# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Антируткиты  >  Gmer

## HATTIFNATTOR

Польская утилита предназначенная для поиска и удаления rootkit'ов.
Помимо обнаружения скрытых процессов, файлов, сервисов, ключей реестра и т.д. обладает встроенными средствами мониторинга, - может отслеживать создание процессов, ключей реестра, загрузку драйверов, dll и т.д. Текущая версия 1.0.11.

 *Загрузить*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## EvilPhantasy

Сайт Пржемуслава убит нашими согражданами, но программу можно найти на куче файло-помоек. 

Интересные фишки "продукта" Гмерека:

1. При запуске на MS ВМ, если много и прозаично тыкать в программу (а иногда и без этого) она может с 70% вероятностью намертво зависнуть. Поможет только ресет.
2. Иногда считает сама себя скрытым процессом.
3. С хакдефом на борту при убийстве процесса хакдефа у гмера начинается нескончаемый хандл-леак, по несколько десятков в секунду.
4. Бсодит с INVALID_PROCESS_ATTACH_ATTEMPT, если процесс неожиданно выходит на старте винды.
5. Инлайн хуки выглядят очень интересно, в частности обнаружены страшные хуки инструкцией nop, хуки с length 1 байт, хуки в KiDispatchInterrupt + 9 кб (функция давно кончилась). При сканировании сразу после старта винды ГМЕР сходит с ума и начинает выводить мегатонны ложных обнаружений в лог. Это связано с тем, что творчество Пржемуслава пытается просканировать вышедший userinit.exe и, очевидно, слетает с катушек. Сам автор признал сие недоразумение. Впрочем, сейчас он больше занят проблемами ддоса своего сайтика и его зеркал.
6. Часто бсодит при сканировании дисков и реестра на чистой винде.
7. Функции мониторинга реализованы черезж. Ради эксперимента можете попробовать на ВМ, если удастся загрузиться после старта такого мониторинга мои 286 поздравлений.
8. Пржемуслав любитель констант, детект некоторых руткитов у него забит через константные значения (: Например badrkdemo детектится по константе ObOpenObjectByName (((:

----------


## aintrust

> Сайт Пржемуслава убит *нашими согражданами*
> ...


А откуда информация, если не секрет, можно узнать источник?  :Wink:  

Вообще, тот факт, что сайт и его зеркала кто-то ддосит, может значить лишь одно - прога реально достала сообщество "кул-хацкеров", что, в принципе, может косвенно говорить о ее качестве в некоторых аспектах. 

По поводу остального: утилита довольно интересная, хотя и не беспроблемная (в смысле BSOD-ов). Юзать и юзать, в общем. Если бсодит - писать автору. Главное, чтобы Пржемуслав не останавливался на достигнутом...  :Stick Out Tongue:

----------


## EvilPhantasy

> А откуда информация, если не секрет, можно узнать источник?


От друзей друзей (: Проблема не в софте, а в товарище Пржемуславе, который очень не лестно выражался кое в чей адрес, неприкрыто тырил код (наш, кстати, тоже =) ) ну и, соответственно, получил. У них есть целая ветка с тучей постов на malware research форуме (основное место обитания Пржемуслава), где обиженные хостеры Гмерика жалуются на ддос.

Да на самом деле тулза у него полное г. Никаких проблем никому она в принципе создать не в состоянии (ну кроме бсодов у юзеров). Ядерные руткиты она детектит только по ключам (и то если есть информация о них). Детект файлов заключается в непосредственной отсылке IRP драйверу диска, реализовано это глючно и бсодолюбиво. Файлы он удаляет через API, что очень часто дает 0xC0000022, 0xC0000033. Хуки GMER детектить не умеет (ну кроме SSDT), потому что, то что выдается юзеру во время скана на 95% ложные срабатывания. Тип хуков и адрес обработчика определять GMER почти не умеет. Достаточно использовать push/ret и тулза уже не знает, что захукало. Детект процессов слизан подчистую (и так же криво) с Ms-Rem'овского Process Hunter. Поэтому ГМЕР и не работает нормально под Win2003. Драйверы детектировать эта программа в принципе не умеет (по ходу он побоялся слизать с DarkSpy, поскольку во время появления китайского детектора к товарищу уже возникали вопросы), интерфейс напоминает пародию на "лучшие" образчики программ под Windows 98. Средства "мониторинга", встроенные в программу представляют серьезную опасность для тех, кто вдруг по тем или иным причинам, решит их использовать.

----------


## fp_post

to *EvilPhantasy:*
судя по высказываниям, вы прям фанат его творчества.  :Smiley:  
А за что такое обожание, за "неприкрыто тырил код"?
(к слову, код или подходы к тем или иным вещам?)

----------


## EvilPhantasy

Я также фанат творчества Pjf'a (за флуд на мой ящик), Miel и DarkSpy Security Group (у нас с ними были разногласия) в лице cardmagic'a лично (:

о Гмереке (это его имя если что)
Вопрос интересный. Скажем так, попробуйте пообщаться с этим типом (:

Тырить он любит код - restoring SSDT, phide_ex детект, методы из Process Hunter (слизан PspCidTable я думаю), безо всякого упоминания о авторах. Сплавляет все руткиты с rootkit.com Касперскому (будто то бы они сами не могут зайти туда), бегает на задних лапках перед всеми антивирусными компаниями. Вот только один пример его поведения, перед эпохой ддоса его сайта он якобы намалевал мега руткит, который скрывает свой файл от всех руткит-сканеров. Польский гений видимо считает, что аттач к девайсам с последующей фильтрацией IRP до него никто не реализовал (= Так вот, на логичные пожелания протестировать его руткит не на его компе (можете поискать ветку на wilderssecurity.com - gmer test rootkit), он зажался и заявил, что его великий руткит будет доступен только вендорам AV компаний. Он не сказал, но видимо за деньги. Как будто этот руткит им нужен ((((: Технология, если этот супер руткит действительно существует, стырена с fhide, опубликованного на rootkit.com PE386 (без всяких ограничений), только вместо хуков Гмерек аттачнулся к девайсу диска, либо что-то новое, но это мне видится таким же вероятным как жизнь на Луне.

----------


## aintrust

Был


> У них есть целая ветка с тучей постов на malware research форуме (основное место обитания Пржемуслава), где обиженные хостеры Гмерика жалуются на ддос.


Это на malware-research.co.uk? А там есть что-нибудь полезное, т.е. есть ли вообще какой-либо смысл там зарегистрироваться - а то, насколько мне помнится, форум был закрытым, а "проситься" к ним, не зная, чего там ожидать, ей-богу, как-то влом... =) 




> Технология, если этот супер руткит действительно существует, стырена с fhide, опубликованного на rootkit.com PE386 (без всяких ограничений), только вместо хуков Гмерек аттачнулся к девайсу диска, либо что-то новое, но это мне видится таким же вероятным как жизнь на Луне.


Да уж... =) _PE386_ там так понаписал на своем супер-английском, что народ даже принял его за китайца, использовавшего машинный перевод! Я к сожалению, кода его не видел, так как он не придумал ничего прикольнее, как залить его на рапидшару (впрочем, он, видимо, сделал это специально, т.к. уже неоднократно был замечен за удалением собственных сообщений на форумах), и к моменту окончания моего отпуска там уже ничего не осталось, но по очень мутному описанию смог только понять, что он использует инлайн-хуки для нескольких экспортируемых функций. Ну, ничего сверхъестественного, что реально стоило бы кому-то "слизывать", если честно, я не вижу. Если GMER действительно приаттачился к девайсу и фильтрует IRPs (в чем тоже нет невероятных сложностей) - ну, поживем-увидим... На самом деле, все это пока слова (очень много слов) о том, что вот "кто-то где-то написал невидимый руткит", это чистое бла-бла-бла и пиар.

----------


## EvilPhantasy

> Это на malware-research.co.uk? А там есть что-нибудь полезное, т.е. есть ли вообще какой-либо смысл там зарегистрироваться - а то, насколько мне помнится, форум был закрытым, а "проситься" к ним, не зная, чего там ожидать, ей-богу, как-то влом... =)


Да, это этот отстойник. Он по-прежнему закрытый и по-прежнему там все под контролем Пржемуслава и его собутыльников. Ничего интересного на этом форуме нет и не будет, поскольку публика там одна и та же, речи одни и те же, демагогия одним словом.




> Да уж... =) PE386 там так понаписал на своем супер-английском, что народ даже принял его за китайца, использовавшего машинный перевод!


Его сила не в английском. Да, чтобы понять, что там написано требуется перевод сначала на английский, но ценность представляет не трепалогия (кою там многие любят страдать), а собственно пример. Там несколько инлайн хуков на функции с последующей фильтрацией по сигнатуре. Вообще то он сам написал, что это пример, PoC, как обойти Blacklight и RootkitRevealer, а то слишком многие товарищи считают их невероятно крутыми руткит-детекторами. Лично меня всегда раздражали заявления Марка по поводу




> It is theoretically possible for a rootkit to hide from RootkitRevealer. *However, this would require a level of sophistication not seen in rootkits to date.*


Ага, Марк, в 2005, может быть.




> На самом деле, все это пока слова (очень много слов) о том, что вот "кто-то где-то написал невидимый руткит", это чистое бла-бла-бла и пиар.


Касательно Гмерека, конечно, это бла-бла-бла. По крайней мере, пока он решит открыть свою жуткую тайну. А что касается детищ PE386, вообще то вторую версию в самом начале нашли только внешним сканированием и по второстепенным признакам ((: Многие антивирусы до сих пор не в состоянии обнаружить даже неактивную копию, что говорит не только о количестве билдов, но и о количестве билдов присланных в сигнатурный цех.




> Я к сожалению, кода его не видел, так как он не придумал ничего прикольнее, как залить его на рапидшару (впрочем, он, видимо, сделал это специально, т.к. уже неоднократно был замечен за удалением собственных сообщений на форумах)


Штирлиц отдыхает (: но его можно понять.

----------


## aintrust

> А что касается детищ PE386, вообще то вторую версию в самом начале нашли только внешним сканированием и по второстепенным признакам ((:


Не знаю, что он там написал в 3-й версии (которая Rustock.C), однако до сих пор ничего особо революционного в его творениях я не увидел. 2-я версия в сравнении с 1-й - очевидный прогресс, однако в этой 2-й версии были просто собраны методики так или иначе уже известные (ну, пусть и не слишком часто используемые, но уж точно далеко не новые). А что касается борьбы с версией .B известными антивирусными компаниями - ну, что тут сказать? =) Налицо полный кризис чисто сигнатурных методов, в связи с чем многие вендоры резко кинулись в проактивку, "продвинутую" эвристику, сэндбоксинг и написание детекторов руткитов (о качестве последних лучше умолчим).

С другой стороны, "проблема" большинства руткитописателей сейчас - это изначально слабое знание предмета (отсюда и стремление к чрезмерной простоте в реализации), бездумная copy-paste технология (и даже прямо на уровне файлов-драйверов, как это было с творением fuzen_op-а) и, самое главное, неспособность придумать действительно нечто оригинальное. Зато налицо непреодолимое желание поскорее заявить о себе в сообществе кулхацкеров. На таком фоне любая мало-мальская модификация уже существующей техники или любой эволюционный шаг  кажутся ну чуть ли не "подвигом" (это я, к примеру, о phide_ex или BadRkDemo). Ладно, будем ждать ITW, если такое вообще случится, 3-ю версию "продукта" от PE386 - авось будет что-то посвежее и поинтереснее... =)

----------


## EvilPhantasy

Дык программисты точно такого же качества (из тех же пту) работают и в антивирусных компаниях =)

badrkdemo революционным руткитом не является, более того его название как нельзя точно передает суть. Сей руткит полное г, китайцы не придумали ничего лучше чем убрать модуль из листа и задрючить одну функцию. На этом все фишки сего руткита заканчиваются. Причем, видимо, было какое-то наличие сговора с pjf (что не удивительно, поскольку они в одном пту), так как его тулза почему-то не видит cardmagic'овский sht, хотя в принципе применяет object directory walking.

Другое дело phide_ex. На мой взгляд, это самый интересный руткит 2006 года. Конечно, в реальных делах это врядли применимо, поскольку слишком нестабильно и не доработано, но идея очень красивая.

Безусловно большинство троев и вирусов работающих сейчас - полное г, написанное путем ctrl-c, ctrl-v недоучками и сопливыми идиотами. Но так было и будет всегда. Что касается rustock.b, ну не знаю =) Все программирование базируется на использовании чьих-то методик и выработки своих. В rustock это есть. Это далеко не ламерский руткит и интересен он не той частью, которой он запалился, а инлайн хуками глубоко в дровах, первыми среди малварных руткитов ядерными IAT перехватами (но эта метода, в принципе, стара как мир, однако в ядре она доселе редко применялась, разве что Alcohol'ем).

----------


## EvilPhantasy

Только что получил послание от админа вышеупомянутого форума. Интересуется какую сверхсекретную информацию о досе стыренную с их места я тут публикую. Так как товарищ русский не понимать, транслятор гугль оставляет желать лучшего и буковок ddos я что-то тоже здесь до этого момента не наблюдал, я делаю простой вывод, что кто-то тут очень любит рапортовать. И не только старшим по званию.

No top-secret information about DDoS attack on www.gmer.net was not published here or on any other public forum. Relax guys.

p.s. стук-стук-стук, кто там?

----------


## Geser

> Интересуется какую сверхсекретную информацию о досе стыренную с их места я тут публикую.


Я плакаль

----------


## EvilPhantasy

Бывает

----------


## aintrust

Нет слов! =)

----------


## Ego1st

хахахахаха =))) 5 баллов=)

----------


## EvilPhantasy

Получение почти гарантированного BSOD'а с GMER'ом.

Нужна чистая от руткитов винда, само супер стабильное приложение версии 1.012 (не важно какой билд) и магия в чистом виде.

1. Идем на вкладку "Rootkit" =))
2. Выбираем скан процессов, ниток, системы (btw wtf что это такое никому не известно), ставим галку "Show all"
3. Находим в жутко сгруппированном списке System Idle Process.
4. Убиваем его, можно заодно грохнуть и System (или в обратной последовательности)
5. Если фокус удался сразу чувствуется жуткое отупление GMER'а
6. Закрываем его (он будет сильно тупить)
7. Запускаем его снова и через пару секунд, а то и со старта вылетает INVALID_PROCESS_ATTACH_ATTEMPT.

Сей баг Гмерек не может зафиксить с июня прошлого года, когда я впервые ему его показал на si =)

----------


## VIKT0R

> No top-secret information about DDoS attack on www.gmer.net was not published here or on any other public forum. Relax guys.
> 
> p.s. стук-стук-стук, кто там?


Да нет, это за тобой следят =) Вчера тоже кто-то транслятором перевоил тему на моем сайте, там где ты про GMER рассказываешь, смотрел твой прифиль и т.п. Логи есть.

----------


## Jolly Rojer

> Да нет, это за тобой следят =) Вчера тоже кто-то транслятором перевоил тему на моем сайте, там где ты про GMER рассказываешь, смотрел твой прифиль и т.п. Логи есть.


За всеми в той или иной мере следят  :Wink:

----------


## Umek

Чистая Windows Vista 32 бит.

BSOD сразу после старта в gmer.sys - PAGE_FAULT_IN_NONPAGED_AREA

Чистая Windows XP SP1

BSOD каждый раз при запуске в gmer.sys Не могу загрузить машину!!!!! Кто-нибудь может помочь? Как мне вернуть комп в нормальное состоние?

тридцать раз пожалел что попробовал эту фигню  :Sad:

----------


## MedvedD

Umek - в безопасном режиме пробовали загрузиться?
(при загрузке держите клавишу F8 и в меню выбираете "Безопасный режим" )

----------


## Umek

Спасибо за внимание!Дело в том что я по своей глупости включил в gmer мониторинг. Лучше бы я этого не делал! Теперь он грузится вместе с ОС в ЛЮБОМ режиме. И в любом режиме отправляет эту самую ОС в синьку. PAGE_FAULT_IN_NONPAGED_ARED, BAD_POOL_CALLER уже смешно почти каждый раз что-нибудь новое!

Help!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Спасибо за внимание!Дело в том что я по своей глупости включил в gmer мониторинг. Лучше бы я этого не делал! Теперь он грузится вместе с ОС в ЛЮБОМ режиме. И в любом режиме отправляет эту самую ОС в синьку. PAGE_FAULT_IN_NONPAGED_ARED, BAD_POOL_CALLER уже смешно почти каждый раз что-нибудь новое!
> 
> Help!


Тогда варианты:
1. Загрузиться с BootCD с чем-то типа BartPE или с загрузочного диска от sysinternals, не важно - и оттуда найти на своем диске драйвер и прибить его. Подобный загрузочный диск можно в любом ларьке купить
2. Если п.п. 1 невозможно сделать, то нужно вытащить HDD и подключить его к другому ПК. Действия аналогичные - прибить драйвер на своем диске.
3. Можно еще с консолью восстановления пошаманить, но по сути проще метод 1

----------


## Umek

Уффффф!

Спасибо всем! Наконецто избавился от этой глючной проги! Пришлось взять у друга загрузочную дискету. Нашел gmer.sys и удалил его.после этого мой бедный windows загрузился наконец-то! сейчас и из под висты удалю эту хрень но уже из windows xp, потому как виста на ntfs и не видна изпод дос.

Еще раз спасибо всем!

----------


## EvilPhantasy

Несчастная жертва Gmer'a  :Smiley:  Да, под Вистой эта программа имеет тенденцию  к BSOD'ам прямо со старта. Хотя, есть сведения о нормальных запусках  :Smiley:

----------


## Kuzz

Обновился до 1.0.15.15086

----------


## Kuzz

И еще раз:
The latest version of  GMER 1.0.15.15125

ЗЫ. Видимо автор с чем-то интересным столкнулся..

----------


## Синауридзе Александр

> ЗЫ. Видимо автор с чем-то интересным столкнулся..


С гмер лог парсер....  :Cheesy:

----------


## Alex_Goodwin

С TDL3

----------


## Serrrgio

что опять?  :Smiley: 

пойду посмотрю...

----------


## Kuzz

ВНЕЗАПНО!!!

The latest version of  GMER 1.0.15.15163

----------


## Sibir

А правда, что Аваст в своем встроенном антирутките использует технологию Gmer?

----------


## Alex_Goodwin

правда.

----------


## Vasily utkin

The latest version of GMER  1.0.15.15281

----------


## polar_owl

Я вот смотрю, в этой теме Гмер поливают грязью, но при этом постоянно наблюдаю, что хелперы просят сделать при помощи этой утилиты лог. То есть можно сделать вывод, что не все так плохо... :Smiley:  Хотелось бы услышать адекватное мнение об этой программе. Стоит ли ей пользоваться и почему...

----------


## Kuzz

*polar_owl*, А кто собственно поливает?
если это об *EvilPhantasy*, то он один из авторов http://virusinfo.info/showthread.php?t=6287

----------


## polar_owl

*Kuzz*, я наверное неправильно выразился... Просто здесь ни одного позитивного слова об этой утилите, как будто она совсем бесполезна. При этом в "Помогите" наблюдаю совершенно обратное. Собственно, поэтому и интересуюсь :Smiley:

----------


## Kuzz

Сила проявляется не в слове а в действии! )

----------


## Erekle

Позитивное слово: к примеру, если IceSword не справляется с каким-нибудь ключом реестра, справляется ГМЕР. И с файлами - у первого вроде осложнения с какими-то кодировками, у сабжа нет. В общем, обычное штатное средство. Хорошее средство, и помню с ним только один БСОД за 2.5 года.  :Smiley:

----------


## Shpil

А скажите пожалуйста, какие ключи еще есть для GMER. Собственно нужно убить скрытый процесс по имени,
например gmer.exe -killproc pointblank.exe
но так не работает, кто знает подскажите пожалуйста, весь день искал что может убить этот скрытый файл, а ключей запуска так и не нашел.
Нужно для клуба, когда у  игрока заканчиватся время должны сниматься все задачи, но этот процесс скрытый, и остается висеть, и получается нагрузка на компьютер, вообщем  очень нужно, позарез.

----------


## Vvvyg

Обновился GMER до версии 1.0.15.15315

----------


## Vvvyg

GMER снова обновился:

1.0.15.15530
- Changed installation method
- Improved files scanning
- Improved kernel & user mode code sections scanning

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Vvvyg

Сабж, собственно...

----------


## Vvvyg

20.03.2011 - очередное обновление GMER до версии 1.0.15.15570. Видимо, багофикс, предыдущий билд на 64-битной 7-ке вылетал с ошибкой.

----------


## L_Zep

*GMER 1.0.15.15570*
03-20-2011

http://www.gmer.net/

----------


## L_Zep

*GMER 1.0.15.15572*
 04-29-2011

http://www.gmer.net/

----------


## Vvvyg

GMER 1.0.15.15627
05-04-2011
http://www.gmer.net/

----------


## pump

Мне показалось или действительно новые версии выдают чудную запись 



> MBR read error
> MBR BIOS signature not found 0


инициирующую всех делать лог TDSS  :Smiley:

----------


## thyrex

Скорее всего действительно какой-то ложняк

----------


## gjf

Или просто антивирус/хипс не даёт Gmer получить полный доступ к диску.

----------


## Vvvyg

GMER 1.0.15.15640
http://www.gmer.net/
Может, поправили багу с mbr? И я успел людей проверкой TDSSKiller напрячь...

----------


## byura

Последняя версия GMER 2.0.18444
GMER runs only on Windows NT/W2K/XP/VISTA/7/8
http://www.gmer.net/

----------


## regist

*GMER 2.1.19163*

*Скачать* (360 kb)

----------

