-
RAIDE (Rootkit Analysis IDentification Elimination)
RAIDE (Rootkit Analysis IDentification Elimination)
Целью проекта является создание универсального средства борьбы с rootkit, а основным методом – так называемая «перекомпоновка», делающая видимыми все скрытые объекты. К примеру, известная rootkit-программа FU прячет свои процессы с помощью DKOM (Direct Kernel Object Manipulation), т. е. путем модификации кода ядра, отвечающего за учет использования системных ресурсов и аудит. RAIDE же выполняет обратные действия, после чего любое антивирусное ПО свободно вычислит и удалит соответствующие файлы.
Информация
http://www.uninformed.org/?v=3&a=7&t=txt
http://www.rootkit.com/vault/petersilberman/Komoku.ppt
Download
http://www.rootkit.com/vault/petersi...IDE_BETA_1.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Full Member
- Вес репутации
- 64
Дохлый проект (ИМХО), являющийся универсальным бсодогенератором (факт). Уйти от обнаружения такой тулзой - десять минут ненапряженной работы. Современные ядерные руткиты этой тулзе в принципе не по зубам. Универсальный метод борьбы с руткитами - bootable CD (для нтфс) или дискетка (для фат32) + набор дисковых утилит + мозги и прямые руки.
Ring0 - the source of inspiration
-
Есть несколько интересных идей, однако реализация сильно страдает. Из-за бсодов программа почти неработоспособна. Кроме того, проект так и застрял на уровне 1-й беты, впрочем с тех пор и про его основного автора, Питера Зильбермана, не слышно почти ничего.
PS. Кстати (я вижу, тут не все в курсе), Джейми Батлер уже не работает в Komoku Inc - говорят, его поперли оттуда... =)
-
-
Сообщение от
EvilPhantasy
Универсальный метод борьбы с руткитами - bootable CD (для нтфс) или дискетка (для фат32) + набор дисковых утилит + мозги и прямые руки.
Было бы здорово , если бы вы поделились опытом и начертали статейку другую на эту тему . Kакие тулзы использовать , (желательно с ссылками на них), на что обращать внимание , с скриншотами было бы супер . Я что-то не видел в последние время подробных статеек на эту тему . Только каждый норовит сделать свой супер-antirootkit в основном с одной кнопкой "scan" .
-
-
Кстати, помните был такой проект - ADinf ?
Он типа был крут тем, что обращался напрямую к драйверу диска при чтении файловой системы.
По отношению к современным руткитам он как - тоже .... будет, со своим этим драйвером диска?
Последний раз редактировалось anton_dr; 20.02.2007 в 09:12.
-
Full Member
- Вес репутации
- 64
@Flooter
Во-первых ADinf имеет несколько режимов работы под разные винды. Так как w9x неактуальна с 2000 года, про неё мы молчим. А в нт, ADinf разбирает файловую систему через UserMode, что есть устаревший подход и к текущему времени просто ламерство. Альтернативные потоки NTFS Adinf не знает и не сканирует. Все остальное реализовано очень медленно, что было приелимо лишь в 2000 году, когда размер дисков ограничивался не воображением.
@drongo
Смысла писать какие-либо мануалы я не вижу никакого, поскольку их все равно почти никто читать не будет, а те кто и прочитают ещё двадцать пять раз спросят про особенности того или иного действия. На этом же или похожем форумах. АВ-компании могут сколько угодно лепить свои так называемые антируткиты, вот скоро и Касперский наверняка что-нибудь выкинет.
Ring0 - the source of inspiration
-
Сообщение от
EvilPhantasy
@drongo
Смысла писать какие-либо мануалы я не вижу никакого, поскольку их все равно почти никто читать не будет, а те кто и прочитают ещё двадцать пять раз спросят про особенности того или иного действия. На этом же или похожем форумах. АВ-компании могут сколько угодно лепить свои так называемые антируткиты, вот скоро и Касперский наверняка что-нибудь выкинет.
Хорошо сделанная статья с скринами очень помогает раскрутке как сайта , так и самого автора . Тем самым делает популярней программы над которыми работает автор.
Заставлять я не вправе , однако читать будут . У нас целый раздел есть А если не хотите у нас , можете хоть на вашем сайте . А вопросы скорее будут , тут уж ничего не поделаешь .Тема популярная в последнее время .Ручной поиск всегда интересней и может выявить зверей неизвестных на данный момент антируткиту .Хотел бы поучиться у знающего человека на этом поприще войны руткитов-антируткитов как это делать специальными утилитами , без помощи антируткитов , как таковых .
-