PDA

Просмотр полной версии : RAIDE (Rootkit Analysis IDentification Elimination)



Dont.care.a.f!g
18.02.2007, 10:09
RAIDE (Rootkit Analysis IDentification Elimination)

Целью проекта является создание универсального средства борьбы с rootkit, а основным методом – так называемая «перекомпоновка», делающая видимыми все скрытые объекты. К примеру, известная rootkit-программа FU прячет свои процессы с помощью DKOM (Direct Kernel Object Manipulation), т. е. путем модификации кода ядра, отвечающего за учет использования системных ресурсов и аудит. RAIDE же выполняет обратные действия, после чего любое антивирусное ПО свободно вычислит и удалит соответствующие файлы.

Информация
http://www.uninformed.org/?v=3&a=7&t=txt
http://www.rootkit.com/vault/petersilberman/Komoku.ppt

Download
http://www.rootkit.com/vault/petersilberman/RAIDE_BETA_1.zip

EvilPhantasy
18.02.2007, 15:54
Дохлый проект (ИМХО), являющийся универсальным бсодогенератором (факт). Уйти от обнаружения такой тулзой - десять минут ненапряженной работы. Современные ядерные руткиты этой тулзе в принципе не по зубам. Универсальный метод борьбы с руткитами - bootable CD (для нтфс) или дискетка (для фат32) + набор дисковых утилит + мозги и прямые руки.

aintrust
19.02.2007, 13:17
Есть несколько интересных идей, однако реализация сильно страдает. Из-за бсодов программа почти неработоспособна. Кроме того, проект так и застрял на уровне 1-й беты, впрочем с тех пор и про его основного автора, Питера Зильбермана, не слышно почти ничего.

PS. Кстати (я вижу, тут не все в курсе), Джейми Батлер уже не работает в Komoku Inc - говорят, его поперли оттуда... =)

drongo
19.02.2007, 15:30
Универсальный метод борьбы с руткитами - bootable CD (для нтфс) или дискетка (для фат32) + набор дисковых утилит + мозги и прямые руки.
Было бы здорово , если бы вы поделились опытом и начертали статейку другую на эту тему . Kакие тулзы использовать , (желательно с ссылками на них), на что обращать внимание , с скриншотами было бы супер . Я что-то не видел в последние время подробных статеек на эту тему . Только каждый норовит сделать свой супер-antirootkit в основном с одной кнопкой "scan" .

Flooter
20.02.2007, 04:10
Кстати, помните был такой проект - ADinf ?
Он типа был крут тем, что обращался напрямую к драйверу диска при чтении файловой системы.
По отношению к современным руткитам он как - тоже .... будет, со своим этим драйвером диска? :)

EvilPhantasy
21.02.2007, 20:00
@Flooter

Во-первых ADinf имеет несколько режимов работы под разные винды. Так как w9x неактуальна с 2000 года, про неё мы молчим. А в нт, ADinf разбирает файловую систему через UserMode, что есть устаревший подход и к текущему времени просто ламерство. Альтернативные потоки NTFS Adinf не знает и не сканирует. Все остальное реализовано очень медленно, что было приелимо лишь в 2000 году, когда размер дисков ограничивался не воображением.

@drongo
Смысла писать какие-либо мануалы я не вижу никакого, поскольку их все равно почти никто читать не будет, а те кто и прочитают ещё двадцать пять раз спросят про особенности того или иного действия. На этом же или похожем форумах. АВ-компании могут сколько угодно лепить свои так называемые антируткиты, вот скоро и Касперский наверняка что-нибудь выкинет.

drongo
21.02.2007, 21:00
@drongo
Смысла писать какие-либо мануалы я не вижу никакого, поскольку их все равно почти никто читать не будет, а те кто и прочитают ещё двадцать пять раз спросят про особенности того или иного действия. На этом же или похожем форумах. АВ-компании могут сколько угодно лепить свои так называемые антируткиты, вот скоро и Касперский наверняка что-нибудь выкинет.
Хорошо сделанная статья с скринами очень помогает раскрутке как сайта , так и самого автора . Тем самым делает популярней программы над которыми работает автор.
Заставлять я не вправе , однако читать будут . У нас целый раздел есть :) (http://virusinfo.info/forumdisplay.php?f=64) А если не хотите у нас , можете хоть на вашем сайте . А вопросы скорее будут , тут уж ничего не поделаешь .Тема популярная в последнее время .Ручной поиск всегда интересней и может выявить зверей неизвестных на данный момент антируткиту .Хотел бы поучиться у знающего человека на этом поприще войны руткитов-антируткитов как это делать специальными утилитами , без помощи антируткитов , как таковых .