На сайте разработчиков антивирусной программы "ВирусБлокАда" выложена прога для детектирования руткитов и файлов, которые скрываются. кому интересно, посмотрите плз. ну и замечания, пожелания...
http://anti-virus.by/download_files/antikit.zip
На сайте разработчиков антивирусной программы "ВирусБлокАда" выложена прога для детектирования руткитов и файлов, которые скрываются. кому интересно, посмотрите плз. ну и замечания, пожелания...
http://anti-virus.by/download_files/antikit.zip
Во-первых, хотелось бы немного подробнее узнать про принцип работы.
Во-вторых, неплохо было бы добавить возможность удаления скрытых файлов, т.к. обычными методами их не удалить.
Принцип работы простой: программа умеет детектировать наличие драйвера rootkit'а и работать с файлами в обход этого драйвера. Далее обходятся все диски и любой файл, который невозможно найти в системе "обычным способом", но который виден при работе с файлами в обход rootkit'а, является явно подозрительным и программа выводит список таких файлов в конце работы.Сообщение от Geser
Понятно. Но рубить шашкой направо и налево, наверное, не стоит. Система ведь многозадачная и между проведением тестов доступа к файлу разными методами, теоретически посторонние программы могут сами работать с файлами и вносить изменения в файловую систему, эти изменения могут быть ошибочно истолкованы, как маскировка файла с помощью rootkit'а. Устроит запрос с подтверждением удаления для каждого конкретного файла?Во-вторых, неплохо было бы добавить возможность удаления скрытых файлов, т.к. обычными методами их не удалить.
Еще, думаю, интересно было бы собирать такие файлы для отправки их на анализ антивирусным компаниям
Если это не коммерческая тайна было бы интересно как именно обнаруживается драйвер руткита.Сообщение от serge
Является ли алгоритм универсальным, или работает только с определённым семейством руткитов.
Угу, запрос на каждый файл это хорошо.Понятно. Но рубить шашкой направо и налево, наверное, не стоит. Система ведь многозадачная и между проведением тестов доступа к файлу разными методами, теоретически посторонние программы могут сами работать с файлами и вносить изменения в файловую систему, эти изменения могут быть ошибочно истолкованы, как маскировка файла с помощью rootkit'а. Устроит запрос с подтверждением удаления для каждого конкретного файла?
Лучше даже не удалять, а переносить, и писать лог какой файл откуда взят. А для файлов которые используются системой и не могут быть удалены сделать возможность удаления после перегрузки.
А если ещё GUI и карантин, то вообще цены бы не было програмке
если возможно , сделайте пожалуйста поддержку для мамонтов которые на 98 se ;D
каких "мамонтов"? напиши подробнее. это компы, на которых установлена 98я?Сообщение от drongo
ага , говорит выполнила что-то не хорошее и обратитесь к разработчику
вообще на 98 руткиты не живут, т.е. прога вообще ничего не должна делать. мы у себя тестировали, сейчас ещё раз посмотрим...Сообщение от drongo
алгоритмы сейчас переносятся в официальный релиз Vba32, т.е. к следующей версии клиенты будут этим пользоваться и с ГУИ, и с перезагрузкой. пока же этот проект (прога, которую сейчас обсуждаем) дальше консоли вряд ли уйдётСообщение от Geser
есть ещё одна прога http://anti-virus.by/download_files/regtool.zip вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает
если руткиты в принципе на 98 не живут , то подобные программы не нужны вовсе .
спасибо за разъяснение .
да , если вдруг надо содержание ошибки то вот :
Программа ANTIKIT вызвала сбой при обращении к странице памяти
в модуле ANTIKIT.EXE по адресу 018f:005213b5.
Регистры:
EAX=00000000 CS=018f EIP=005213b5 EFLGS=00010246
EBX=00675014 SS=0197 ESP=0064fc1c EBP=0064fe28
ECX=00675034 DS=0197 ESI=00660000 FS=3f27
EDX=00000000 ES=0197 EDI=bff70000 GS=0000
Байты по адресу CS:EIP:
8b 58 0c 89 5d 90 8b 53 18 3b 55 b0 0f 84 9c 00
Содержимое стека:
8196774c 00521636 00540000 00000001 fff94747 00004550 0003014c 4159624b 00000000 00000000 010f00e0 0a07010b 00007000 00001000 0000d000 000147f0
Когда будет внутри антивируса это будет крутоСообщение от Dr
А консольную версию всеравно лучше хоть немного довести до ума в рекламных целях
спасибо, но оказалось, что это не наша ошибка, а пакера -- он под 9х просто не живётСообщение от drongo
Отсюда вывод - пользуйтесь 98 как я - и никаких проблем с руткитамиСообщение от Dr
Да и с вирусами на Win98 особых проблем нет, т.к. они сейчас большой частью под ХР пишутся (вспомнить хотя бы нашумевшие Blaster и Sasser).
Интересная утилиткаСообщение от Dr
Теперь осталось понять для чего её можно использовать
приходишь на чужой комп, запускаешь, сгребаешь этот каталог. у тебя файлы, которые в автозагрузке вместе с логом проверкиСообщение от Geser
ЯсноСообщение от Dr
А сделатрь утилитку которая даст список процессов вместе с относящимися к ним dll как adaware слабо?Сообщение от Dr
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 928
ThreadCreationTime : 9-29-2004 10:13:42 AM
BasePriority : Normal
Scanning Module:\SystemRoot\System32\smss.exe...
Scanning Module:F:\WINDOWS\system32\ntdll.dll...
#:2 [csrss.exe]
FilePath : \??\F:\WINDOWS\system32\
ProcessID : 1064
ThreadCreationTime : 9-29-2004 10:13:56 AM
BasePriority : Normal
Scanning Module:\??\F:\WINDOWS\system32\csrss.exe...
Scanning Module:F:\WINDOWS\system32\CSRSRV.dll...
Scanning Module:F:\WINDOWS\system32\basesrv.dll...
Scanning Module:F:\WINDOWS\system32\winsrv.dll...
Scanning Module:F:\WINDOWS\system32\USER32.dll...
Scanning Module:F:\WINDOWS\system32\KERNEL32.dll...
Scanning Module:F:\WINDOWS\system32\GDI32.dll...
Scanning Module:F:\WINDOWS\system32\LPK.DLL...
Scanning Module:F:\WINDOWS\system32\USP10.dll...
Scanning Module:F:\WINDOWS\system32\msvcrt.dll...
Scanning Module:F:\WINDOWS\system32\ADVAPI32.dll...
Scanning Module:F:\WINDOWS\system32\RPCRT4.dll...
Scanning Module:F:\WINDOWS\system32\sxs.dll...
Scanning Module:F:\WINDOWS\system32\Apphelp.dll...
Scanning Module:F:\WINDOWS\system32\VERSION.dll...
жёстко... из реестра? некоторые вири пользуются старым добрым startupом.Сообщение от Dr
а как же BHO?
Кто сказал что в вин 9х не существует рут китов.... еще как существуют