Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 52.

Gmer

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    234

    Gmer



    Польская утилита предназначенная для поиска и удаления rootkit'ов.
    Помимо обнаружения скрытых процессов, файлов, сервисов, ключей реестра и т.д. обладает встроенными средствами мониторинга, - может отслеживать создание процессов, ключей реестра, загрузку драйверов, dll и т.д. Текущая версия 1.0.11.

    Загрузить

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    66
    Сайт Пржемуслава убит нашими согражданами, но программу можно найти на куче файло-помоек.

    Интересные фишки "продукта" Гмерека:

    1. При запуске на MS ВМ, если много и прозаично тыкать в программу (а иногда и без этого) она может с 70% вероятностью намертво зависнуть. Поможет только ресет.
    2. Иногда считает сама себя скрытым процессом.
    3. С хакдефом на борту при убийстве процесса хакдефа у гмера начинается нескончаемый хандл-леак, по несколько десятков в секунду.
    4. Бсодит с INVALID_PROCESS_ATTACH_ATTEMPT, если процесс неожиданно выходит на старте винды.
    5. Инлайн хуки выглядят очень интересно, в частности обнаружены страшные хуки инструкцией nop, хуки с length 1 байт, хуки в KiDispatchInterrupt + 9 кб (функция давно кончилась). При сканировании сразу после старта винды ГМЕР сходит с ума и начинает выводить мегатонны ложных обнаружений в лог. Это связано с тем, что творчество Пржемуслава пытается просканировать вышедший userinit.exe и, очевидно, слетает с катушек. Сам автор признал сие недоразумение. Впрочем, сейчас он больше занят проблемами ддоса своего сайтика и его зеркал.
    6. Часто бсодит при сканировании дисков и реестра на чистой винде.
    7. Функции мониторинга реализованы черезж. Ради эксперимента можете попробовать на ВМ, если удастся загрузиться после старта такого мониторинга мои 286 поздравлений.
    8. Пржемуслав любитель констант, детект некоторых руткитов у него забит через константные значения (: Например badrkdemo детектится по константе ObOpenObjectByName (((:
    Последний раз редактировалось EvilPhantasy; 12.01.2007 в 18:48. Причина: опечатался
    Ring0 - the source of inspiration

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    319
    Цитата Сообщение от EvilPhantasy Посмотреть сообщение
    Сайт Пржемуслава убит нашими согражданами
    ...
    А откуда информация, если не секрет, можно узнать источник?

    Вообще, тот факт, что сайт и его зеркала кто-то ддосит, может значить лишь одно - прога реально достала сообщество "кул-хацкеров", что, в принципе, может косвенно говорить о ее качестве в некоторых аспектах.

    По поводу остального: утилита довольно интересная, хотя и не беспроблемная (в смысле BSOD-ов). Юзать и юзать, в общем. Если бсодит - писать автору. Главное, чтобы Пржемуслав не останавливался на достигнутом...

  5. #4
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    66
    А откуда информация, если не секрет, можно узнать источник?
    От друзей друзей (: Проблема не в софте, а в товарище Пржемуславе, который очень не лестно выражался кое в чей адрес, неприкрыто тырил код (наш, кстати, тоже =) ) ну и, соответственно, получил. У них есть целая ветка с тучей постов на malware research форуме (основное место обитания Пржемуслава), где обиженные хостеры Гмерика жалуются на ддос.

    Да на самом деле тулза у него полное г. Никаких проблем никому она в принципе создать не в состоянии (ну кроме бсодов у юзеров). Ядерные руткиты она детектит только по ключам (и то если есть информация о них). Детект файлов заключается в непосредственной отсылке IRP драйверу диска, реализовано это глючно и бсодолюбиво. Файлы он удаляет через API, что очень часто дает 0xC0000022, 0xC0000033. Хуки GMER детектить не умеет (ну кроме SSDT), потому что, то что выдается юзеру во время скана на 95% ложные срабатывания. Тип хуков и адрес обработчика определять GMER почти не умеет. Достаточно использовать push/ret и тулза уже не знает, что захукало. Детект процессов слизан подчистую (и так же криво) с Ms-Rem'овского Process Hunter. Поэтому ГМЕР и не работает нормально под Win2003. Драйверы детектировать эта программа в принципе не умеет (по ходу он побоялся слизать с DarkSpy, поскольку во время появления китайского детектора к товарищу уже возникали вопросы), интерфейс напоминает пародию на "лучшие" образчики программ под Windows 98. Средства "мониторинга", встроенные в программу представляют серьезную опасность для тех, кто вдруг по тем или иным причинам, решит их использовать.
    Последний раз редактировалось EvilPhantasy; 13.01.2007 в 08:21.
    Ring0 - the source of inspiration

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.09.2006
    Сообщений
    44
    Вес репутации
    84
    to EvilPhantasy:
    судя по высказываниям, вы прям фанат его творчества.
    А за что такое обожание, за "неприкрыто тырил код"?
    (к слову, код или подходы к тем или иным вещам?)

  7. #6
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    66
    Я также фанат творчества Pjf'a (за флуд на мой ящик), Miel и DarkSpy Security Group (у нас с ними были разногласия) в лице cardmagic'a лично (:

    о Гмереке (это его имя если что)
    Вопрос интересный. Скажем так, попробуйте пообщаться с этим типом (:

    Тырить он любит код - restoring SSDT, phide_ex детект, методы из Process Hunter (слизан PspCidTable я думаю), безо всякого упоминания о авторах. Сплавляет все руткиты с rootkit.com Касперскому (будто то бы они сами не могут зайти туда), бегает на задних лапках перед всеми антивирусными компаниями. Вот только один пример его поведения, перед эпохой ддоса его сайта он якобы намалевал мега руткит, который скрывает свой файл от всех руткит-сканеров. Польский гений видимо считает, что аттач к девайсам с последующей фильтрацией IRP до него никто не реализовал (= Так вот, на логичные пожелания протестировать его руткит не на его компе (можете поискать ветку на wilderssecurity.com - gmer test rootkit), он зажался и заявил, что его великий руткит будет доступен только вендорам AV компаний. Он не сказал, но видимо за деньги. Как будто этот руткит им нужен ((((: Технология, если этот супер руткит действительно существует, стырена с fhide, опубликованного на rootkit.com PE386 (без всяких ограничений), только вместо хуков Гмерек аттачнулся к девайсу диска, либо что-то новое, но это мне видится таким же вероятным как жизнь на Луне.
    Ring0 - the source of inspiration

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    319
    Был
    Цитата Сообщение от EvilPhantasy Посмотреть сообщение
    У них есть целая ветка с тучей постов на malware research форуме (основное место обитания Пржемуслава), где обиженные хостеры Гмерика жалуются на ддос.
    Это на malware-research.co.uk? А там есть что-нибудь полезное, т.е. есть ли вообще какой-либо смысл там зарегистрироваться - а то, насколько мне помнится, форум был закрытым, а "проситься" к ним, не зная, чего там ожидать, ей-богу, как-то влом... =)

    Цитата Сообщение от EvilPhantasy Посмотреть сообщение
    Технология, если этот супер руткит действительно существует, стырена с fhide, опубликованного на rootkit.com PE386 (без всяких ограничений), только вместо хуков Гмерек аттачнулся к девайсу диска, либо что-то новое, но это мне видится таким же вероятным как жизнь на Луне.
    Да уж... =) PE386 там так понаписал на своем супер-английском, что народ даже принял его за китайца, использовавшего машинный перевод! Я к сожалению, кода его не видел, так как он не придумал ничего прикольнее, как залить его на рапидшару (впрочем, он, видимо, сделал это специально, т.к. уже неоднократно был замечен за удалением собственных сообщений на форумах), и к моменту окончания моего отпуска там уже ничего не осталось, но по очень мутному описанию смог только понять, что он использует инлайн-хуки для нескольких экспортируемых функций. Ну, ничего сверхъестественного, что реально стоило бы кому-то "слизывать", если честно, я не вижу. Если GMER действительно приаттачился к девайсу и фильтрует IRPs (в чем тоже нет невероятных сложностей) - ну, поживем-увидим... На самом деле, все это пока слова (очень много слов) о том, что вот "кто-то где-то написал невидимый руткит", это чистое бла-бла-бла и пиар.
    Последний раз редактировалось aintrust; 14.01.2007 в 15:08. Причина: Убрал "лишнее"...

  9. #8
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    66
    Цитата Сообщение от aintrust
    Это на malware-research.co.uk? А там есть что-нибудь полезное, т.е. есть ли вообще какой-либо смысл там зарегистрироваться - а то, насколько мне помнится, форум был закрытым, а "проситься" к ним, не зная, чего там ожидать, ей-богу, как-то влом... =)
    Да, это этот отстойник. Он по-прежнему закрытый и по-прежнему там все под контролем Пржемуслава и его собутыльников. Ничего интересного на этом форуме нет и не будет, поскольку публика там одна и та же, речи одни и те же, демагогия одним словом.

    Цитата Сообщение от aintrust
    Да уж... =) PE386 там так понаписал на своем супер-английском, что народ даже принял его за китайца, использовавшего машинный перевод!
    Его сила не в английском. Да, чтобы понять, что там написано требуется перевод сначала на английский, но ценность представляет не трепалогия (кою там многие любят страдать), а собственно пример. Там несколько инлайн хуков на функции с последующей фильтрацией по сигнатуре. Вообще то он сам написал, что это пример, PoC, как обойти Blacklight и RootkitRevealer, а то слишком многие товарищи считают их невероятно крутыми руткит-детекторами. Лично меня всегда раздражали заявления Марка по поводу

    Цитата Сообщение от Mark Russinovich
    It is theoretically possible for a rootkit to hide from RootkitRevealer. However, this would require a level of sophistication not seen in rootkits to date.
    Ага, Марк, в 2005, может быть.

    Цитата Сообщение от aintrust
    На самом деле, все это пока слова (очень много слов) о том, что вот "кто-то где-то написал невидимый руткит", это чистое бла-бла-бла и пиар.
    Касательно Гмерека, конечно, это бла-бла-бла. По крайней мере, пока он решит открыть свою жуткую тайну. А что касается детищ PE386, вообще то вторую версию в самом начале нашли только внешним сканированием и по второстепенным признакам ((: Многие антивирусы до сих пор не в состоянии обнаружить даже неактивную копию, что говорит не только о количестве билдов, но и о количестве билдов присланных в сигнатурный цех.

    Цитата Сообщение от aintrust
    Я к сожалению, кода его не видел, так как он не придумал ничего прикольнее, как залить его на рапидшару (впрочем, он, видимо, сделал это специально, т.к. уже неоднократно был замечен за удалением собственных сообщений на форумах)
    Штирлиц отдыхает (: но его можно понять.
    Ring0 - the source of inspiration

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    319
    Цитата Сообщение от EvilPhantasy Посмотреть сообщение
    А что касается детищ PE386, вообще то вторую версию в самом начале нашли только внешним сканированием и по второстепенным признакам ((:
    Не знаю, что он там написал в 3-й версии (которая Rustock.C), однако до сих пор ничего особо революционного в его творениях я не увидел. 2-я версия в сравнении с 1-й - очевидный прогресс, однако в этой 2-й версии были просто собраны методики так или иначе уже известные (ну, пусть и не слишком часто используемые, но уж точно далеко не новые). А что касается борьбы с версией .B известными антивирусными компаниями - ну, что тут сказать? =) Налицо полный кризис чисто сигнатурных методов, в связи с чем многие вендоры резко кинулись в проактивку, "продвинутую" эвристику, сэндбоксинг и написание детекторов руткитов (о качестве последних лучше умолчим).

    С другой стороны, "проблема" большинства руткитописателей сейчас - это изначально слабое знание предмета (отсюда и стремление к чрезмерной простоте в реализации), бездумная copy-paste технология (и даже прямо на уровне файлов-драйверов, как это было с творением fuzen_op-а) и, самое главное, неспособность придумать действительно нечто оригинальное. Зато налицо непреодолимое желание поскорее заявить о себе в сообществе кулхацкеров. На таком фоне любая мало-мальская модификация уже существующей техники или любой эволюционный шаг кажутся ну чуть ли не "подвигом" (это я, к примеру, о phide_ex или BadRkDemo). Ладно, будем ждать ITW, если такое вообще случится, 3-ю версию "продукта" от PE386 - авось будет что-то посвежее и поинтереснее... =)

  11. #10
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    66
    Дык программисты точно такого же качества (из тех же пту) работают и в антивирусных компаниях =)

    badrkdemo революционным руткитом не является, более того его название как нельзя точно передает суть. Сей руткит полное г, китайцы не придумали ничего лучше чем убрать модуль из листа и задрючить одну функцию. На этом все фишки сего руткита заканчиваются. Причем, видимо, было какое-то наличие сговора с pjf (что не удивительно, поскольку они в одном пту), так как его тулза почему-то не видит cardmagic'овский sht, хотя в принципе применяет object directory walking.

    Другое дело phide_ex. На мой взгляд, это самый интересный руткит 2006 года. Конечно, в реальных делах это врядли применимо, поскольку слишком нестабильно и не доработано, но идея очень красивая.

    Безусловно большинство троев и вирусов работающих сейчас - полное г, написанное путем ctrl-c, ctrl-v недоучками и сопливыми идиотами. Но так было и будет всегда. Что касается rustock.b, ну не знаю =) Все программирование базируется на использовании чьих-то методик и выработки своих. В rustock это есть. Это далеко не ламерский руткит и интересен он не той частью, которой он запалился, а инлайн хуками глубоко в дровах, первыми среди малварных руткитов ядерными IAT перехватами (но эта метода, в принципе, стара как мир, однако в ядре она доселе редко применялась, разве что Alcohol'ем).
    Ring0 - the source of inspiration

  12. #11
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    66
    Только что получил послание от админа вышеупомянутого форума. Интересуется какую сверхсекретную информацию о досе стыренную с их места я тут публикую. Так как товарищ русский не понимать, транслятор гугль оставляет желать лучшего и буковок ddos я что-то тоже здесь до этого момента не наблюдал, я делаю простой вывод, что кто-то тут очень любит рапортовать. И не только старшим по званию.

    No top-secret information about DDoS attack on www.gmer.net was not published here or on any other public forum. Relax guys.

    p.s. стук-стук-стук, кто там?
    Ring0 - the source of inspiration

  13. #12
    Geser
    Guest
    Интересуется какую сверхсекретную информацию о досе стыренную с их места я тут публикую.
    Я плакаль

  14. #13
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    66
    Бывает
    Ring0 - the source of inspiration

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    319
    Нет слов! =)

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    391
    хахахахаха =))) 5 баллов=)
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  17. #16
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    66
    Получение почти гарантированного BSOD'а с GMER'ом.

    Нужна чистая от руткитов винда, само супер стабильное приложение версии 1.012 (не важно какой билд) и магия в чистом виде.

    1. Идем на вкладку "Rootkit" =))
    2. Выбираем скан процессов, ниток, системы (btw wtf что это такое никому не известно), ставим галку "Show all"
    3. Находим в жутко сгруппированном списке System Idle Process.
    4. Убиваем его, можно заодно грохнуть и System (или в обратной последовательности)
    5. Если фокус удался сразу чувствуется жуткое отупление GMER'а
    6. Закрываем его (он будет сильно тупить)
    7. Запускаем его снова и через пару секунд, а то и со старта вылетает INVALID_PROCESS_ATTACH_ATTEMPT.

    Сей баг Гмерек не может зафиксить с июня прошлого года, когда я впервые ему его показал на si =)
    Последний раз редактировалось EvilPhantasy; 25.01.2007 в 13:27.
    Ring0 - the source of inspiration

  18. #17
    Junior Member Репутация
    Регистрация
    10.02.2007
    Адрес
    Deutschland
    Сообщений
    18
    Вес репутации
    65
    Цитата Сообщение от EvilPhantasy Посмотреть сообщение
    No top-secret information about DDoS attack on www.gmer.net was not published here or on any other public forum. Relax guys.

    p.s. стук-стук-стук, кто там?
    Да нет, это за тобой следят =) Вчера тоже кто-то транслятором перевоил тему на моем сайте, там где ты про GMER рассказываешь, смотрел твой прифиль и т.п. Логи есть.
    [URL="http://www.rootkits.ru"]www.rootkits.ru[/URL]

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    306
    Цитата Сообщение от VIKT0R Посмотреть сообщение
    Да нет, это за тобой следят =) Вчера тоже кто-то транслятором перевоил тему на моем сайте, там где ты про GMER рассказываешь, смотрел твой прифиль и т.п. Логи есть.
    За всеми в той или иной мере следят
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  20. #19
    Umek
    Guest
    Чистая Windows Vista 32 бит.

    BSOD сразу после старта в gmer.sys - PAGE_FAULT_IN_NONPAGED_AREA

    Чистая Windows XP SP1

    BSOD каждый раз при запуске в gmer.sys Не могу загрузить машину!!!!! Кто-нибудь может помочь? Как мне вернуть комп в нормальное состоние?

    тридцать раз пожалел что попробовал эту фигню

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    116
    Umek - в безопасном режиме пробовали загрузиться?
    (при загрузке держите клавишу F8 и в меню выбираете "Безопасный режим" )

Страница 1 из 3 123 Последняя

Похожие темы

  1. вылетает gmer
    От Manager в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 11.03.2010, 20:42
  2. Gmer
    От GRomaN в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 03.12.2009, 02:22
  3. gmer ругается
    От GRomaN в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 27.11.2009, 19:51
  4. gmer видит .sys
    От Wit12 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 25.03.2009, 18:59

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01147 seconds with 17 queries