Просмотр полной версии : Antikit - программа для детектирования руткитов и файлов, которые скрываются
На сайте разработчиков антивирусной программы "ВирусБлокАда" (http://anti-virus.by/) выложена прога для детектирования руткитов и файлов, которые скрываются. кому интересно, посмотрите плз. ну и замечания, пожелания...
http://anti-virus.by/download_files/antikit.zip
Во-первых, хотелось бы немного подробнее узнать про принцип работы.
Во-вторых, неплохо было бы добавить возможность удаления скрытых файлов, т.к. обычными методами их не удалить.
Во-первых, хотелось бы немного подробнее узнать про принцип работы.
Принцип работы простой: программа умеет детектировать наличие драйвера rootkit'а и работать с файлами в обход этого драйвера. Далее обходятся все диски и любой файл, который невозможно найти в системе "обычным способом", но который виден при работе с файлами в обход rootkit'а, является явно подозрительным и программа выводит список таких файлов в конце работы.
Во-вторых, неплохо было бы добавить возможность удаления скрытых файлов, т.к. обычными методами их не удалить.
Понятно. Но рубить шашкой направо и налево, наверное, не стоит. Система ведь многозадачная и между проведением тестов доступа к файлу разными методами, теоретически посторонние программы могут сами работать с файлами и вносить изменения в файловую систему, эти изменения могут быть ошибочно истолкованы, как маскировка файла с помощью rootkit'а. Устроит запрос с подтверждением удаления для каждого конкретного файла?
Еще, думаю, интересно было бы собирать такие файлы для отправки их на анализ антивирусным компаниям :)
Принцип работы простой: программа умеет детектировать наличие драйвера rootkit'а и работать с файлами в обход этого драйвера.
Если это не коммерческая тайна было бы интересно как именно обнаруживается драйвер руткита.
Является ли алгоритм универсальным, или работает только с определённым семейством руткитов.
Понятно. Но рубить шашкой направо и налево, наверное, не стоит. Система ведь многозадачная и между проведением тестов доступа к файлу разными методами, теоретически посторонние программы могут сами работать с файлами и вносить изменения в файловую систему, эти изменения могут быть ошибочно истолкованы, как маскировка файла с помощью rootkit'а. Устроит запрос с подтверждением удаления для каждого конкретного файла?
Угу, запрос на каждый файл это хорошо.
Лучше даже не удалять, а переносить, и писать лог какой файл откуда взят. А для файлов которые используются системой и не могут быть удалены сделать возможность удаления после перегрузки.
А если ещё GUI и карантин, то вообще цены бы не было програмке :)
если возможно , сделайте пожалуйста поддержку для мамонтов которые на 98 se ;D
если возможно , сделайте пожалуйста поддержку для мамонтов которые на 98 se ;D
каких "мамонтов"? напиши подробнее. это компы, на которых установлена 98я?
ага , говорит выполнила что-то не хорошее и обратитесь к разработчику ;)
ага , говорит выполнила что-то не хорошее и обратитесь к разработчику ;)
вообще на 98 руткиты не живут, т.е. прога вообще ничего не должна делать. мы у себя тестировали, сейчас ещё раз посмотрим...
Лучше даже не удалять, а переносить, и писать лог какой файл откуда взят. А для файлов которые используются системой и не могут быть удалены сделать возможность удаления после перегрузки.
А если ещё GUI и карантин, то вообще цены бы не было програмке :)
алгоритмы сейчас переносятся в официальный релиз Vba32, т.е. к следующей версии клиенты будут этим пользоваться и с ГУИ, и с перезагрузкой. пока же этот проект (прога, которую сейчас обсуждаем) дальше консоли вряд ли уйдёт
есть ещё одна прога http://anti-virus.by/download_files/regtool.zip вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает
если руткиты в принципе на 98 не живут , то подобные программы не нужны вовсе . :)
спасибо за разъяснение .
да , если вдруг надо содержание ошибки то вот :
Программа ANTIKIT вызвала сбой при обращении к странице памяти
в модуле ANTIKIT.EXE по адресу 018f:005213b5.
Регистры:
EAX=00000000 CS=018f EIP=005213b5 EFLGS=00010246
EBX=00675014 SS=0197 ESP=0064fc1c EBP=0064fe28
ECX=00675034 DS=0197 ESI=00660000 FS=3f27
EDX=00000000 ES=0197 EDI=bff70000 GS=0000
Байты по адресу CS:EIP:
8b 58 0c 89 5d 90 8b 53 18 3b 55 b0 0f 84 9c 00
Содержимое стека:
8196774c 00521636 00540000 00000001 fff94747 00004550 0003014c 4159624b 00000000 00000000 010f00e0 0a07010b 00007000 00001000 0000d000 000147f0
алгоритмы сейчас переносятся в официальный релиз Vba32, т.е. к следующей версии клиенты будут этим пользоваться и с ГУИ, и с перезагрузкой. пока же этот проект (прога, которую сейчас обсуждаем) дальше консоли вряд ли уйдёт
Когда будет внутри антивируса это будет круто :)
А консольную версию всеравно лучше хоть немного довести до ума в рекламных целях :)
если руткиты в принципе на 98 не живут , то подобные программы не нужны вовсе . :)
спасибо за разъяснение .
да , если вдруг надо содержание ошибки то вот :
Программа ANTIKIT вызвала сбой при обращении к странице памяти
в модуле ANTIKIT.EXE по адресу 018f:005213b5.
Регистры:
спасибо, но оказалось, что это не наша ошибка, а пакера -- он под 9х просто не живёт
вообще на 98 руткиты не живут,
Отсюда вывод - пользуйтесь 98 как я - и никаких проблем с руткитами :)
Да и с вирусами на Win98 особых проблем нет, т.к. они сейчас большой частью под ХР пишутся (вспомнить хотя бы нашумевшие Blaster и Sasser).
есть ещё одна прога http://anti-virus.by/download_files/regtool.zip вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает
Интересная утилитка :)
Теперь осталось понять для чего её можно использовать :)
Интересная утилитка :)
Теперь осталось понять для чего её можно использовать :)
приходишь на чужой комп, запускаешь, сгребаешь этот каталог. у тебя файлы, которые в автозагрузке вместе с логом проверки
приходишь на чужой комп, запускаешь, сгребаешь этот каталог. у тебя файлы, которые в автозагрузке вместе с логом проверки
Ясно :)
есть ещё одна прога http://anti-virus.by/download_files/regtool.zip вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает
А сделатрь утилитку которая даст список процессов вместе с относящимися к ним dll как adaware слабо? ;)
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 928
ThreadCreationTime : 9-29-2004 10:13:42 AM
BasePriority : Normal
Scanning Module:\SystemRoot\System32\smss.exe...
Scanning Module:F:\WINDOWS\system32\ntdll.dll...
#:2 [csrss.exe]
FilePath : \??\F:\WINDOWS\system32\
ProcessID : 1064
ThreadCreationTime : 9-29-2004 10:13:56 AM
BasePriority : Normal
Scanning Module:\??\F:\WINDOWS\system32\csrss.exe...
Scanning Module:F:\WINDOWS\system32\CSRSRV.dll...
Scanning Module:F:\WINDOWS\system32\basesrv.dll...
Scanning Module:F:\WINDOWS\system32\winsrv.dll...
Scanning Module:F:\WINDOWS\system32\USER32.dll...
Scanning Module:F:\WINDOWS\system32\KERNEL32.dll...
Scanning Module:F:\WINDOWS\system32\GDI32.dll...
Scanning Module:F:\WINDOWS\system32\LPK.DLL...
Scanning Module:F:\WINDOWS\system32\USP10.dll...
Scanning Module:F:\WINDOWS\system32\msvcrt.dll...
Scanning Module:F:\WINDOWS\system32\ADVAPI32.dll...
Scanning Module:F:\WINDOWS\system32\RPCRT4.dll...
Scanning Module:F:\WINDOWS\system32\sxs.dll...
Scanning Module:F:\WINDOWS\system32\Apphelp.dll...
Scanning Module:F:\WINDOWS\system32\VERSION.dll...
вытаскивает программы из автозагрузкижёстко... из реестра? некоторые вири пользуются старым добрым startupом. ;)
а как же BHO?
Кто сказал что в вин 9х не существует рут китов.... еще как существуют
Кто сказал что в вин 9х не существует рут китов.... еще как существуют
чем защищаться ? эта прога не работает у меня :(
п.с. саня ,ты б зарегился :)
защитится не трудно
самое известное это бекдор A13-Death
http://www.prodexteam.net/
хукать можно не только драйверами но и дллками
в винде 98 и драйвера и дллки существуют... и хукать там тоже можно значит руткиты существуют
Addon..
This software generates a system patch that will hide processes, files, folders registry keys and netstat entries from Windows 95/98/ME/NT/2k/XP/2003. Information is withheld based on 4 lists of mask strings. This enables you to apply wildcards to hiding functions such as hiding files based on "*.exe" or netstat entries based on "*TCP*:80*" to hide http traffic.
The "example.exe" include is preconfigured to hide all processes/files and keys matching "~~*" and all "*TCP*" traffic. The installer copies itself to the system directory and extracts 2 DLL files from it's resources. It saves the files as "iexplore.exe" and "explorer.exe". The first dll is loaded into "explorer.exe" which then installs hooks contained in "explorer.dll".
To configure a custom rootkit run "RootKit.exe" and click "Help" and make sure to compress your installer!
Aphex'
Sanja, не хочешь заняться выпуском антивирусов? ;)
а все к этому идет... www.openantivirus.ru - my friend
а все к этому идет... www.openantivirus.ru - my friend
Ну, успехов :)
Хотя для успеха проекта нужно придумать что-то более интересное чем поиск по сигнатурам :)
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot