Antikit - программа для детектирования руткитов и файлов, которые скрываются

На сайте разработчиков антивирусной программы [url=http://anti-virus.by/]"ВирусБлокАда"[/url] выложена прога для детектирования руткитов и файлов, которые скрываются. кому интересно, посмотрите плз. ну и замечания, пожелания...
[url]http://anti-virus.by/download_files/antikit.zip[/url]

Во-первых, хотелось бы немного подробнее узнать про принцип работы.
Во-вторых, неплохо было бы добавить возможность удаления скрытых файлов, т.к. обычными методами их не удалить.

[QUOTE=Geser]
Во-первых, хотелось бы немного подробнее узнать про принцип работы.
[/QUOTE]
Принцип работы простой: программа умеет детектировать наличие драйвера rootkit'а и работать с файлами в обход этого драйвера. Далее обходятся все диски и любой файл, который невозможно найти в системе "обычным способом", но который виден при работе с файлами в обход rootkit'а, является явно подозрительным и программа выводит список таких файлов в конце работы.
[quote]
Во-вторых, неплохо было бы добавить возможность удаления скрытых файлов, т.к. обычными методами их не удалить.
[/quote]
Понятно. Но рубить шашкой направо и налево, наверное, не стоит. Система ведь многозадачная и между проведением тестов доступа к файлу разными методами, теоретически посторонние программы могут сами работать с файлами и вносить изменения в файловую систему, эти изменения могут быть ошибочно истолкованы, как маскировка файла с помощью rootkit'а. Устроит запрос с подтверждением удаления для каждого конкретного файла?

Еще, думаю, интересно было бы собирать такие файлы для отправки их на анализ антивирусным компаниям :)

[QUOTE=serge]
Принцип работы простой: программа умеет детектировать наличие драйвера rootkit'а и работать с файлами в обход этого драйвера.
[/QUOTE]
Если это не коммерческая тайна было бы интересно как именно обнаруживается драйвер руткита.
Является ли алгоритм универсальным, или работает только с определённым семейством руткитов.
[quote]Понятно. Но рубить шашкой направо и налево, наверное, не стоит. Система ведь многозадачная и между проведением тестов доступа к файлу разными методами, теоретически посторонние программы могут сами работать с файлами и вносить изменения в файловую систему, эти изменения могут быть ошибочно истолкованы, как маскировка файла с помощью rootkit'а. Устроит запрос с подтверждением удаления для каждого конкретного файла?
[/quote]
Угу, запрос на каждый файл это хорошо.
Лучше даже не удалять, а переносить, и писать лог какой файл откуда взят. А для файлов которые используются системой и не могут быть удалены сделать возможность удаления после перегрузки.
А если ещё GUI и карантин, то вообще цены бы не было програмке :)

если возможно , сделайте пожалуйста поддержку для мамонтов которые на 98 se ;D

[QUOTE=drongo]
если возможно , сделайте пожалуйста поддержку для мамонтов которые на 98 se ;D
[/QUOTE]
каких "мамонтов"? напиши подробнее. это компы, на которых установлена 98я?

ага , говорит выполнила что-то не хорошее и обратитесь к разработчику ;)

[QUOTE=drongo]
ага , говорит выполнила что-то не хорошее и обратитесь к разработчику ;)
[/QUOTE]
вообще на 98 руткиты не живут, т.е. прога вообще ничего не должна делать. мы у себя тестировали, сейчас ещё раз посмотрим...

[QUOTE=Geser]
Лучше даже не удалять, а переносить, и писать лог какой файл откуда взят. А для файлов которые используются системой и не могут быть удалены сделать возможность удаления после перегрузки.
А если ещё GUI и карантин, то вообще цены бы не было програмке :)
[/QUOTE]
алгоритмы сейчас переносятся в официальный релиз Vba32, т.е. к следующей версии клиенты будут этим пользоваться и с ГУИ, и с перезагрузкой. пока же этот проект (прога, которую сейчас обсуждаем) дальше консоли вряд ли уйдёт

есть ещё одна прога [url=http://anti-virus.by/download_files/regtool.zip]http://anti-virus.by/download_files/regtool.zip[/url] вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает

если руткиты в принципе на 98 не живут , то подобные программы не нужны вовсе . :)
спасибо за разъяснение .
да , если вдруг надо содержание ошибки то вот :


Программа ANTIKIT вызвала сбой при обращении к странице памяти
в модуле ANTIKIT.EXE по адресу 018f:005213b5.
Регистры:
EAX=00000000 CS=018f EIP=005213b5 EFLGS=00010246
EBX=00675014 SS=0197 ESP=0064fc1c EBP=0064fe28
ECX=00675034 DS=0197 ESI=00660000 FS=3f27
EDX=00000000 ES=0197 EDI=bff70000 GS=0000
Байты по адресу CS:EIP:
8b 58 0c 89 5d 90 8b 53 18 3b 55 b0 0f 84 9c 00
Содержимое стека:
8196774c 00521636 00540000 00000001 fff94747 00004550 0003014c 4159624b 00000000 00000000 010f00e0 0a07010b 00007000 00001000 0000d000 000147f0

[QUOTE=Dr]
алгоритмы сейчас переносятся в официальный релиз Vba32, т.е. к следующей версии клиенты будут этим пользоваться и с ГУИ, и с перезагрузкой. пока же этот проект (прога, которую сейчас обсуждаем) дальше консоли вряд ли уйдёт
[/QUOTE]
Когда будет внутри антивируса это будет круто :)
А консольную версию всеравно лучше хоть немного довести до ума в рекламных целях :)

[QUOTE=drongo]
если руткиты в принципе на 98 не живут , то подобные программы не нужны вовсе . :)
спасибо за разъяснение .
да , если вдруг надо содержание ошибки то вот :


Программа ANTIKIT вызвала сбой при обращении к странице памяти
в модуле ANTIKIT.EXE по адресу 018f:005213b5.
Регистры:
[/QUOTE]
спасибо, но оказалось, что это не наша ошибка, а пакера -- он под 9х просто не живёт

[QUOTE=Dr]
вообще на 98 руткиты не живут, [/QUOTE]

Отсюда вывод - пользуйтесь 98 как я - и никаких проблем с руткитами :)
Да и с вирусами на Win98 особых проблем нет, т.к. они сейчас большой частью под ХР пишутся (вспомнить хотя бы нашумевшие Blaster и Sasser).

[QUOTE=Dr]
есть ещё одна прога [url=http://anti-virus.by/download_files/regtool.zip]http://anti-virus.by/download_files/regtool.zip[/url] вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает
[/QUOTE]
Интересная утилитка :)
Теперь осталось понять для чего её можно использовать :)

[QUOTE=Geser]
Интересная утилитка :)
Теперь осталось понять для чего её можно использовать :)
[/QUOTE]
приходишь на чужой комп, запускаешь, сгребаешь этот каталог. у тебя файлы, которые в автозагрузке вместе с логом проверки

[QUOTE=Dr]
приходишь на чужой комп, запускаешь, сгребаешь этот каталог. у тебя файлы, которые в автозагрузке вместе с логом проверки
[/QUOTE]
Ясно :)

[QUOTE=Dr]
есть ещё одна прога [url=http://anti-virus.by/download_files/regtool.zip]http://anti-virus.by/download_files/regtool.zip[/url] вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает
[/QUOTE]
А сделатрь утилитку которая даст список процессов вместе с относящимися к ним dll как adaware слабо? ;)
[quote]#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 928
ThreadCreationTime : 9-29-2004 10:13:42 AM
BasePriority : Normal

Scanning Module:\SystemRoot\System32\smss.exe...
Scanning Module:F:\WINDOWS\system32\ntdll.dll...

#:2 [csrss.exe]
FilePath : \??\F:\WINDOWS\system32\
ProcessID : 1064
ThreadCreationTime : 9-29-2004 10:13:56 AM
BasePriority : Normal

Scanning Module:\??\F:\WINDOWS\system32\csrss.exe...
Scanning Module:F:\WINDOWS\system32\CSRSRV.dll...
Scanning Module:F:\WINDOWS\system32\basesrv.dll...
Scanning Module:F:\WINDOWS\system32\winsrv.dll...
Scanning Module:F:\WINDOWS\system32\USER32.dll...
Scanning Module:F:\WINDOWS\system32\KERNEL32.dll...
Scanning Module:F:\WINDOWS\system32\GDI32.dll...
Scanning Module:F:\WINDOWS\system32\LPK.DLL...
Scanning Module:F:\WINDOWS\system32\USP10.dll...
Scanning Module:F:\WINDOWS\system32\msvcrt.dll...
Scanning Module:F:\WINDOWS\system32\ADVAPI32.dll...
Scanning Module:F:\WINDOWS\system32\RPCRT4.dll...
Scanning Module:F:\WINDOWS\system32\sxs.dll...
Scanning Module:F:\WINDOWS\system32\Apphelp.dll...
Scanning Module:F:\WINDOWS\system32\VERSION.dll...

[/quote]

[QUOTE=Dr]вытаскивает программы из автозагрузки[/QUOTE]жёстко... из реестра? некоторые вири пользуются старым добрым startupом. ;)
а как же BHO?

Кто сказал что в вин 9х не существует рут китов.... еще как существуют