-
Full Member
- Вес репутации
- 64
Ring0 - the source of inspiration
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 66
Эту информацию видел и понял. Вопрос в другом: эти три файла являются частями драйвера RKU?
Они имеют законное право на существование?
Судя по хронологии инсталляции их поставил RKU....
-
Full Member
- Вес репутации
- 64
Это сервис программы, строящий список видимых файлов при сканировании на предмет скрытых файлов. То что их было два в system32 означает, что программа была завершенна некорректно или помешали сторонние программы, т.к. при нормальном завершении основная программа RkU должна их удалить. В System Volume Information сервис попал по прихоти System Restore.
Это не троян, чтобы там антивирусы не орали каждый раз. В конце концов, это их сигнатурные проблемы не наши.
Ring0 - the source of inspiration
-
То что их было два в system32 означает, что программа была завершенна некорректно или помешали сторонние программы, т.к. при нормальном завершении основная программа RkU должна их удалить.
Их что, основная программа создаёт?
Меня интересовал комплект без инсталляции. Скопировал с ПрограмФайлз и Систем32, удалил программу. Она работает... В первый раз ("6656" был в это время только в другой папке, не в каталоге основного файла; и не в Систем32) сказала, что "драйвер уже загружен" и запустилась. И потом без разницы: скопирую "6656" в Систем32, или удалю оттуда и с резервной папки (так что остаётся только в ящике) - программа всё равно работает, скрытые файлы ищет без претензии. Другой вопрос, что дело долгое, ни разу не довёл до конца. Поэтому и не удостоверился, удаляет ли программа этот файл (файл с начала-то уже на "месте", и если вообще не буду включать этот пойск, он не удаляется)...
-
Full Member
- Вес репутации
- 64
Программа работает без инсталяции, все необходимые файлы внутри, по принципу программ от Руссиновича. Инсталятор нужен лишь для создания иконок в Пуске и рандомизации имени приложения.
Ring0 - the source of inspiration
-
Ну, насчёт инсталлятора - это только обстоятельство, при котором появились вопросы (в свете цитаты): если "6656" должен удаляться, то как он появляется в следующий раз? Каким драйвером/службой руководствовалась программа, написав, что драйвер загружен, когда файла "9338CE7C" не было ни в System32, ни в папке программы. И как она искала потом скрытые файлы, если "9338CE7C" был только в ящике? Или у RkU есть скрытые файлы?
-
Full Member
- Вес репутации
- 64
Публичная версия (которая в открытом download) RkU состоит из трех компонентов:
- главное приложение
- драйвер
- сервис
драйвер называется rkhdrvXX.sys, где XX номер версии
сервис называется по разному, в вашем случае 9338ce7c, каждый раз выбирается новое имя
приложение тоже называется случайным образом, это обусловлено, что некоторые китайские руткиты начали искать его по имени.
драйвер и сервис извлекаются из основного приложения, когда в них есть необходимость.
Сервис извлекается всегда, когда происходит сканирование скрытых файлов. После окончания работы он автоматически удаляется с диска.
Ring0 - the source of inspiration
-
Понятно - по необходимости. Должен был догадаться следить за создаваемыми файлами, тогда не спросил бы. Моя вина.
Спасибо за разъяснение. И за программу, само собой.
-
Сообщение от
EvilPhantasy
Публичная версия (которая в открытом download) RkU состоит из трех компонентов:
- главное приложение
- драйвер
- сервис
драйвер называется rkhdrvXX.sys, где XX номер версии
сервис называется по разному, в вашем случае 9338ce7c, каждый раз выбирается новое имя
приложение тоже называется случайным образом, это обусловлено, что некоторые китайские руткиты начали искать его по имени.
Кстати, а есть ли смысл с переименованием?
В конце концов имхо не сложно просканировать каталог, откуда запускается экзешник и поискать там строку rkhdrvXX.sys. А если нашли - считаем что данный файл и есть RkUnhooker. Это я к тому, что если переименовывать, то все сразу
А что за Приватная версия, чего там есть такого чего нету в публичной?
-
Full Member
- Вес репутации
- 64
В конце концов имхо не сложно просканировать каталог, откуда запускается экзешник и поискать там строку rkhdrvXX.sys.
Мда? В пакованном то виде?
А что за Приватная версия, чего там есть такого чего нету в публичной?
ну, например
1. Сканирование файловых систем через порты ввода-вывода
2. Реестр через предыдущее
3. Дополнительные вещи, которые не требуются обычным / продвинутым пользователям
Ring0 - the source of inspiration
-
Visiting Helper
- Вес репутации
- 63
EvilPhantasy
А где можно скачать Ваш тестовый руткит о котором так много говорится на Вашем сайте? И есть ли у Вашей программы форум?
Внешне все выглядит просто замечательно, но необходимо больше информации.
-
-
Full Member
- Вес репутации
- 64
SSDas
Форума нет и в ближайшее время не предвидится, так как это narod.ru и nm.ru
Оба руткита, возможно, будут в d/l летом, выйдут они вместе с четвертой версией RkU и по объективным причинам, раньше релиза программы они появиться не могут. Лично я был против досрочных заявлений и публикаций каких-либо скриншотов.
Первый руткит предназначен для тестирования ARK на поиск скрытых драйверов и полностью обходит антируткиты с такими методами поиска: PsLoadedModulesList, Object Directory, Drivers Objects, Device Objects, Objects Pool Brute-Force, сканирование памяти ядра на предмет PE заголовков, таблиц двордов, M$ NotifyRoutines (LoadImage, CreateThread), анализ двухсвязных списков, очередей драйверов.
Второй более интересен и сложен. По поводу его публикации все есть большие сомнения. В нем удалось реализовать практически абсолютно не поддающийся детектированию стелс файлов / реестра и patch-protection. Предупреждаю сразу, этот руткит не рекомендуется запускать на вашей настоящей машине, так как это может привести к непоправимым последствиям в случае ошибок.
Ring0 - the source of inspiration
-
Visiting Helper
- Вес репутации
- 63
-
-
Visiting Helper
- Вес репутации
- 63
Кстати не могли бы Вы мне помочь здесь, раз уж форума нет. У меня установлено на компьютере две операционные системы WindowsXP SP2. Одна рабочая, старая с 2004 года работает как часы, на ней установлены все программы и выход во внешний мир. Так вот на ней Ваша программа работает замечательно. Другая же новая, на ней ничего не установлено и нету даже выхода в сеть. Система абсолютно чистая. AVZ выдает абсолютно чистые логи. Руткитов по данным других антируткитов нет. Но Ваш антируткит почему-то не запускается. Выдает ошибку:"Error loading data file". Причем драйвер он успевает загрузить до ошибки. Я теряюсь в догадках.
-
-
Full Member
- Вес репутации
- 64
Баги / ограничения в текущей реализации парсера NTFS. Она разбирается самостоятельно через disk.sys минуя ntfs.sys.
После того как малвара начала лочить системные файлы на диске, не давая тем самым их проверить RkU был полностью переведен (v.3.31) на собственный парсер ntfs, абсолютно все. Как и ожидалось полезли баги. В следующей версии мы постараемся от этого избавиться.
Ring0 - the source of inspiration
-
Visiting Helper
- Вес репутации
- 63
-
-
Если тыкнуть в какой-нибудь пункт меню то программа стабильно вешается, съедая при этом 100% CPU. Убить не могу ни через таск менеджер ни через процес эксплорер
Система WinXPSP2 Corp, NOD32.
-
-
Сообщение от
lynx rus
Если тыкнуть в какой-нибудь пункт меню то программа стабильно вешается, съедая при этом 100% CPU. Убить не могу ни через таск менеджер ни через процес эксплорер
Система WinXPSP2 Corp, NOD32.
Попробуйте выгрузить нод32 из памяти , проблема исчезла ?
-
-
Visiting Helper
- Вес репутации
- 63
EvilPhantasy
В деле обнаружения руткитов Вы лучшие.
Может быть, как-то можно получить 4 версию RKU, а то уж очень хочется быть до конца уверенным в надежности функционирования тех компьютеров, которые я обслуживаю.
-
-
EvilPhantasy, на Win2k3 SP2 при попытке запуска RkU получаю:
Error loading driver, NTSTATUS code: C0000183.
Возникает вопрос: это лаг моей системы, или баг RkU?
The worst foe lies within the self...
-