PDA

Просмотр полной версии : Antikit - программа для детектирования руткитов и файлов, которые скрываются



Geser
29.09.2004, 13:09
На сайте разработчиков антивирусной программы "ВирусБлокАда" (http://anti-virus.by/) выложена прога для детектирования руткитов и файлов, которые скрываются. кому интересно, посмотрите плз. ну и замечания, пожелания...
http://anti-virus.by/download_files/antikit.zip

Geser
29.09.2004, 13:13
Во-первых, хотелось бы немного подробнее узнать про принцип работы.
Во-вторых, неплохо было бы добавить возможность удаления скрытых файлов, т.к. обычными методами их не удалить.

serge
29.09.2004, 13:42
Во-первых, хотелось бы немного подробнее узнать про принцип работы.

Принцип работы простой: программа умеет детектировать наличие драйвера rootkit'а и работать с файлами в обход этого драйвера. Далее обходятся все диски и любой файл, который невозможно найти в системе "обычным способом", но который виден при работе с файлами в обход rootkit'а, является явно подозрительным и программа выводит список таких файлов в конце работы.


Во-вторых, неплохо было бы добавить возможность удаления скрытых файлов, т.к. обычными методами их не удалить.

Понятно. Но рубить шашкой направо и налево, наверное, не стоит. Система ведь многозадачная и между проведением тестов доступа к файлу разными методами, теоретически посторонние программы могут сами работать с файлами и вносить изменения в файловую систему, эти изменения могут быть ошибочно истолкованы, как маскировка файла с помощью rootkit'а. Устроит запрос с подтверждением удаления для каждого конкретного файла?

Еще, думаю, интересно было бы собирать такие файлы для отправки их на анализ антивирусным компаниям :)

Geser
29.09.2004, 13:52
Принцип работы простой: программа умеет детектировать наличие драйвера rootkit'а и работать с файлами в обход этого драйвера.

Если это не коммерческая тайна было бы интересно как именно обнаруживается драйвер руткита.
Является ли алгоритм универсальным, или работает только с определённым семейством руткитов.

Понятно. Но рубить шашкой направо и налево, наверное, не стоит. Система ведь многозадачная и между проведением тестов доступа к файлу разными методами, теоретически посторонние программы могут сами работать с файлами и вносить изменения в файловую систему, эти изменения могут быть ошибочно истолкованы, как маскировка файла с помощью rootkit'а. Устроит запрос с подтверждением удаления для каждого конкретного файла?

Угу, запрос на каждый файл это хорошо.
Лучше даже не удалять, а переносить, и писать лог какой файл откуда взят. А для файлов которые используются системой и не могут быть удалены сделать возможность удаления после перегрузки.
А если ещё GUI и карантин, то вообще цены бы не было програмке :)

drongo
29.09.2004, 13:54
если возможно , сделайте пожалуйста поддержку для мамонтов которые на 98 se ;D

Dr.Xmas
29.09.2004, 13:57
если возможно , сделайте пожалуйста поддержку для мамонтов которые на 98 se ;D

каких "мамонтов"? напиши подробнее. это компы, на которых установлена 98я?

drongo
29.09.2004, 13:59
ага , говорит выполнила что-то не хорошее и обратитесь к разработчику ;)

Dr.Xmas
29.09.2004, 14:04
ага , говорит выполнила что-то не хорошее и обратитесь к разработчику ;)

вообще на 98 руткиты не живут, т.е. прога вообще ничего не должна делать. мы у себя тестировали, сейчас ещё раз посмотрим...

Dr.Xmas
29.09.2004, 14:07
Лучше даже не удалять, а переносить, и писать лог какой файл откуда взят. А для файлов которые используются системой и не могут быть удалены сделать возможность удаления после перегрузки.
А если ещё GUI и карантин, то вообще цены бы не было програмке :)

алгоритмы сейчас переносятся в официальный релиз Vba32, т.е. к следующей версии клиенты будут этим пользоваться и с ГУИ, и с перезагрузкой. пока же этот проект (прога, которую сейчас обсуждаем) дальше консоли вряд ли уйдёт

Dr.Xmas
29.09.2004, 14:11
есть ещё одна прога http://anti-virus.by/download_files/regtool.zip вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает

drongo
29.09.2004, 14:15
если руткиты в принципе на 98 не живут , то подобные программы не нужны вовсе . :)
спасибо за разъяснение .
да , если вдруг надо содержание ошибки то вот :


Программа ANTIKIT вызвала сбой при обращении к странице памяти
в модуле ANTIKIT.EXE по адресу 018f:005213b5.
Регистры:
EAX=00000000 CS=018f EIP=005213b5 EFLGS=00010246
EBX=00675014 SS=0197 ESP=0064fc1c EBP=0064fe28
ECX=00675034 DS=0197 ESI=00660000 FS=3f27
EDX=00000000 ES=0197 EDI=bff70000 GS=0000
Байты по адресу CS:EIP:
8b 58 0c 89 5d 90 8b 53 18 3b 55 b0 0f 84 9c 00
Содержимое стека:
8196774c 00521636 00540000 00000001 fff94747 00004550 0003014c 4159624b 00000000 00000000 010f00e0 0a07010b 00007000 00001000 0000d000 000147f0

Geser
29.09.2004, 14:33
алгоритмы сейчас переносятся в официальный релиз Vba32, т.е. к следующей версии клиенты будут этим пользоваться и с ГУИ, и с перезагрузкой. пока же этот проект (прога, которую сейчас обсуждаем) дальше консоли вряд ли уйдёт

Когда будет внутри антивируса это будет круто :)
А консольную версию всеравно лучше хоть немного довести до ума в рекламных целях :)

Dr.Xmas
29.09.2004, 15:54
если руткиты в принципе на 98 не живут , то подобные программы не нужны вовсе . :)
спасибо за разъяснение .
да , если вдруг надо содержание ошибки то вот :


Программа ANTIKIT вызвала сбой при обращении к странице памяти
в модуле ANTIKIT.EXE по адресу 018f:005213b5.
Регистры:

спасибо, но оказалось, что это не наша ошибка, а пакера -- он под 9х просто не живёт

kps
29.09.2004, 16:22
вообще на 98 руткиты не живут,

Отсюда вывод - пользуйтесь 98 как я - и никаких проблем с руткитами :)
Да и с вирусами на Win98 особых проблем нет, т.к. они сейчас большой частью под ХР пишутся (вспомнить хотя бы нашумевшие Blaster и Sasser).

Geser
29.09.2004, 17:05
есть ещё одна прога http://anti-virus.by/download_files/regtool.zip вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает

Интересная утилитка :)
Теперь осталось понять для чего её можно использовать :)

Dr.Xmas
29.09.2004, 17:10
Интересная утилитка :)
Теперь осталось понять для чего её можно использовать :)

приходишь на чужой комп, запускаешь, сгребаешь этот каталог. у тебя файлы, которые в автозагрузке вместе с логом проверки

Geser
29.09.2004, 17:12
приходишь на чужой комп, запускаешь, сгребаешь этот каталог. у тебя файлы, которые в автозагрузке вместе с логом проверки

Ясно :)

Geser
29.09.2004, 17:54
есть ещё одна прога http://anti-virus.by/download_files/regtool.zip вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает

А сделатрь утилитку которая даст список процессов вместе с относящимися к ним dll как adaware слабо? ;)

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 928
ThreadCreationTime : 9-29-2004 10:13:42 AM
BasePriority : Normal

Scanning Module:\SystemRoot\System32\smss.exe...
Scanning Module:F:\WINDOWS\system32\ntdll.dll...

#:2 [csrss.exe]
FilePath : \??\F:\WINDOWS\system32\
ProcessID : 1064
ThreadCreationTime : 9-29-2004 10:13:56 AM
BasePriority : Normal

Scanning Module:\??\F:\WINDOWS\system32\csrss.exe...
Scanning Module:F:\WINDOWS\system32\CSRSRV.dll...
Scanning Module:F:\WINDOWS\system32\basesrv.dll...
Scanning Module:F:\WINDOWS\system32\winsrv.dll...
Scanning Module:F:\WINDOWS\system32\USER32.dll...
Scanning Module:F:\WINDOWS\system32\KERNEL32.dll...
Scanning Module:F:\WINDOWS\system32\GDI32.dll...
Scanning Module:F:\WINDOWS\system32\LPK.DLL...
Scanning Module:F:\WINDOWS\system32\USP10.dll...
Scanning Module:F:\WINDOWS\system32\msvcrt.dll...
Scanning Module:F:\WINDOWS\system32\ADVAPI32.dll...
Scanning Module:F:\WINDOWS\system32\RPCRT4.dll...
Scanning Module:F:\WINDOWS\system32\sxs.dll...
Scanning Module:F:\WINDOWS\system32\Apphelp.dll...
Scanning Module:F:\WINDOWS\system32\VERSION.dll...

maXmo
03.10.2004, 14:16
вытаскивает программы из автозагрузкижёстко... из реестра? некоторые вири пользуются старым добрым startupом. ;)
а как же BHO?

03.10.2004, 16:21
Кто сказал что в вин 9х не существует рут китов.... еще как существуют

drongo
03.10.2004, 16:40
Кто сказал что в вин 9х не существует рут китов.... еще как существуют

чем защищаться ? эта прога не работает у меня :(
п.с. саня ,ты б зарегился :)

03.10.2004, 16:54
защитится не трудно
самое известное это бекдор A13-Death

http://www.prodexteam.net/

хукать можно не только драйверами но и дллками

в винде 98 и драйвера и дллки существуют... и хукать там тоже можно значит руткиты существуют

03.10.2004, 16:57
Addon..

This software generates a system patch that will hide processes, files, folders registry keys and netstat entries from Windows 95/98/ME/NT/2k/XP/2003. Information is withheld based on 4 lists of mask strings. This enables you to apply wildcards to hiding functions such as hiding files based on "*.exe" or netstat entries based on "*TCP*:80*" to hide http traffic.
The "example.exe" include is preconfigured to hide all processes/files and keys matching "~~*" and all "*TCP*" traffic. The installer copies itself to the system directory and extracts 2 DLL files from it's resources. It saves the files as "iexplore.exe" and "explorer.exe". The first dll is loaded into "explorer.exe" which then installs hooks contained in "explorer.dll".
To configure a custom rootkit run "RootKit.exe" and click "Help" and make sure to compress your installer!
Aphex'

Geser
03.10.2004, 18:19
Sanja, не хочешь заняться выпуском антивирусов? ;)

Sanja
03.10.2004, 21:55
а все к этому идет... www.openantivirus.ru - my friend

Geser
03.10.2004, 22:32
а все к этому идет... www.openantivirus.ru - my friend

Ну, успехов :)
Хотя для успеха проекта нужно придумать что-то более интересное чем поиск по сигнатурам :)