Antikit - программа для детектирования руткитов и файлов, которые скрываются

[Geser]

На сайте разработчиков антивирусной программы "ВирусБлокАда" выложена прога для детектирования руткитов и файлов, которые скрываются. кому интересно, посмотрите плз. ну и замечания, пожелания...
http://anti-virus.by/download_files/antikit.zip

[Geser]

Во-первых, хотелось бы немного подробнее узнать про принцип работы.
Во-вторых, неплохо было бы добавить возможность удаления скрытых файлов, т.к. обычными методами их не удалить.

[serge]

Во-первых, хотелось бы немного подробнее узнать про принцип работы.

Принцип работы простой: программа умеет детектировать наличие драйвера rootkit'а и работать с файлами в обход этого драйвера. Далее обходятся все диски и любой файл, который невозможно найти в системе "обычным способом", но который виден при работе с файлами в обход rootkit'а, является явно подозрительным и программа выводит список таких файлов в конце работы.

Во-вторых, неплохо было бы добавить возможность удаления скрытых файлов, т.к. обычными методами их не удалить.

Понятно. Но рубить шашкой направо и налево, наверное, не стоит. Система ведь многозадачная и между проведением тестов доступа к файлу разными методами, теоретически посторонние программы могут сами работать с файлами и вносить изменения в файловую систему, эти изменения могут быть ошибочно истолкованы, как маскировка файла с помощью rootkit'а. Устроит запрос с подтверждением удаления для каждого конкретного файла?

Еще, думаю, интересно было бы собирать такие файлы для отправки их на анализ антивирусным компаниям

[Geser]

Принцип работы простой: программа умеет детектировать наличие драйвера rootkit'а и работать с файлами в обход этого драйвера.

Если это не коммерческая тайна было бы интересно как именно обнаруживается драйвер руткита.
Является ли алгоритм универсальным, или работает только с определённым семейством руткитов.

Понятно. Но рубить шашкой направо и налево, наверное, не стоит. Система ведь многозадачная и между проведением тестов доступа к файлу разными методами, теоретически посторонние программы могут сами работать с файлами и вносить изменения в файловую систему, эти изменения могут быть ошибочно истолкованы, как маскировка файла с помощью rootkit'а. Устроит запрос с подтверждением удаления для каждого конкретного файла?

Угу, запрос на каждый файл это хорошо.
Лучше даже не удалять, а переносить, и писать лог какой файл откуда взят. А для файлов которые используются системой и не могут быть удалены сделать возможность удаления после перегрузки.
А если ещё GUI и карантин, то вообще цены бы не было програмке

[drongo]

если возможно , сделайте пожалуйста поддержку для мамонтов которые на 98 se ;D

[Dr.Xmas]

если возможно , сделайте пожалуйста поддержку для мамонтов которые на 98 se ;D

каких "мамонтов"? напиши подробнее. это компы, на которых установлена 98я?

[drongo]

ага , говорит выполнила что-то не хорошее и обратитесь к разработчику

[Dr.Xmas]

ага , говорит выполнила что-то не хорошее и обратитесь к разработчику

вообще на 98 руткиты не живут, т.е. прога вообще ничего не должна делать. мы у себя тестировали, сейчас ещё раз посмотрим...

[Dr.Xmas]

Лучше даже не удалять, а переносить, и писать лог какой файл откуда взят. А для файлов которые используются системой и не могут быть удалены сделать возможность удаления после перегрузки.
А если ещё GUI и карантин, то вообще цены бы не было програмке

алгоритмы сейчас переносятся в официальный релиз Vba32, т.е. к следующей версии клиенты будут этим пользоваться и с ГУИ, и с перезагрузкой. пока же этот проект (прога, которую сейчас обсуждаем) дальше консоли вряд ли уйдёт

[Dr.Xmas]

есть ещё одна прога http://anti-virus.by/download_files/regtool.zip вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает

[drongo]

если руткиты в принципе на 98 не живут , то подобные программы не нужны вовсе .
спасибо за разъяснение .
да , если вдруг надо содержание ошибки то вот :


Программа ANTIKIT вызвала сбой при обращении к странице памяти
в модуле ANTIKIT.EXE по адресу 018f:005213b5.
Регистры:
EAX=00000000 CS=018f EIP=005213b5 EFLGS=00010246
EBX=00675014 SS=0197 ESP=0064fc1c EBP=0064fe28
ECX=00675034 DS=0197 ESI=00660000 FS=3f27
EDX=00000000 ES=0197 EDI=bff70000 GS=0000
Байты по адресу CS:EIP:
8b 58 0c 89 5d 90 8b 53 18 3b 55 b0 0f 84 9c 00
Содержимое стека:
8196774c 00521636 00540000 00000001 fff94747 00004550 0003014c 4159624b 00000000 00000000 010f00e0 0a07010b 00007000 00001000 0000d000 000147f0

[Geser]

алгоритмы сейчас переносятся в официальный релиз Vba32, т.е. к следующей версии клиенты будут этим пользоваться и с ГУИ, и с перезагрузкой. пока же этот проект (прога, которую сейчас обсуждаем) дальше консоли вряд ли уйдёт

Когда будет внутри антивируса это будет круто
А консольную версию всеравно лучше хоть немного довести до ума в рекламных целях

[Dr.Xmas]

если руткиты в принципе на 98 не живут , то подобные программы не нужны вовсе .
спасибо за разъяснение .
да , если вдруг надо содержание ошибки то вот :


Программа ANTIKIT вызвала сбой при обращении к странице памяти
в модуле ANTIKIT.EXE по адресу 018f:005213b5.
Регистры:

спасибо, но оказалось, что это не наша ошибка, а пакера -- он под 9х просто не живёт

[kps]

вообще на 98 руткиты не живут,

Отсюда вывод - пользуйтесь 98 как я - и никаких проблем с руткитами
Да и с вирусами на Win98 особых проблем нет, т.к. они сейчас большой частью под ХР пишутся (вспомнить хотя бы нашумевшие Blaster и Sasser).

[Geser]

есть ещё одна прога http://anti-virus.by/download_files/regtool.zip вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает

Интересная утилитка
Теперь осталось понять для чего её можно использовать

[Dr.Xmas]

Интересная утилитка
Теперь осталось понять для чего её можно использовать

приходишь на чужой комп, запускаешь, сгребаешь этот каталог. у тебя файлы, которые в автозагрузке вместе с логом проверки

[Geser]

приходишь на чужой комп, запускаешь, сгребаешь этот каталог. у тебя файлы, которые в автозагрузке вместе с логом проверки

Ясно

[Geser]

есть ещё одна прога http://anti-virus.by/download_files/regtool.zip вытаскивает программы из автозагрузки. хэлпа нет, создаёт на диске C: каталог VBA32EXP и туда всё сваливает

А сделатрь утилитку которая даст список процессов вместе с относящимися к ним dll как adaware слабо?

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 928
ThreadCreationTime : 9-29-2004 10:13:42 AM
BasePriority : Normal

Scanning Module:\SystemRoot\System32\smss.exe...
Scanning Module:F:\WINDOWS\system32\ntdll.dll...

#:2 [csrss.exe]
FilePath : \??\F:\WINDOWS\system32\
ProcessID : 1064
ThreadCreationTime : 9-29-2004 10:13:56 AM
BasePriority : Normal

Scanning Module:\??\F:\WINDOWS\system32\csrss.exe...
Scanning Module:F:\WINDOWS\system32\CSRSRV.dll...
Scanning Module:F:\WINDOWS\system32\basesrv.dll...
Scanning Module:F:\WINDOWS\system32\winsrv.dll...
Scanning Module:F:\WINDOWS\system32\USER32.dll...
Scanning Module:F:\WINDOWS\system32\KERNEL32.dll...
Scanning Module:F:\WINDOWS\system32\GDI32.dll...
Scanning Module:F:\WINDOWS\system32\LPK.DLL...
Scanning Module:F:\WINDOWS\system32\USP10.dll...
Scanning Module:F:\WINDOWS\system32\msvcrt.dll...
Scanning Module:F:\WINDOWS\system32\ADVAPI32.dll...
Scanning Module:F:\WINDOWS\system32\RPCRT4.dll...
Scanning Module:F:\WINDOWS\system32\sxs.dll...
Scanning Module:F:\WINDOWS\system32\Apphelp.dll...
Scanning Module:F:\WINDOWS\system32\VERSION.dll...

[maXmo]

вытаскивает программы из автозагрузки

жёстко... из реестра? некоторые вири пользуются старым добрым startupом.
а как же BHO?

Кто сказал что в вин 9х не существует рут китов.... еще как существуют