RAIDE (Rootkit Analysis IDentification Elimination)

[B]RAIDE (Rootkit Analysis IDentification Elimination)[/B]

Целью проекта является создание универсального средства борьбы с rootkit, а основным методом – так называемая «перекомпоновка», делающая видимыми все скрытые объекты. К примеру, известная rootkit-программа FU прячет свои процессы с помощью DKOM (Direct Kernel Object Manipulation), т. е. путем модификации кода ядра, отвечающего за учет использования системных ресурсов и аудит. RAIDE же выполняет обратные действия, после чего любое антивирусное ПО свободно вычислит и удалит соответствующие файлы.

Информация
[URL]http://www.uninformed.org/?v=3&a=7&t=txt[/URL]
[URL]http://www.rootkit.com/vault/petersilberman/Komoku.ppt[/URL]

Download
[URL]http://www.rootkit.com/vault/petersilberman/RAIDE_BETA_1.zip[/URL]

Дохлый проект (ИМХО), являющийся универсальным бсодогенератором (факт). Уйти от обнаружения такой тулзой - десять минут ненапряженной работы. Современные ядерные руткиты этой тулзе в принципе не по зубам. Универсальный метод борьбы с руткитами - bootable CD (для нтфс) или дискетка (для фат32) + набор дисковых утилит + мозги и прямые руки.

Есть несколько интересных идей, однако реализация сильно страдает. Из-за бсодов программа почти неработоспособна. Кроме того, проект так и застрял на уровне 1-й беты, впрочем с тех пор и про его основного автора, Питера Зильбермана, не слышно почти ничего.

PS. Кстати (я вижу, тут не все в курсе), Джейми Батлер уже не работает в [I]Komoku Inc[/I] - говорят, его поперли оттуда... =)

[quote=EvilPhantasy;96180] Универсальный метод борьбы с руткитами - bootable CD (для нтфс) или дискетка (для фат32) + набор дисковых утилит + мозги и прямые руки.[/quote]
Было бы здорово , если бы вы поделились опытом и начертали статейку другую на эту тему . Kакие тулзы использовать , (желательно с ссылками на них), на что обращать внимание , с скриншотами было бы супер . Я что-то не видел в последние время подробных статеек на эту тему . Только каждый норовит сделать свой супер-antirootkit в основном с одной кнопкой "scan" .

Кстати, помните был такой проект - ADinf ?
Он типа был крут тем, что обращался напрямую к драйверу диска при чтении файловой системы.
По отношению к современным руткитам он как - тоже .... будет, со своим этим драйвером диска? :)

@Flooter

Во-первых ADinf имеет несколько режимов работы под разные винды. Так как w9x неактуальна с 2000 года, про неё мы молчим. А в нт, ADinf разбирает файловую систему через UserMode, что есть устаревший подход и к текущему времени просто ламерство. Альтернативные потоки NTFS Adinf не знает и не сканирует. Все остальное реализовано очень медленно, что было приелимо лишь в 2000 году, когда размер дисков ограничивался не воображением.

@drongo
Смысла писать какие-либо мануалы я не вижу никакого, поскольку их все равно почти никто читать не будет, а те кто и прочитают ещё двадцать пять раз спросят про особенности того или иного действия. На этом же или похожем форумах. АВ-компании могут сколько угодно лепить свои так называемые антируткиты, вот скоро и Касперский наверняка что-нибудь выкинет.

[quote=EvilPhantasy;96625]



@drongo
Смысла писать какие-либо мануалы я не вижу никакого, поскольку их все равно почти никто читать не будет, а те кто и прочитают ещё двадцать пять раз спросят про особенности того или иного действия. На этом же или похожем форумах. АВ-компании могут сколько угодно лепить свои так называемые антируткиты, вот скоро и Касперский наверняка что-нибудь выкинет.[/quote]
Хорошо сделанная статья с скринами очень помогает раскрутке как сайта , так и самого автора . Тем самым делает популярней программы над которыми работает автор.
Заставлять я не вправе , однако читать будут . У нас [url=http://virusinfo.info/forumdisplay.php?f=64]целый раздел есть :) [/url] А если не хотите у нас , можете хоть на вашем сайте . А вопросы скорее будут , тут уж ничего не поделаешь .Тема популярная в последнее время .Ручной поиск всегда интересней и может выявить зверей неизвестных на данный момент антируткиту .Хотел бы поучиться у знающего человека на этом поприще войны руткитов-антируткитов как это делать специальными утилитами , без помощи антируткитов , как таковых .