PDA

Просмотр полной версии : Strider GhostBuster Rootkit Detection



HATTIFNATTOR
19.10.2005, 17:42
http://img267.imageshack.us/img267/6219/striderlogo2hy.gif

"Strider GhostBuster" - экспериментальная технология, разработанная совместными усилиями корпорации Microsoft и "Systems Management Research Group" - должна обеспечить способ обнаружения Windows rootkits.

В будущем Microsoft планирует внедрить эту технологию в новые версии Microsoft AntiSpyware.

Ссылка по теме (http://research.microsoft.com/rootkit/)

Geser
19.10.2005, 18:00
Что-то я не нашел возможности пощупать их технологию

HATTIFNATTOR
19.10.2005, 18:29
Если я правильно перевел то что написано на странице:

WinPE GhostBuster: Предназначена для работы с WinPE CD. Где посмотреть непонятно.
Inside-the-box GhostBuster: использует ту же технологию что и RootkitRevealer. Где посмотреть тоже неясно.
User-Mode GhostBuster: В связи с ней упоминается некий Strider GhostBuster Enterprise Scanner но где его взять тоже непонятно.
Пока есть только скриншоты
http://research.microsoft.com/rootkit/Rootkit_TechReportScreenshots.htm
и новый термин -"Ghostware". :)

Geser
19.10.2005, 18:44
Их глючный антиспай пока не впечатляет (кстати, имел счастье попользоваться на работе перу месяцев. Срабатывания на всевозможные телодвижения которые должны пресекаться, типа запуска скриптов и добавление ключей в реестр - через раз). Боюсь антируткит будет того же качества.

Зайцев Олег
19.10.2005, 20:44
Если я правильно перевел то что написано на странице:

WinPE GhostBuster: Предназначена для работы с WinPE CD. Где посмотреть непонятно.
Inside-the-box GhostBuster: использует ту же технологию что и RootkitRevealer. Где посмотреть тоже неясно.
User-Mode GhostBuster: В связи с ней упоминается некий Strider GhostBuster Enterprise Scanner но где его взять тоже непонятно.
Пока есть только скриншоты
http://research.microsoft.com/rootkit/Rootkit_TechReportScreenshots.htm
и новый термин -"Ghostware". :)
Да, идея судя по всему 1:1 из RootkitRevealer ... но это же позволит изловить только руткиты, маскирующие свои файлы от всех программ в системе ... а если руткит просто шпионит за вызования API - тогда каюк