Показано с 1 по 7 из 7.

Мифы о 7-ми популярных антируткитах, или как поймать невидимку

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

    Мифы о 7-ми популярных антируткитах, или как поймать невидимку

    Авторы: Денис Шавровский, Юрий Ромащенко (Product Manager) - специалисты компании S.N Safe&Software Ltd.
    http://www.safensoft.ru/ S.N Safe&Software Ltd.
    Altufievskoe shosse 5/2
    127106, Moscow, Russia
    Tel. +7(495) 967-1451
    Fax. +7(495) 967-1452

    Видимый нами мир мы познаем благодаря четырем фундаментальным видам взаимодействия элементарных частиц, которые классифицированы учеными-физиками и названы сильным, электромагнитным, слабым и гравитационным взаимодействием. Это фундамент, на котором базируется наше представление о мире, и к функционированию которого, в конечном счете, сводится работа всех наших органов чувств
    Теперь представьте на мгновенье, что существует мир, такой же насыщенный и состоящий из множества частиц, подобно нашему, но эти частицы никак не взаимодействуют с нашим миром классическими видами взаимодействий, - этот мир мы никогда не увидим, и никогда не сможем доказать или опровергнуть его существование. Именно поэтому гипотезы о параллельных мирах живут лишь в фантазиях некоторых ученых, которые ломают головы в поисках еще неизведанных тайн вселенной... Какое это имеет отношение к этой статье? А самое непосредственное, поскольку речь здесь пойдет о невидимом мире, мире rootkit, который может существовать параллельно с тем, который мы видим ежедневно, сидя у монитора. Также рассмотрим, способны ли современные программы, призвание которых - борьба с rootkit, противостоять этой невидимости в мире ПК......

    Меня больше заитересовало ихнее мнение об АВЗ:
    AVZ, антивирус Зайцева

    По словам разработчиков, программа способна выявлять перехватчики режима ядра и пользовательского режима. AVZ действительно способен находить перехватчики API функций, однако неискушенный пользователь не знает, что существует множество способов этого самого перехвата. Стоит напомнить, что для перехвата может осуществляться модификация таблиц IAT/EAT, перезапись кода функции системной библиотеки в ее начале (сплайсинг), производиться модификация системных таблиц SSDT, IDT; rootkit может перезаписывать также код системных сервисов режима ядра, вписывая в их начало команду безусловного перехода на собственный обработчик, кроме того может устанавливаться брейкпоинт (опкод CC) в начало перехватываемой функции с перенаправлением отладочного прерывания int 3 на собственный обработчик. Для перехвата могут также использоваться отладочные DRx регистры процессора. Из всех вышеперечисленных методик AVZ определяет только те, которые чаще всего используют легитимные приложения (антивирусы, firewall и др.), например, перехват через SSDT легко обнаружить, поэтому современный rootkit врядли воспользуется этой техникой. В тоже время такой перехват осуществляет множество программного обеспечения – от драйверов эмуляторов типа Alcohol 120% до антивирусов и HIPS, например, Kaspersky Internet Security 2006, проактивная система защиты Safe’n’Sec®. AVZ не обнаружит перехват, использующий отладочные регистры, или перезапись в режиме ядра кода системного сервиса. Следовательно, программа только запутает пользователя, указывая на перехват системных функций, осуществленный легитимными приложениями.

    Я думаю Олегу будет интересно, привести свои аргументы данным авторам. Лично на мой взляд продукт Safe’n’Sec в части проактивной защиты гораздо ниже, чем к примеру касперский,DefenseWall HIPS или ZA 6, на взгляд наших хелперов ...В общем неплохо для первой версии, но обеспечить достойную защиту от неизвестных вирусов пока не в состоянии, пока пригодна только для поднятия тревоги на опасную активность.( как там дела у следующих версий неизвсестно). Лично я бы себе Safe’n’Sec не поставил, существуют более достойные и продвинутые продукты.(где-то Олег Зайцев писал, что "защита" S'n'S сносится прожкой, написанной им за пять минут)
    Полностью статья http://www.izcity.com/data/security/article1343.htm

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Статью писали кулики с болота Safe’n’Sec, их в общем можно понять - люди свою зарплату отрабатывают.
    Неоднократно проверял работу AVZ. Она видит не только перехваты легальных программ, как утверждают авторы.
    Вот перехваты свежайшего и как бы не самого простого трояна - Trojan.PWS.GoldSpy. Из лога AVZ:
    ----------------------------------------------------------
    1.2 Searching for kernel-mode API hooks
    Driver is successfully loaded
    SDT found (RVA=082B80)
    Kernel ntoskrnl.exe located in the memory at the address 804D7000
    SDT = 80559B80
    KiST = 804E2D20 (284)
    Function ZwCreateProcess (2F) intercepted (805B3543->F9FDBAE1), hook
    C:\WINDOWS\system32\fanxctrld.sys
    Function ZwCreateProcessEx (30) intercepted (805885D3->F9FDB3A0), hook
    C:\WINDOWS\system32\fanxctrld.sys
    Function ZwQueryDirectoryFile (91) intercepted (80574DAD->F9FDB29D), hook
    C:\WINDOWS\system32\fanxctrld.sys
    Functions checked: 284, intercepted: 3, restored: 0
    2. Scanning the memory
    Processes found: 20
    Modules loaded: 223
    Memory check completed
    3. Scanning disks
    4. Checking Winsock Layered Service Provider (SPI/LSP)
    LSP settings checked. No errors have been detected
    5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
    C:\WINDOWS\system32\fanxctrl.dll --> Suspicion for a Keylogger or Trojan DLL
    C:\WINDOWS\system32\fanxctrl.dll>>> Behavioral analysis:
    Typical for keyloggers behaviour is not registered
    ----------------------------------------------------------

    Это проверка дроппера:
    Complete scanning result of "get.php_file_exe", received in VirusTotal at
    08.26.2006,
    14:35:31 (CET).

    Antivirus Version Update Result
    AntiVir 6.35.1.3 08.26.2006 HEUR/Malware.Crypted.PSM
    Authentium 4.93.8 08.25.2006 W32/Dropper.gen2
    Avast 4.7.844.0 08.24.2006 no virus found
    AVG 386 08.25.2006 no virus found
    BitDefender 7.2 08.26.2006
    Dropped:Generic.Malware.SFYdlwdld.0F984700
    CAT-QuickHeal 8.00 08.26.2006 (Suspicious) - DNAScan
    ClamAV devel-20060426 08.26.2006 no virus found
    DrWeb 4.33 08.26.2006 Trojan.PWS.GoldSpy
    eTrust-InoculateIT 23.72.107 08.25.2006 no virus found
    eTrust-Vet 30.3.3039 08.25.2006 Win32/ProcHide!generic
    Ewido 4.0 08.25.2006 Logger.Goldun.lk
    Fortinet 2.77.0.0 08.25.2006 suspicious
    F-Prot 3.16f 08.25.2006 W32/Dropper.gen2
    F-Prot4 4.2.1.29 08.26.2006 W32/Dropper.gen2
    Ikarus 0.2.65.0 08.25.2006 no virus found
    Kaspersky 4.0.2.24 08.26.2006 no virus found
    McAfee 4838 08.25.2006 no virus found
    Microsoft 1.1560 08.26.2006 no virus found
    NOD32v2 1.1724 08.24.2006 a variant of Win32/Spy.Goldun.HP
    Norman 5.90.23 08.25.2006 Suspicious_F.gen
    Panda 9.0.0.4 08.25.2006 Suspicious file
    Sophos 4.08.0 08.26.2006 no virus found
    Symantec 8.0 08.26.2006 no virus found
    TheHacker 5.9.8.200 08.25.2006 no virus found
    UNA 1.83 08.26.2006 no virus found
    VBA32 3.11.1 08.25.2006 suspected of Rootkit.Agent.10
    VirusBuster 4.3.7:9 08.25.2006 no virus found

    Aditional Information
    File size: 25801 bytes
    MD5: 11d0b155b11baee6038ca460665a8664
    SHA1: af1f288aac0c16c885d56f58e04191068ea337f2
    packers: FSG
    packers: FSG

    Hовые файлы
    C:\WINDOWS\uxnr.exe
    C:\WINDOWS\system32\fanxctrl.dll
    C:\WINDOWS\system32\fanxctrld.sys

    Естественно, файлы не видны. Видят ревизор адинф (все три) и AVZ.

    Записи в реестре:
    Сервисом:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FANXCTRLD]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FANXCTRLD\0000]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FANXCTRLD\0000\Co
    ntrol]
    "ActiveService"="fanxctrld"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FANXCTRLD\0000]
    "Service"="fanxctrld"
    "Legacy"=dword:00000001
    "ConfigFlags"=dword:00000000
    "Class"="LegacyDriver"
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    "DeviceDesc"="OPENGL technology access"
    "Capabilities"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FANXCTRLD]
    "NextInstance"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fanxctrld]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fanxctrld\Security]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fanxctrld\Enum]
    "0"="Root\\LEGACY_FANXCTRLD\\0000"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fanxctrld\Security]
    "Security"=hex(3):01,00,14,80,90,00,00,00,9C,00,00 ,00,14,00,00,00,30,00,00,00,0
    2,\
    00,1C,00,01,00,00,00,02,80,14,00,FF,01,0F,00,01,01 ,00,00,00,00,00,01,00,00,00,\

    00,02,00,60,00,04,00,00,00,00,00,14,00,FD,01,02,00 ,01,01,00,00,00,00,00,05,12,\

    00,00,00,00,00,18,00,FF,01,0F,00,01,02,00,00,00,00 ,00,05,20,00,00,00,20,02,00,\

    00,00,00,14,00,8D,01,02,00,01,01,00,00,00,00,00,05 ,0B,00,00,00,00,00,18,00,FD,\

    01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02 ,00,00,01,01,00,00,00,00,00,\

    05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fanxctrld]
    "Type"=dword:00000001
    "Start"=dword:00000001
    "ErrorControl"=dword:00000000
    "ImagePath"="\\??\\C:\\WINDOWS\\system32\\fanxctrl d.sys"
    "DisplayName"="OPENGL technology access"

    и нотифайером:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    NT\CurrentVersion\Winlogon\Notify\fanxctrl]
    "DllName"=hex(2):66,61,6e,78,63,74,72,6c,2e,64,6c, 6c,00
    "Startup"="fanxctrl"
    "Impersonate"=dword:00000001
    "Asynchronous"=dword:00000001
    "MaxWait"=dword:00000001
    "nk48id"="[1A2851615FADBF074]"

    и виндовому проводнику можно ходить в интернет.
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\F
    irewallPolicy\StandardProfile\AuthorizedApplicatio ns\List]
    "C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer .EXE:*:Enabled:explorer"

  4. #3
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Все верно отписали, впрочем, ничего нового из статьи не почерпнул =)

  5. #4
    Junior Member Репутация
    Регистрация
    18.04.2006
    Адрес
    Москва
    Сообщений
    24
    Вес репутации
    66
    Оффтоп. Обсуждение подобных вещей уже напоминает схоластические споры в средние века о толковании библии ...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Кстати, о религии
    Поскольку всё равно оффтоп...

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Ну, то, что предохраняться завсегда лучше, чем потом лечиться- это факт, с которым, думаю, никто спорить не будет. С другой стороны, естественно, есть куча народа, которому надо лечиться, и как сможно скорее.

    Статья же, по сути, достаточно примитивна и рассчитана на новичков. Я, например, ничего полезного там не вычитал. Кроме того, нужно понимать, что антируткит в AVZ предназначен не сколько для детектирования руткитов (а большинство анти-руткитов только детектируют наличие зверька!), сколько для очистки от них системы -а тут уже своя специфика. Например, то, что очень плохо для Rootkit Revealer и иже с ними (а снятие режима невидимости для его процесса полностью убивает детект руткита), для AVZ- манна небесная.
    http://www.softsphere.com - DefenseWall, DefencePlus

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    я сегодня наконец дочитал статью - мох с болота ... но раз всеравно офтоп, то мое мнение примерно таково - авторы не совсем точно понимают, что такое руткит ... и еще менее точно - что такое антируткит. Если по порядку:
    1. AVZ - это не антивирус, как у них написано, и не антируткит ... странно, что далее они описывают разные виды перехвата (...однако неискушенный пользователь не знает, что существует множество способов этого самого перехвата ...) - из перечисленного списка AVZ все их детектирует и нейтрализует, кроме модификации таблицы прерываний, SysEnter (его нет у них в списке) и применения отладочных регистров. Первые два (детект и нейтрализацию) я введу в 4.20, хотя это увеличит размер лога - реальных зверей на это основе пока нет. Что до отладочных регистров - я пока не видел реального "зверя" на основе аппаратных точек останова. Отладка с помощью вектора int 3 - это по сути своей модификация машинного кода (запись кода CC = int 3h) вместо первого байта заданной машинной команды.
    2. дальше под раздачу попал Process hunter by Ms-Rem Это, равно как и AVZ, не антируткит, а пример, демонстрирующий изложенные автором теоретические методики поиска скрытых процессов. Меня насмешила фраза "Cкрыть процесс от Process hunter очень сложно, но нужно ли это? На самом деле, в последнее время rootkit не создают своего собственного процесса..." Ну называется же программа Process hunter (Охотник на процессы) - какая взаимосвязь PH и библиотек - неясно ..., это же не DLL hunter ...
    3. По поводу SVV почему-то не указано, что равно как и AVZ эта программа реагирует на любое изменение и перехват, независимо от того, антивирус это или зловред ... хотя в описании AVZ это у них дважды подчеркнуто как "особенность, вводящая в заблуждение пользователя"
    4. В описании RootkitRevealer на оф. сайте описано назначение и ограничение программы - там в первой фразе написано note: RootkitRevealer is not intended to detect rootkits like Fu that don't attempt to hide their files or registry keys ... меж тем автор пишет "RootkitRevealer отображает только скрытые файлы и ключи реестра" - спрашивается, а что еще должен отображать RootkitRevealer, если это - искатель маскируемых файлов и ключей реестра.

    По поводу возможности руткита не маскироваться от определенных программ - для AVZ это действительно плюс - тогда программу легко увидеть и удалить или закарантинить. Но современные руткиты чаще делают не так - они блокируют работу антируткита ... так, например, поступают свежие версии Haxdoor, который восстанавливает перехваты и блокирует загрузку драйверов типа avz.sys

Похожие темы

  1. Халява в Интернет - мифы и реальность
    От Зайцев Олег в разделе Спам и мошенничество в сети
    Ответов: 100
    Последнее сообщение: 11.11.2011, 16:23
  2. Мифы и реальности
    От SDA в разделе Mac OS
    Ответов: 0
    Последнее сообщение: 02.09.2009, 12:15
  3. security: Разоблачая Мифы
    От SDA в разделе Сетевые атаки
    Ответов: 0
    Последнее сообщение: 20.11.2005, 13:07

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00678 seconds with 19 queries