-
Gmer
Польская утилита предназначенная для поиска и удаления rootkit'ов.
Помимо обнаружения скрытых процессов, файлов, сервисов, ключей реестра и т.д. обладает встроенными средствами мониторинга, - может отслеживать создание процессов, ключей реестра, загрузку драйверов, dll и т.д. Текущая версия 1.0.11.
Загрузить
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Full Member
- Вес репутации
- 66
Сайт Пржемуслава убит нашими согражданами, но программу можно найти на куче файло-помоек.
Интересные фишки "продукта" Гмерека:
1. При запуске на MS ВМ, если много и прозаично тыкать в программу (а иногда и без этого) она может с 70% вероятностью намертво зависнуть. Поможет только ресет.
2. Иногда считает сама себя скрытым процессом.
3. С хакдефом на борту при убийстве процесса хакдефа у гмера начинается нескончаемый хандл-леак, по несколько десятков в секунду.
4. Бсодит с INVALID_PROCESS_ATTACH_ATTEMPT, если процесс неожиданно выходит на старте винды.
5. Инлайн хуки выглядят очень интересно, в частности обнаружены страшные хуки инструкцией nop, хуки с length 1 байт, хуки в KiDispatchInterrupt + 9 кб (функция давно кончилась). При сканировании сразу после старта винды ГМЕР сходит с ума и начинает выводить мегатонны ложных обнаружений в лог. Это связано с тем, что творчество Пржемуслава пытается просканировать вышедший userinit.exe и, очевидно, слетает с катушек. Сам автор признал сие недоразумение. Впрочем, сейчас он больше занят проблемами ддоса своего сайтика и его зеркал.
6. Часто бсодит при сканировании дисков и реестра на чистой винде.
7. Функции мониторинга реализованы черезж. Ради эксперимента можете попробовать на ВМ, если удастся загрузиться после старта такого мониторинга мои 286 поздравлений.
8. Пржемуслав любитель констант, детект некоторых руткитов у него забит через константные значения (: Например badrkdemo детектится по константе ObOpenObjectByName (((:
Последний раз редактировалось EvilPhantasy; 12.01.2007 в 18:48.
Причина: опечатался
Ring0 - the source of inspiration
-
Сообщение от
EvilPhantasy
Сайт Пржемуслава убит нашими согражданами
...
А откуда информация, если не секрет, можно узнать источник?
Вообще, тот факт, что сайт и его зеркала кто-то ддосит, может значить лишь одно - прога реально достала сообщество "кул-хацкеров", что, в принципе, может косвенно говорить о ее качестве в некоторых аспектах.
По поводу остального: утилита довольно интересная, хотя и не беспроблемная (в смысле BSOD-ов). Юзать и юзать, в общем. Если бсодит - писать автору. Главное, чтобы Пржемуслав не останавливался на достигнутом...
-
-
Full Member
- Вес репутации
- 66
А откуда информация, если не секрет, можно узнать источник?
От друзей друзей (: Проблема не в софте, а в товарище Пржемуславе, который очень не лестно выражался кое в чей адрес, неприкрыто тырил код (наш, кстати, тоже =) ) ну и, соответственно, получил. У них есть целая ветка с тучей постов на malware research форуме (основное место обитания Пржемуслава), где обиженные хостеры Гмерика жалуются на ддос.
Да на самом деле тулза у него полное г. Никаких проблем никому она в принципе создать не в состоянии (ну кроме бсодов у юзеров). Ядерные руткиты она детектит только по ключам (и то если есть информация о них). Детект файлов заключается в непосредственной отсылке IRP драйверу диска, реализовано это глючно и бсодолюбиво. Файлы он удаляет через API, что очень часто дает 0xC0000022, 0xC0000033. Хуки GMER детектить не умеет (ну кроме SSDT), потому что, то что выдается юзеру во время скана на 95% ложные срабатывания. Тип хуков и адрес обработчика определять GMER почти не умеет. Достаточно использовать push/ret и тулза уже не знает, что захукало. Детект процессов слизан подчистую (и так же криво) с Ms-Rem'овского Process Hunter. Поэтому ГМЕР и не работает нормально под Win2003. Драйверы детектировать эта программа в принципе не умеет (по ходу он побоялся слизать с DarkSpy, поскольку во время появления китайского детектора к товарищу уже возникали вопросы), интерфейс напоминает пародию на "лучшие" образчики программ под Windows 98. Средства "мониторинга", встроенные в программу представляют серьезную опасность для тех, кто вдруг по тем или иным причинам, решит их использовать.
Последний раз редактировалось EvilPhantasy; 13.01.2007 в 08:21.
Ring0 - the source of inspiration
-
to EvilPhantasy:
судя по высказываниям, вы прям фанат его творчества.
А за что такое обожание, за "неприкрыто тырил код"?
(к слову, код или подходы к тем или иным вещам?)
-
Full Member
- Вес репутации
- 66
Я также фанат творчества Pjf'a (за флуд на мой ящик), Miel и DarkSpy Security Group (у нас с ними были разногласия) в лице cardmagic'a лично (:
о Гмереке (это его имя если что)
Вопрос интересный. Скажем так, попробуйте пообщаться с этим типом (:
Тырить он любит код - restoring SSDT, phide_ex детект, методы из Process Hunter (слизан PspCidTable я думаю), безо всякого упоминания о авторах. Сплавляет все руткиты с rootkit.com Касперскому (будто то бы они сами не могут зайти туда), бегает на задних лапках перед всеми антивирусными компаниями. Вот только один пример его поведения, перед эпохой ддоса его сайта он якобы намалевал мега руткит, который скрывает свой файл от всех руткит-сканеров. Польский гений видимо считает, что аттач к девайсам с последующей фильтрацией IRP до него никто не реализовал (= Так вот, на логичные пожелания протестировать его руткит не на его компе (можете поискать ветку на wilderssecurity.com - gmer test rootkit), он зажался и заявил, что его великий руткит будет доступен только вендорам AV компаний. Он не сказал, но видимо за деньги. Как будто этот руткит им нужен ((((: Технология, если этот супер руткит действительно существует, стырена с fhide, опубликованного на rootkit.com PE386 (без всяких ограничений), только вместо хуков Гмерек аттачнулся к девайсу диска, либо что-то новое, но это мне видится таким же вероятным как жизнь на Луне.
Ring0 - the source of inspiration
-
Был
Сообщение от
EvilPhantasy
У них есть целая ветка с тучей постов на malware research форуме (основное место обитания Пржемуслава), где обиженные хостеры Гмерика жалуются на ддос.
Это на malware-research.co.uk? А там есть что-нибудь полезное, т.е. есть ли вообще какой-либо смысл там зарегистрироваться - а то, насколько мне помнится, форум был закрытым, а "проситься" к ним, не зная, чего там ожидать, ей-богу, как-то влом... =)
Сообщение от
EvilPhantasy
Технология, если этот супер руткит действительно существует, стырена с fhide, опубликованного на rootkit.com PE386 (без всяких ограничений), только вместо хуков Гмерек аттачнулся к девайсу диска, либо что-то новое, но это мне видится таким же вероятным как жизнь на Луне.
Да уж... =) PE386 там так понаписал на своем супер-английском, что народ даже принял его за китайца, использовавшего машинный перевод! Я к сожалению, кода его не видел, так как он не придумал ничего прикольнее, как залить его на рапидшару (впрочем, он, видимо, сделал это специально, т.к. уже неоднократно был замечен за удалением собственных сообщений на форумах), и к моменту окончания моего отпуска там уже ничего не осталось, но по очень мутному описанию смог только понять, что он использует инлайн-хуки для нескольких экспортируемых функций. Ну, ничего сверхъестественного, что реально стоило бы кому-то "слизывать", если честно, я не вижу. Если GMER действительно приаттачился к девайсу и фильтрует IRPs (в чем тоже нет невероятных сложностей) - ну, поживем-увидим... На самом деле, все это пока слова (очень много слов) о том, что вот "кто-то где-то написал невидимый руткит", это чистое бла-бла-бла и пиар.
Последний раз редактировалось aintrust; 14.01.2007 в 15:08.
Причина: Убрал "лишнее"...
-
-
Full Member
- Вес репутации
- 66
Сообщение от
aintrust
Это на malware-research.co.uk? А там есть что-нибудь полезное, т.е. есть ли вообще какой-либо смысл там зарегистрироваться - а то, насколько мне помнится, форум был закрытым, а "проситься" к ним, не зная, чего там ожидать, ей-богу, как-то влом... =)
Да, это этот отстойник. Он по-прежнему закрытый и по-прежнему там все под контролем Пржемуслава и его собутыльников. Ничего интересного на этом форуме нет и не будет, поскольку публика там одна и та же, речи одни и те же, демагогия одним словом.
Сообщение от
aintrust
Да уж... =) PE386 там так понаписал на своем супер-английском, что народ даже принял его за китайца, использовавшего машинный перевод!
Его сила не в английском. Да, чтобы понять, что там написано требуется перевод сначала на английский, но ценность представляет не трепалогия (кою там многие любят страдать), а собственно пример. Там несколько инлайн хуков на функции с последующей фильтрацией по сигнатуре. Вообще то он сам написал, что это пример, PoC, как обойти Blacklight и RootkitRevealer, а то слишком многие товарищи считают их невероятно крутыми руткит-детекторами. Лично меня всегда раздражали заявления Марка по поводу
Сообщение от
Mark Russinovich
It is theoretically possible for a rootkit to hide from RootkitRevealer. However, this would require a level of sophistication not seen in rootkits to date.
Ага, Марк, в 2005, может быть.
Сообщение от
aintrust
На самом деле, все это пока слова (очень много слов) о том, что вот "кто-то где-то написал невидимый руткит", это чистое бла-бла-бла и пиар.
Касательно Гмерека, конечно, это бла-бла-бла. По крайней мере, пока он решит открыть свою жуткую тайну. А что касается детищ PE386, вообще то вторую версию в самом начале нашли только внешним сканированием и по второстепенным признакам ((: Многие антивирусы до сих пор не в состоянии обнаружить даже неактивную копию, что говорит не только о количестве билдов, но и о количестве билдов присланных в сигнатурный цех.
Сообщение от
aintrust
Я к сожалению, кода его не видел, так как он не придумал ничего прикольнее, как залить его на рапидшару (впрочем, он, видимо, сделал это специально, т.к. уже неоднократно был замечен за удалением собственных сообщений на форумах)
Штирлиц отдыхает (: но его можно понять.
Ring0 - the source of inspiration
-
Сообщение от
EvilPhantasy
А что касается детищ PE386, вообще то вторую версию в самом начале нашли только внешним сканированием и по второстепенным признакам ((:
Не знаю, что он там написал в 3-й версии (которая Rustock.C), однако до сих пор ничего особо революционного в его творениях я не увидел. 2-я версия в сравнении с 1-й - очевидный прогресс, однако в этой 2-й версии были просто собраны методики так или иначе уже известные (ну, пусть и не слишком часто используемые, но уж точно далеко не новые). А что касается борьбы с версией .B известными антивирусными компаниями - ну, что тут сказать? =) Налицо полный кризис чисто сигнатурных методов, в связи с чем многие вендоры резко кинулись в проактивку, "продвинутую" эвристику, сэндбоксинг и написание детекторов руткитов (о качестве последних лучше умолчим).
С другой стороны, "проблема" большинства руткитописателей сейчас - это изначально слабое знание предмета (отсюда и стремление к чрезмерной простоте в реализации), бездумная copy-paste технология (и даже прямо на уровне файлов-драйверов, как это было с творением fuzen_op-а) и, самое главное, неспособность придумать действительно нечто оригинальное. Зато налицо непреодолимое желание поскорее заявить о себе в сообществе кулхацкеров. На таком фоне любая мало-мальская модификация уже существующей техники или любой эволюционный шаг кажутся ну чуть ли не "подвигом" (это я, к примеру, о phide_ex или BadRkDemo). Ладно, будем ждать ITW, если такое вообще случится, 3-ю версию "продукта" от PE386 - авось будет что-то посвежее и поинтереснее... =)
-
-
Full Member
- Вес репутации
- 66
Дык программисты точно такого же качества (из тех же пту) работают и в антивирусных компаниях =)
badrkdemo революционным руткитом не является, более того его название как нельзя точно передает суть. Сей руткит полное г, китайцы не придумали ничего лучше чем убрать модуль из листа и задрючить одну функцию. На этом все фишки сего руткита заканчиваются. Причем, видимо, было какое-то наличие сговора с pjf (что не удивительно, поскольку они в одном пту), так как его тулза почему-то не видит cardmagic'овский sht, хотя в принципе применяет object directory walking.
Другое дело phide_ex. На мой взгляд, это самый интересный руткит 2006 года. Конечно, в реальных делах это врядли применимо, поскольку слишком нестабильно и не доработано, но идея очень красивая.
Безусловно большинство троев и вирусов работающих сейчас - полное г, написанное путем ctrl-c, ctrl-v недоучками и сопливыми идиотами. Но так было и будет всегда. Что касается rustock.b, ну не знаю =) Все программирование базируется на использовании чьих-то методик и выработки своих. В rustock это есть. Это далеко не ламерский руткит и интересен он не той частью, которой он запалился, а инлайн хуками глубоко в дровах, первыми среди малварных руткитов ядерными IAT перехватами (но эта метода, в принципе, стара как мир, однако в ядре она доселе редко применялась, разве что Alcohol'ем).
Ring0 - the source of inspiration
-
Full Member
- Вес репутации
- 66
Только что получил послание от админа вышеупомянутого форума. Интересуется какую сверхсекретную информацию о досе стыренную с их места я тут публикую. Так как товарищ русский не понимать, транслятор гугль оставляет желать лучшего и буковок ddos я что-то тоже здесь до этого момента не наблюдал, я делаю простой вывод, что кто-то тут очень любит рапортовать. И не только старшим по званию.
No top-secret information about DDoS attack on www.gmer.net was not published here or on any other public forum. Relax guys.
p.s. стук-стук-стук, кто там?
Ring0 - the source of inspiration
-
Интересуется какую сверхсекретную информацию о досе стыренную с их места я тут публикую.
Я плакаль
-
-
Full Member
- Вес репутации
- 66
Ring0 - the source of inspiration
-
-
-
хахахахаха =))) 5 баллов=)
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Full Member
- Вес репутации
- 66
Получение почти гарантированного BSOD'а с GMER'ом.
Нужна чистая от руткитов винда, само супер стабильное приложение версии 1.012 (не важно какой билд) и магия в чистом виде.
1. Идем на вкладку "Rootkit" =))
2. Выбираем скан процессов, ниток, системы (btw wtf что это такое никому не известно), ставим галку "Show all"
3. Находим в жутко сгруппированном списке System Idle Process.
4. Убиваем его, можно заодно грохнуть и System (или в обратной последовательности)
5. Если фокус удался сразу чувствуется жуткое отупление GMER'а
6. Закрываем его (он будет сильно тупить)
7. Запускаем его снова и через пару секунд, а то и со старта вылетает INVALID_PROCESS_ATTACH_ATTEMPT.
Сей баг Гмерек не может зафиксить с июня прошлого года, когда я впервые ему его показал на si =)
Последний раз редактировалось EvilPhantasy; 25.01.2007 в 13:27.
Ring0 - the source of inspiration
-
Junior Member
- Вес репутации
- 65
Сообщение от
EvilPhantasy
No top-secret information about DDoS attack on
www.gmer.net was not published here or on any other public forum. Relax guys.
p.s. стук-стук-стук, кто там?
Да нет, это за тобой следят =) Вчера тоже кто-то транслятором перевоил тему на моем сайте, там где ты про GMER рассказываешь, смотрел твой прифиль и т.п. Логи есть.
[URL="http://www.rootkits.ru"]www.rootkits.ru[/URL]
-
Сообщение от
VIKT0R
Да нет, это за тобой следят =) Вчера тоже кто-то транслятором перевоил тему на моем сайте, там где ты про GMER рассказываешь, смотрел твой прифиль и т.п. Логи есть.
За всеми в той или иной мере следят
-
-
Чистая Windows Vista 32 бит.
BSOD сразу после старта в gmer.sys - PAGE_FAULT_IN_NONPAGED_AREA
Чистая Windows XP SP1
BSOD каждый раз при запуске в gmer.sys Не могу загрузить машину!!!!! Кто-нибудь может помочь? Как мне вернуть комп в нормальное состоние?
тридцать раз пожалел что попробовал эту фигню
-
-
Umek - в безопасном режиме пробовали загрузиться?
(при загрузке держите клавишу F8 и в меню выбираете "Безопасный режим" )
-