Страница 2 из 6 Первая 123456 Последняя
Показано с 21 по 40 из 118.

Rootkit Unhooker

  1. #21
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    64
    Ring0 - the source of inspiration

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Junior Member Репутация
    Регистрация
    14.04.2006
    Сообщений
    42
    Вес репутации
    66
    Эту информацию видел и понял. Вопрос в другом: эти три файла являются частями драйвера RKU?
    Они имеют законное право на существование?
    Судя по хронологии инсталляции их поставил RKU....

  4. #23
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    64
    Это сервис программы, строящий список видимых файлов при сканировании на предмет скрытых файлов. То что их было два в system32 означает, что программа была завершенна некорректно или помешали сторонние программы, т.к. при нормальном завершении основная программа RkU должна их удалить. В System Volume Information сервис попал по прихоти System Restore.

    Это не троян, чтобы там антивирусы не орали каждый раз. В конце концов, это их сигнатурные проблемы не наши.
    Ring0 - the source of inspiration

  5. #24
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    202
    То что их было два в system32 означает, что программа была завершенна некорректно или помешали сторонние программы, т.к. при нормальном завершении основная программа RkU должна их удалить.

    Их что, основная программа создаёт?
    Меня интересовал комплект без инсталляции. Скопировал с ПрограмФайлз и Систем32, удалил программу. Она работает... В первый раз ("6656" был в это время только в другой папке, не в каталоге основного файла; и не в Систем32) сказала, что "драйвер уже загружен" и запустилась. И потом без разницы: скопирую "6656" в Систем32, или удалю оттуда и с резервной папки (так что остаётся только в ящике) - программа всё равно работает, скрытые файлы ищет без претензии. Другой вопрос, что дело долгое, ни разу не довёл до конца. Поэтому и не удостоверился, удаляет ли программа этот файл (файл с начала-то уже на "месте", и если вообще не буду включать этот пойск, он не удаляется)...

  6. #25
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    64
    Программа работает без инсталяции, все необходимые файлы внутри, по принципу программ от Руссиновича. Инсталятор нужен лишь для создания иконок в Пуске и рандомизации имени приложения.
    Ring0 - the source of inspiration

  7. #26
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    202
    Ну, насчёт инсталлятора - это только обстоятельство, при котором появились вопросы (в свете цитаты): если "6656" должен удаляться, то как он появляется в следующий раз? Каким драйвером/службой руководствовалась программа, написав, что драйвер загружен, когда файла "9338CE7C" не было ни в System32, ни в папке программы. И как она искала потом скрытые файлы, если "9338CE7C" был только в ящике? Или у RkU есть скрытые файлы?

  8. #27
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    64
    Публичная версия (которая в открытом download) RkU состоит из трех компонентов:

    - главное приложение
    - драйвер
    - сервис

    драйвер называется rkhdrvXX.sys, где XX номер версии

    сервис называется по разному, в вашем случае 9338ce7c, каждый раз выбирается новое имя

    приложение тоже называется случайным образом, это обусловлено, что некоторые китайские руткиты начали искать его по имени.

    драйвер и сервис извлекаются из основного приложения, когда в них есть необходимость.

    Сервис извлекается всегда, когда происходит сканирование скрытых файлов. После окончания работы он автоматически удаляется с диска.
    Ring0 - the source of inspiration

  9. #28
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    202
    Понятно - по необходимости. Должен был догадаться следить за создаваемыми файлами, тогда не спросил бы. Моя вина.

    Спасибо за разъяснение. И за программу, само собой.

  10. #29
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Цитата Сообщение от EvilPhantasy Посмотреть сообщение
    Публичная версия (которая в открытом download) RkU состоит из трех компонентов:

    - главное приложение
    - драйвер
    - сервис

    драйвер называется rkhdrvXX.sys, где XX номер версии

    сервис называется по разному, в вашем случае 9338ce7c, каждый раз выбирается новое имя

    приложение тоже называется случайным образом, это обусловлено, что некоторые китайские руткиты начали искать его по имени.
    Кстати, а есть ли смысл с переименованием?
    В конце концов имхо не сложно просканировать каталог, откуда запускается экзешник и поискать там строку rkhdrvXX.sys. А если нашли - считаем что данный файл и есть RkUnhooker. Это я к тому, что если переименовывать, то все сразу

    А что за Приватная версия, чего там есть такого чего нету в публичной?

  11. #30
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    64
    В конце концов имхо не сложно просканировать каталог, откуда запускается экзешник и поискать там строку rkhdrvXX.sys.
    Мда? В пакованном то виде?

    А что за Приватная версия, чего там есть такого чего нету в публичной?
    ну, например

    1. Сканирование файловых систем через порты ввода-вывода
    2. Реестр через предыдущее
    3. Дополнительные вещи, которые не требуются обычным / продвинутым пользователям
    Ring0 - the source of inspiration

  12. #31
    Visiting Helper Репутация
    Регистрация
    18.03.2007
    Адрес
    г.Новокузнецк
    Сообщений
    44
    Вес репутации
    63
    EvilPhantasy

    А где можно скачать Ваш тестовый руткит о котором так много говорится на Вашем сайте? И есть ли у Вашей программы форум?
    Внешне все выглядит просто замечательно, но необходимо больше информации.

  13. #32
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    64
    SSDas

    Форума нет и в ближайшее время не предвидится, так как это narod.ru и nm.ru

    Оба руткита, возможно, будут в d/l летом, выйдут они вместе с четвертой версией RkU и по объективным причинам, раньше релиза программы они появиться не могут. Лично я был против досрочных заявлений и публикаций каких-либо скриншотов.

    Первый руткит предназначен для тестирования ARK на поиск скрытых драйверов и полностью обходит антируткиты с такими методами поиска: PsLoadedModulesList, Object Directory, Drivers Objects, Device Objects, Objects Pool Brute-Force, сканирование памяти ядра на предмет PE заголовков, таблиц двордов, M$ NotifyRoutines (LoadImage, CreateThread), анализ двухсвязных списков, очередей драйверов.

    Второй более интересен и сложен. По поводу его публикации все есть большие сомнения. В нем удалось реализовать практически абсолютно не поддающийся детектированию стелс файлов / реестра и patch-protection. Предупреждаю сразу, этот руткит не рекомендуется запускать на вашей настоящей машине, так как это может привести к непоправимым последствиям в случае ошибок.
    Ring0 - the source of inspiration

  14. #33
    Visiting Helper Репутация
    Регистрация
    18.03.2007
    Адрес
    г.Новокузнецк
    Сообщений
    44
    Вес репутации
    63
    Спасибо.

  15. #34
    Visiting Helper Репутация
    Регистрация
    18.03.2007
    Адрес
    г.Новокузнецк
    Сообщений
    44
    Вес репутации
    63
    Кстати не могли бы Вы мне помочь здесь, раз уж форума нет. У меня установлено на компьютере две операционные системы WindowsXP SP2. Одна рабочая, старая с 2004 года работает как часы, на ней установлены все программы и выход во внешний мир. Так вот на ней Ваша программа работает замечательно. Другая же новая, на ней ничего не установлено и нету даже выхода в сеть. Система абсолютно чистая. AVZ выдает абсолютно чистые логи. Руткитов по данным других антируткитов нет. Но Ваш антируткит почему-то не запускается. Выдает ошибку:"Error loading data file". Причем драйвер он успевает загрузить до ошибки. Я теряюсь в догадках.

  16. #35
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    64
    Баги / ограничения в текущей реализации парсера NTFS. Она разбирается самостоятельно через disk.sys минуя ntfs.sys.

    После того как малвара начала лочить системные файлы на диске, не давая тем самым их проверить RkU был полностью переведен (v.3.31) на собственный парсер ntfs, абсолютно все. Как и ожидалось полезли баги. В следующей версии мы постараемся от этого избавиться.
    Ring0 - the source of inspiration

  17. #36
    Visiting Helper Репутация
    Регистрация
    18.03.2007
    Адрес
    г.Новокузнецк
    Сообщений
    44
    Вес репутации
    63
    Спасибо еще раз.

  18. #37
    lynx rus
    Guest
    Если тыкнуть в какой-нибудь пункт меню то программа стабильно вешается, съедая при этом 100% CPU. Убить не могу ни через таск менеджер ни через процес эксплорер
    Система WinXPSP2 Corp, NOD32.

  19. #38
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от lynx rus Посмотреть сообщение
    Если тыкнуть в какой-нибудь пункт меню то программа стабильно вешается, съедая при этом 100% CPU. Убить не могу ни через таск менеджер ни через процес эксплорер
    Система WinXPSP2 Corp, NOD32.
    Попробуйте выгрузить нод32 из памяти , проблема исчезла ?

  20. #39
    Visiting Helper Репутация
    Регистрация
    18.03.2007
    Адрес
    г.Новокузнецк
    Сообщений
    44
    Вес репутации
    63
    EvilPhantasy
    В деле обнаружения руткитов Вы лучшие.
    Может быть, как-то можно получить 4 версию RKU, а то уж очень хочется быть до конца уверенным в надежности функционирования тех компьютеров, которые я обслуживаю.

  21. #40
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    EvilPhantasy, на Win2k3 SP2 при попытке запуска RkU получаю:
    Error loading driver, NTSTATUS code: C0000183.
    Возникает вопрос: это лаг моей системы, или баг RkU?
    The worst foe lies within the self...

Страница 2 из 6 Первая 123456 Последняя

Похожие темы

  1. Что думаете по поводу лога ? (rootkit unhooker)
    От Mantopter в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 01.12.2010, 23:13
  2. Rootkit Unhooker
    От Naughty в разделе Beta Testing
    Ответов: 0
    Последнее сообщение: 21.09.2009, 23:36
  3. Ответов: 22
    Последнее сообщение: 01.05.2009, 17:27
  4. Ответов: 30
    Последнее сообщение: 11.10.2007, 01:30
  5. strange behaviour of rootkit unhooker
    От parufka в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 17.02.2007, 00:20

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01596 seconds with 17 queries