Показано с 1 по 13 из 13.

В Антивирусе Касперского руткитов нет

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3164

    В Антивирусе Касперского руткитов нет

    Марк Руссинович, известный эксперт в области компьютерной безопасности, активно участвовавший в скандале вокруг руткита Sony, предположил, что в наших продуктах также используются руткит-технологии. Его комментарии были приведены, например, сайтом PCWorld. Марк заявил следующее: «the techniques used by ... Kaspersky's Anti-Virus products are rootkits, a term usually reserved for the techniques that malicious software uses to avoid detection on an infected PC» («технологии, используемые в ... Антивирусе Касперского, являются руткитами, которые обычно применяются вредоносными программами для сокрытия своего присутствия на зараженном ПК»).

    В наших продуктах действительно используется технология iStreams, о которой и говорит Руссинович. Но это никак не руткит.

    Уже два года технология iStreams используется нами для увеличения скорости сканирования. Грубо говоря, наши продукты с технологией iStreams используют NTFS Alternate Data Streams для хранения контрольных сумм файлов, находящихся на жестком диске компьютера. Если контрольная сумма остается неизменной между двумя сканированиями файла, то это означает, что файл не изменялся с момента предыдущей проверки, и повторное сканирование не требуется.

    Для просмотра альтернативных потоков данных NTFS необходимы специальные утилиты. Если антивирус запущен, то он скрывает созданные им потоки, поскольку они являются внутренней служебной информацией программы. Тот факт, что вы не можете увидеть эти потоки даже при помощи специальной утилиты, не делает их опасными. Это также не означает, что продукт, использующий подобные скрытые потоки содержит в себе руткит-технологии.

    Мы не считаем эту технологию руткитом и не верим, что ей могут воспользоваться хакеры или вредоносные программы по следующим причинам:

    * Если Антивирус Касперского запущен, то потоки скрыты, и ни один другой процесс (включая системные) не может получить к ним доступа.
    * Если антивирус выгружен, то потоки становятся видимыми и их можно просмотреть при помощи соответствующих утилит (это стандартное поведение потоков NTFS).
    * Если поток переписан какими-либо (потенциально вредоносными) данными или кодом (например, после перезагрузки в безопасном режиме), то при следующей загрузке системы Антивирус Касперского прочитает потоки, не сумеет распознать их формат и построит базу контрольных сумм заново, удалив любые незнакомые ему данные и код.

    В статье PCWorld также говорится следующее: «Хоть Руссинович и соглашается с тем, что применяемые Symantec и Kaspersky технологии сокрытия не так опасны, как технологии Sony, которую довольно быстро начали использовать вирусописатели, он утверждает, что все три компании прибегают к методам, опасным для пользователей и непригодным с точки зрения экспертов по компьютерной безопасности».

    Никакой опасности для пользователей Антивируса Касперского нет, поскольку нет возможности использовать создаваемые потоки данных иначе, чем задумано авторами антивируса. Думаю, нам следует четко различать вредоносные (или опасные) руткит-технологии и технологии сокрытия, которые не могут быть использованы вредоносными программами.

    Наши продукты используют технологию iStreams для увеличения производительности. Единственным негативным последствием применения этой технологии является увеличение времени деинсталляции продукта, поскольку в процессе деинсталляции необходимо удалить все данные из созданных потоков. Только поэтому в следующей версии наших продуктов будет использоваться иная технология, обладающая аналогичными плюсами, но лишенная этого минуса.

    Руссинович также сказал: «You don't want IT not knowing what's on the systems. ... Not being able to go to the system to do software inventory and disk space inventory, that's just not a good idea» («Нельзя, чтобы IT-профессионалы не знали, что содержится на их компьютерах. ... Невозможность установить, какие программы есть в вашем компьютере, чем заполнен ваш жесткий диск — это просто не самая хорошая идея»).

    Я считаю, что никто не имеет возможности доподлинно знать, что находится в его компьютере. Единственный способ быть в этом уверенным — отформатировать жесткий диск. В этом случае вы точно знаете, что на диске нет ничего, кроме загрузочных секторов.

    Разные программные продукты используют собственные форматы хранения данных, включая собственные форматы сжатия и шифрации. Таким образом, даже IT-профессионалы не знают, что находится внутри файлов подобных форматов. Я не знаю, что находится внутри каждого файла данных на моем собственном компьютере, как не знаю и всех слов из всех книг своей домашней библиотеки.

    Суммируя: я считаю, что проблема «руткитов» чрезмерно раздута. Нам всем — и специалистам-экспертам, и журналистам — следует внимательнее относиться к используемым нами терминам. Нельзя дезинформировать обычных пользователей, неспособных самостоятельно разобраться в сути проблемы.
    Веблог ЛК

  2. Реклама
     

  3. #2
    Full Member Репутация
    Регистрация
    04.10.2005
    Сообщений
    153
    Вес репутации
    44
    ЛЮБАЯ тайна порождает дополнительный интерес. И повышение производительности слегка странными методами рано или поздно превратит производительность в огромную проблему.

    Ну нет ничего секретного на свете, кроме души человеческой, да и та рано или поздно покажет сама себя

    Извините за флейм.

  4. #3
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    54
    Гы гы гы. Выгружаем касперского, меняем контрольные суммы, загружаем касперского.... А кстати, перехват ZwOpenProcess (и еще нескольких функций, сраные левые джампы и т.д.) чем не руткит? %)) Помню, были у меня проблемы и с деинсталляцией известного klif.sys.... Руссинович еще не раскрыл тему полностью %)

  5. #4
    External Specialist Репутация Репутация Аватар для sergey_gum
    Регистрация
    13.05.2005
    Адрес
    Россия, Московская область
    Сообщений
    482
    Вес репутации
    48
    Это типа Каспер один большой руткит

  6. #5
    Geser
    Guest
    В Версии 2006 эта технология уже не используется

  7. #6
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    51
    >А кстати, перехват ZwOpenProcess

    В таком случае в мире оооочень много руткитов... еслиб Вы Xen понимали термин "rootkit" выбы такое не говорили...
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  8. #7
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    54
    Термин руткит мне вполне понятен, а запостил я в этом треде скорее в целях поиронизировать...

  9. #8
    Sanja_Guest
    Guest
    Цитата Сообщение от Xen
    Термин руткит мне вполне понятен, а запостил я в этом треде скорее в целях поиронизировать...
    термин руткит - код перехватывающий функции с целью сокрытия чегото от чеголибо.

    перехватом (zw)TerminateProcess & (zw)OpenProcess спрятать ничего нельзя

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    133
    Цитата Сообщение от Sanja_Guest
    термин руткит - код перехватывающий функции с целью сокрытия чегото от чеголибо.
    а я-то думал, что слово "root" обозначает вовсе не "перехват" и даже не "сокрытие"...

  11. #10
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    54
    Ок, ликбез.

    Термин изначально пошел из *nix среды, в которой логин администратора традиционно называется root. Соответственно, средство для его удержания - rootkit, а так как удерживаем нелегально, то опять же классический руткит включает в себя средства маскировки деятельности чужака, чаще всего - на уровне ядра, в случае линукса 2.4 не самых поздних версий - методом перехвата syscall table, что достаточно схоже с Windows-руткитами.

    В наши дни руткитами несведующие люди обзывают все, что так или иначе применяет перехват системных вызовов или юзермод функций. Это в целом не совсем корректно, руткит - средство для удержания привелегий системного администратора на атакуемой машине... Однако схожий код применяется в самых различных приложениях, в антивирусах, системах контроля DRM и т.д. и т.п...

  12. #11
    Sanja_Guest
    Guest
    Цитата Сообщение от MOCT
    а я-то думал, что слово "root" обозначает вовсе не "перехват" и даже не "сокрытие"...
    обозначает - да...
    но терминология сейчас поменялась...

    да и даже в прошлой терминологии руткит - код помогающий получить или удерживать права рута к перехфату (zw)TermianteProcess i OpenProcess неподходит Ж)

  13. #12
    Sanja_Guest
    Guest
    (zw)TermianteProcess i OpenProcess неподходит Ж)[/QUOTE]
    Хех нечитая твой пост Ксен ответил также Ж) ты совершенно прав в терминологии но неправ по поводу перехвата функций

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    207
    Symantec признала использование rootkit-подобных технологий в своем продукте Norton SystemWorks и уже выпустила обновление устраняющее данную проблему.

    http://www.eweek.com/article2/0,1895,1910077,00.asp

    Norton SystemWorks имеет функцию "Protected Recycle Bin", она позволяет пользователю восстановить удаленные ранее файлы, которые иначе были бы невосстанавливаемы. Файлы хранятся в папке C:\Recycler\Nprotect, - и эта папка скрыта с использованием rootkit технологии. Потенциальная проблема в том что любой malware уже запущенный в системе может скопировать себя в эту папку, - и SystemWorks скроет его от пользователя и от антивирусного сканера.

    http://www.f-secure.com/weblog/archi....html#00000776

    Rootkit'ом традиционно считают инструментарий используемый хакерами для скрытия присутствия злонамеренных файлов и программного обеспечения в системе, но есть некоторые дебаты относительно того нужно ли все программное обеспечение которое использует эти методы сокрытия называть rootkit.
    Определение термина "rootkit" стало важной проблемой для Symantec, которая не хочет попасть в ситуацию с Sony BMG Music Entertainment, встроившую rootkit в свое DRM ПО. Эксперты признают что ПО Sony было намного более опасно чем Symantec, но ведь и ПО от Sony использовало методы сокрытия не для захвата контроля за системой пользователя, а только для обеспечения управления правами копирования.
    Марк Руссинович, первым обнаруживший использование rootkit технологии в ПО Sony привел доводы в пользу строго технического определения термина, т.к. по его словам "мотивации должны быть отделены от определения, а последнее должно быть технологически ориентированным и не нести социальных компонент". Это мнение расходится с мнением Symantec.

    http://www.infoworld.com/article/06/...rootkit_1.html


    В Risk Model Description, опубликованной Anti-Spyware Coalition (куда среди прочих входит и Symantec) "сокрытие файлов, процессов или другой информации от пользователя или системных утилит" отнесено к высокому фактору риска

Похожие темы

  1. Ответов: 3
    Последнее сообщение: 05.05.2010, 12:44
  2. Ответов: 4
    Последнее сообщение: 25.06.2009, 20:12
  3. Ответов: 0
    Последнее сообщение: 04.02.2009, 10:38
  4. Ответов: 10
    Последнее сообщение: 08.06.2005, 18:05
  5. Уязвимость в Антивирусе Касперского
    От SDA в разделе Антивирусы
    Ответов: 1
    Последнее сообщение: 11.04.2005, 00:19

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00344 seconds with 17 queries