отличаются стабильностью, а его установка на комп приводит к возникновению кучи потенциальных бэкдоров для всевозможных эксплоитов.

Гарантия отсутствия ложных срабатываний недосягаема для антивирусов в той же степени, что и для антируткитов. Достаточно поэкспериментировать с упаковщиками и поотсылать файлы на вирустотал.
АВЗ имеет базу "чистых хукеров" и что с того? Ни у нас ни у аффтара гмера нет времени и желая создавать и постоянно обновлять подобную бд.

Работа в полностью автоматическом режиме тоже миф. По умолчанию большинство антивирусов сконфигурированы на то, чтобы спрашивать у пользователя действие. Да и ложными срабатываниями и просто багами антивирус как автоматический шредер файлов не очень то кому и нужен. Вечно глючащие и тормозящие систему мониторы. К тому же автоматически удалить что-либо уже активное без последствий не всегда удается.

Ни один антивирус не удовлетворяет этим требованиям. Они нереальны и недостяжимы.

Антируткиты никогда не являлись и не будут продуктом массового использования, соответственно их нельзя советовать всем и каждому как средство лечения и диагностики. Для интерпретирования их логов уже требуется определенная подготовка. Но как иначе, если не сообщать пользователю все расхождения, какой толк тогда от такого антируткита?

Проблемы с совместимостью, а от никуда не деться, потому что эта программа не "Блокнот". Соответственно, она всегда будет с чем-нибудь конфликтовать. Впрочем тоже самое применимо и к ав. Уж без этого никак.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

pushick пишет:
Стабильностью не отличается ни один антируткит. С Mcafee RootkitDetective, AVG Antirootkit были получены самые разнообразные бсоды. Сами антивирусы, в частности касперский, не отличаются стабильностью, а его установка на комп приводит к возникновению кучи потенциальных бэкдоров для всевозможных эксплоитов.
Ну я не говорил что антивирусы отличаются стабильностью, я говорил что они ДОЛЖНЫ ее иметь. Ну а кривые руки товариша каспермского давно всем известны.

pushick пишет:
Но как иначе, если не сообщать пользователю все расхождения, какой толк тогда от такого антируткита?
Ну в этом то и причина того, что включать их в состав антивируса нецелесообразно. Ибо потом саппорт заебется отвечать на звонки типа "у меня найден хук ZwWriteVirtualMemory в filtnt.sys, это вирус?".

pushick пишет:
Проблемы с совместимостью, а от никуда не деться, потому что эта программа не "Блокнот". Соответственно, она всегда будет с чем-нибудь конфликтовать. Впрочем тоже самое применимо и к ав. Уж без этого никак.
Ну а с этим никак не соглашусь. Совместимости надо добиваться, и рассматривать каждый случай несовместимости отдельно. Ну а сказать "мы не будем специально вводить совместимости с различным софтом..." это откровенное забивание на качество продукта.

| Сообщение посчитали полезным:

Одумайтесь, товарищи, у ав контор цель только денег срубить(и это правильно, имхо), и их мало волнует, что кто-то там их обходит. Остальное их не касается. А галочка о том что у них есть антируткит просто необходима для счастья пользователей.

| Сообщение посчитали полезным:

asd пишет:
у ав контор цель только денег срубить
У кого-то другие посылы?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Sly Ass пишет:
Ну а с этим никак не соглашусь. Совместимости надо добиваться, и рассматривать каждый случай несовместимости отдельно. Ну а сказать "мы не будем специально вводить совместимости с различным софтом..." это откровенное забивание на качество продукта.

В общем правильно, но к частному не применимо, потому как отдельные случаи несовместимости могут возникать отнюдь не по причине _нашей_ программы. Добавить совместимость со всем просто невозможно. Например, drive crypt pack отсутствует не только у нас, но и у всех, у кого мы можем провести тест. Если добавление совместимости с каким-нибудь не слишком распространенным продуктом требует изменений ухудшающих в той или иной мере работоспособность, тогда нет, спасибо, это глупо подстраиваться под всякую хуйню. Но в общем никто никогда и не собирался полностью забивать на совместимость, если рассматривать случай с SSM, так там была наша бага, а не несовместимость, на месте SSM мог быть тот же Хакдор

Антивирусные антируткиты были созданы как обкатка технологий перед их внедрением в главный продукт. Не больше, не меньше. С точки зрения применения они практически бесполезны. Просто очередной пиар ход и галочка в whats new, все это чтобы срубить побольше бабла на пользователях.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

pushick пишет:
Например, drive crypt pack отсутствует не только у нас, но и у всех, у кого мы можем провести тест.
Проблема там состоит в том, что он не может прочитать файлы с системного напрямую (т.к. читает ниже фильтра drive crypt и получает зашифрованые данные), и выдает ошибку при запуске. К слову, прошлая версия запускается нормально. Решение тут простое - при невозможности raw чтения надо переключаться на обычное.

| Сообщение посчитали полезным:

Sly Ass пишет:
К слову, прошлая версия запускается нормально.

Если это 3.20 то понятно почему, если более старшие версии то как-то странно.

Что касается drive crypt то мы добавим команду в консоль, чтобы можно было переключить с disk.sys на обычный режим через api. Спасибо за тест.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Shad0vv пишет:
если есть средства\кваликация для создания руткитов, то должны быть и для создания антируткитов.
Для написания руткита может хватить квалификации "пользователь гугла". Типичная малвара имеет один (реже несколько) векторов атаки, что сильно упрощает задачу - достаточно найти маленькую дырочку. Защита же требуется от множества атак, учесть их все сложно (до сих пор практика показывает, что не реально); добавление новых фич может потребовать не просто написать пару функций, а пересмотра архитектуры. А что касается средств... перефразируя одного известного персонажа: "если вы такие богатые, то где же "3е упаковщики"? ;)

| Сообщение посчитали полезным:

[дубль]

| Сообщение посчитали полезным:

Встретил. Может кто уже смотрел?

www.proactive-hips.com/
www.proactive-hips.com/history.php
proactive-hips.com/demonstration/
www.proactive-hips.com/diffedition.php

ProSecurity Version 1.30 Trial Time: 30 Days
www.proactive-hips.com/download/pssetup.exe
ProSecurity Version 1.30 Free Edition
www.proactive-hips.com/download/pssetup_free.exe

ProSecurity Version 1.40 Public Beta 2
What's new? [July 30, 2007]
1. [NEW] Windows Vista x86 is supported except the network protection function.
2. [FIX] The warning box can't keep top most on Windows 2003.
3. [FIX] Several BSOD bugs of v1.40 beta1 fixed.
4. [FIX] Other small bugs fixed.
www.proactive-hips.com/download/pssetup_140pb2.exe

| Сообщение посчитали полезным:

ProSecurity - так это же хипс, не антируткит

Тогда добавим в список System Safety Monitor, DefenseWall, AntiHook3, Process Guard, SnS.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Какой ты вредный.
Тема не по профилю форума, к пакерам и крипторам отношения не имеет.
А подфорума или ветки форума по кернел-программингу, исследованию драйверов
нет. Приходится вот "родственников-ядерщиков" в один топик складывать.

| Сообщение посчитали полезным:

pushick, среди хипсов сейчас что-нибудь лучше SnS есть?

| Сообщение посчитали полезным:

DefenseWall - насколько я знаю не хуже

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Gideon Vi

ProSecurity единственная хипса не завалившая недавний мегатест с реальными малварами. Sns и DefenseWall не участвовали, но DW 100% завалилась бы также. После этого аффтары пофиксили щели и вроде нынешний SSM уже на уровне всего остальное. ИМХО ставить хипс - гробить тачку.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

мож кому интересно глянуть нынешнее состояние

Topic: Actual 2009 Antirootkits
forum.sysinternals.com/forum_posts.asp?TID=20007
ну и до кучи
avaxhome.ws/software/software_type/security/Antiviruses/TorchSoft_Malware_Defender_2_3_3.html

| Сообщение посчитали полезным:

Вот у меня стоит AVZ. Хочу спросить - насколько он стабилен вообще и особенно - в режиме AVZ Guard для поиска руткитов. То есть не возникали ли у кого бсоды, проблемы, несовместимости. Только чтобы не нарушать хорошую беседу - шлите сообщения в личку.
P.S. Насчет того что Guard - не рабочий режим знаю.

| Сообщение посчитали полезным:

что-нибудь на подобии rku под семерку есть?

| Сообщение посчитали полезным:

Gideon Vi, вчера вышел RkU v3.8 LE build 380/580 Service Release 1

mportant:
This version doesn't contains significant detection improvements / innovations
It's service release targeting mostly support of the new Microsoft NT versions.

added: Windows 7 build 7600 (RTM) support
added: Windows Vista SP2 support
added: Window Hooks viewer (as promised to Twister in old 2008)
added: more callback types to explore / remove
updated: all build up with latest UG North RTL's
fixed: compatibility issue with VX/VX+ versions
fixed: drivers scanning for Vista SP1 / 2008
fixed: devices scanning for Vista SP1 / 2008
fixed: objects parsing for Vista SP1 / 2008
fixed: HAL related constant false positives
fixed: affect on program while some system unauthorized modification
fixed: Windows 2000 multiprocessor cores incompatibilities
fixed: Windows 2000 kernel routines bug
and some more stuff not listed in final release changelog

D/L (~403 Kb)
www.rootkit.com/vault/DiabloNova/RkU3.8.380.580.rar

Russian locals
www.rootkit.com/vault/DiabloNova/3.8.380.580_local_rus.rar

Resource locals
www.rootkit.com/vault/DiabloNova/3.8.380.580_2local.rar

| Сообщение посчитали полезным:

sER пишет:
вчера вышел RkU v3.8 LE
а не LE версии нету?

| Сообщение посчитали полезным:

> вышел RkU v3.8 LE build 380/580 Service Release 1
Оно ничего кроме тупых спласов и тп., жёсткой модификации не детектит, говно короче .

| Сообщение посчитали полезным:

Clerk пишет:
Оно ничего кроме тупых спласов и тп., жёсткой модификации не детектит, говно короче

Посоветуй что-нибудь в качестве полноценной замены, а то иногда есть необходимость в подобном инструменте.

| Сообщение посчитали полезным:

офф: не помню уже где, читал както сравнение руткит детекторов, дык там рку всех сделал....

| Сообщение посчитали полезным:

sendersu пишет:
офф: не помню уже где, читал както сравнение руткит детекторов, дык там рку всех сделал....
ну да. Ту статью писал один из авторов сабжа

| Сообщение посчитали полезным:

kioresk
Нет альтернативы на паблике, может приватные тулзы и есть, Но очень маловероятно. Вручную искать нужно.

| Сообщение посчитали полезным:

sER пишет:
вчера вышел RkU v3.8 LE build 380/580 Service Release 1

отлично, теперь хоть есть чем "тупые сплайсы" смотреть. Спасибо за новость

| Сообщение посчитали полезным:

заскочил тут на сайт один - давно там не был
в идее наверно интересно глянуть пару ссылок
www.anti-malware.ru/forum/showtopic=2918&view=findpos t&p=58369
www.esagelab.ru/resources.php?n=3
и до кучи
avaxhome.ws/ebooks/programming_development/general/fuzzy_genetic/1596932147Fuzzing.html

| Сообщение посчитали полезным:

sER ты где его нашел?
на более-менее официальной странице последняя версия - LE v3.8.342.554
http://rootkit.com/newsread.php?newsid=902

| Сообщение посчитали полезным: