Показано с 1 по 13 из 13.

RootkitRevealer

  1. #1
    VBA Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    182
    Вес репутации
    81

    RootkitRevealer

    на известном сайте microsoft выложен проект, посвящённый поиску руткитов. подробнее
    Последний раз редактировалось ALEX(XX); 09.11.2007 в 20:45.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280

    Re:RootkitRevealer

    1) Если я правильно понял из описания - эта утилита может только детектировать руткиты (и то - как они признаются - не все), но не может их обезвредить.
    2) It runs on Windows NT 4 and higher.
    А есть руткиты, которые прекрасно работают под Win98

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387

    Re:RootkitRevealer

    Цитата Сообщение от kps
    1) Если я правильно понял из описания - эта утилита может только детектировать руткиты (и то - как они признаются - не все), но не может их обезвредить.
    2) It runs on Windows NT 4 and higher.
    А есть руткиты, которые прекрасно работают под Win98
    Угу, я сначал пошел по пути Sysinternals, но потом плюнул, т.к.
    1. Мало найти, нужно еще и обезвредить (а это намного сложнее)
    2. Не все руткиты прячут свои файлы/ключи - многие блокируют их удаление (но не прячут). Более того, "прятанье" идет зачастую на разном уровне и для разных функций
    3. Масса "руткитов" (точнее троянов с руткит-функцией) универсальна, и работает в Win98 - такой принцип детектирования там не проходит.
    4. Драйвер не дает гарантии от перехвата SDT ...

    А так программа работает, как и все от SysInternals ... приницип типовой - построение списка файлов/ключей реестра средствами API и напрямую через драйвер.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для egik
    Регистрация
    30.10.2004
    Адрес
    Россия, Новороссийск
    Сообщений
    640
    Вес репутации
    60

    Re:RootkitRevealer

    ну допустим она там, что-то нашла и что дальше?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387

    Re:RootkitRevealer

    Цитата Сообщение от egik
    ну допустим она там, что-то нашла и что дальше?
    Дальше это нужно распечатать список наденного, снять HDD, подключить его к чистому ПК и попробовать найти указанные файлы. Иного пути в случае с RootkitRevealer нет, т.к. он детектирует маскирующиеся файлы, но не может блокировать работу руткита. Можно попробовать далее запустить мой AVZ и скомандовать ему блокировать руткит - есть неплохие шансы, что он его деактивирует ... кстати, AVZ и RootkitRevealer в этом плане отлично дополняют друг друга, т.к. в них применяются совершенно разные технологии поиска руткитов.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для egik
    Регистрация
    30.10.2004
    Адрес
    Россия, Новороссийск
    Сообщений
    640
    Вес репутации
    60

    Re:RootkitRevealer

    а переустановка системы, помогает?
    а пока запущу твой АВЗ

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387

    Re:RootkitRevealer

    Цитата Сообщение от egik
    а переустановка системы, помогает?
    а пока запущу твой АВЗ
    Переустановка поверх - нет, а вот удаление системы (желательно с форматирование диска, но как минимум удаление папки Windows и ProgramFiles) - да. Но только перед радикальными мерами нужно сначала понять, руткит ли это - стоит запостить логи RootkitRevealer + AVZ сюда на анализ ...

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для egik
    Регистрация
    30.10.2004
    Адрес
    Россия, Новороссийск
    Сообщений
    640
    Вес репутации
    60

    Re:RootkitRevealer

    сделаю, вот АВЗ молчит ничего не находит, ???

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387

    Re:RootkitRevealer

    Цитата Сообщение от egik
    сделаю, вот АВЗ молчит ничего не находит, ???
    Может тогда и нет ничего ?? У меня на чистом ПК RootkitRevealer находит штук 30 якобы скрытых ключей реестра. Так что однозначно нужен его лог, посмотрим ... тут как и с моим антикейлоггером в AVZ - фиксируется факт того, что что-то не так - а делее нужно анализировать, с чем это связано и насколько это опасно.

  11. #10
    Гость
    Guest

    Question

    Что значит "ошибка загрузки драйвера"? Какого драйвера?
    Из лога АВЗ:
    "1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка загрузки драйвера - проверка прервана"

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387
    Что значит "ошибка загрузки драйвера"? Какого драйвера?
    Из лога АВЗ:
    "1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка загрузки драйвера - проверка прервана"
    В данном случае понимается сдрайвер AVZ.SYS, применяемый AVZ для совершений операций в режимя ядра. Причины - старый AVZ, запуск AVZ с сетевого диска, запуск не из под админа (не хватает прав для установки/запуска драйвера) ...

  13. #12
    Гость
    Guest

    Question

    Если в АВЗ выбрать "Блокировать работу RootKit Kernel-Mode", то после перезагрузки восстанавливается нормальная работа антивирусов, фаерволов и т.д.?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Восстанавливается. Всё противодействие происходит исключительно в оперативной памяти, долговременные настройки не меняются.

Похожие темы

  1. RootkitRevealer ???
    От egik в разделе Софт - общий
    Ответов: 4
    Последнее сообщение: 16.04.2005, 15:26
  2. RootkitRevealer
    От SDA в разделе Другие программы по безопасности
    Ответов: 1
    Последнее сообщение: 26.02.2005, 23:04

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00914 seconds with 16 queries