# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Антируткиты  >  RAIDE (Rootkit Analysis IDentification Elimination)

## Dont.care.a.f!g

*RAIDE (Rootkit Analysis IDentification Elimination)*

Целью проекта является создание универсального средства борьбы с rootkit, а основным методом – так называемая «перекомпоновка», делающая видимыми все скрытые объекты. К примеру, известная rootkit-программа FU прячет свои процессы с помощью DKOM (Direct Kernel Object Manipulation), т. е. путем модификации кода ядра, отвечающего за учет использования системных ресурсов и аудит. RAIDE же выполняет обратные действия, после чего любое антивирусное ПО свободно вычислит и удалит соответствующие файлы. 

Информация
http://www.uninformed.org/?v=3&a=7&t=txt
http://www.rootkit.com/vault/petersilberman/Komoku.ppt

Download
http://www.rootkit.com/vault/petersi...IDE_BETA_1.zip

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## EvilPhantasy

Дохлый проект (ИМХО), являющийся универсальным бсодогенератором (факт). Уйти от обнаружения такой тулзой - десять минут ненапряженной работы. Современные ядерные руткиты этой тулзе в принципе не по зубам. Универсальный метод борьбы с руткитами - bootable CD (для нтфс) или дискетка (для фат32) + набор дисковых утилит + мозги и прямые руки.

----------


## aintrust

Есть несколько интересных идей, однако реализация сильно страдает. Из-за бсодов программа почти неработоспособна. Кроме того, проект так и застрял на уровне 1-й беты, впрочем с тех пор и про его основного автора, Питера Зильбермана, не слышно почти ничего.

PS. Кстати (я вижу, тут не все в курсе), Джейми Батлер уже не работает в _Komoku Inc_ - говорят, его поперли оттуда... =)

----------


## drongo

> Универсальный метод борьбы с руткитами - bootable CD (для нтфс) или дискетка (для фат32) + набор дисковых утилит + мозги и прямые руки.


Было бы здорово , если бы вы поделились опытом и начертали статейку другую на эту тему . Kакие тулзы использовать , (желательно с ссылками на них), на что обращать внимание , с скриншотами было бы супер . Я что-то не видел в последние время подробных статеек на эту тему . Только каждый норовит сделать свой супер-antirootkit в основном с одной кнопкой "scan" .

----------


## Flooter

Кстати, помните был такой проект - ADinf ?
Он типа был крут тем, что обращался напрямую к драйверу диска при чтении файловой системы.
По отношению к современным руткитам он как - тоже .... будет, со своим этим драйвером диска?  :Smiley:

----------


## EvilPhantasy

@Flooter

Во-первых ADinf имеет несколько режимов работы под разные винды. Так как w9x неактуальна с 2000 года, про неё мы молчим. А в нт, ADinf разбирает файловую систему через UserMode, что есть устаревший подход и к текущему времени просто ламерство. Альтернативные потоки NTFS Adinf не знает и не сканирует. Все остальное реализовано очень медленно, что было приелимо лишь в 2000 году, когда размер дисков ограничивался не воображением.

@drongo
Смысла писать какие-либо мануалы я не вижу никакого, поскольку их все равно почти никто читать не будет, а те кто и прочитают ещё двадцать пять раз спросят про особенности того или иного действия. На этом же или похожем форумах. АВ-компании могут сколько угодно лепить свои так называемые антируткиты, вот скоро и Касперский наверняка что-нибудь выкинет.

----------


## drongo

> @drongo
> Смысла писать какие-либо мануалы я не вижу никакого, поскольку их все равно почти никто читать не будет, а те кто и прочитают ещё двадцать пять раз спросят про особенности того или иного действия. На этом же или похожем форумах. АВ-компании могут сколько угодно лепить свои так называемые антируткиты, вот скоро и Касперский наверняка что-нибудь выкинет.


Хорошо сделанная статья с скринами очень помогает раскрутке как сайта , так и самого автора . Тем самым делает популярней программы над которыми работает автор.
Заставлять я не вправе , однако читать будут . У нас целый раздел есть  :Smiley:   А если не хотите у нас , можете хоть на вашем сайте . А вопросы скорее будут , тут уж ничего не поделаешь .Тема популярная в последнее время .Ручной поиск всегда интересней и  может выявить зверей неизвестных на данный момент антируткиту .Хотел бы поучиться у знающего человека на этом поприще войны руткитов-антируткитов как это делать специальными утилитами , без помощи антируткитов , как таковых .

----------

