Здравствуйте, gear nuke, Вы писали:


GN>То есть они по блэк-листу фильтруют? Блэклисты вообще не надежный подход (так сделано и в combofix), поскольку можно просто поменять имя.

Ну блек лист по имени это канечто сомнительная фича, либо MD5(можно даже не на весь файл, а на кусок), либо простой сигнатурный движок.

А вообще по хорошему, антируткит технологии не очень спасают от всех вредителей кернел-моде. Мне так кажется что нужен антивирус с возможностями антируткита(например прямой доступ к NTFS, т.е. своя парсилка). И неплохобы сделать свою загрузочную ОС, и оттуда чекать. Ну при инсталляци АВ, сделатьл из основной ОС, вторую, урезанную. Вот только тут вопрос лицензии.

Здравствуйте, Denwer, Вы писали:

D>Мне так кажется что нужен антивирус с возможностями антируткита(например прямой доступ к NTFS, т.е. своя парсилка).

А много ли это даст? Современный уровень технологий позволяет генерировать уникальные штаммы на каждой машине, что сделает сигнатурный анализ бесполезным.

D> И неплохобы сделать свою загрузочную ОС, и оттуда чекать. Ну при инсталляци АВ, сделатьл из основной ОС, вторую, урезанную. Вот только тут вопрос лицензии.

По-моему, того же можно добиться заменив драйвер своим бутлоадером.

Здравствуйте, gear nuke, Вы писали:

GN>По-моему, того же можно добиться заменив драйвер своим бутлоадером.

Как вариант: пропатчили tcpip.sys
Он грузится, если необходимо удаляет хуки различные, ну а потмо грузит нужный драйвер.

А еще хуже когда ядро пропатчили.

Здравствуйте, Denwer, Вы писали:

D>Как вариант: пропатчили tcpip.sys

Это как peacomm один из последних? Ну, во-первых, целостность стандартного файла можно проверить, а во-вторых, даже если снимать нотификатор — я знаю еще как минимум 2 способа сделать аналогичное.

Здравствуйте, gear nuke, Вы писали:

GN>Здравствуйте, Denwer, Вы писали:

D>>Как вариант: пропатчили tcpip.sys

GN>Это как peacomm один из последних? Ну, во-первых, целостность стандартного файла можно проверить, а во-вторых, даже если снимать нотификатор — я знаю еще как минимум 2 способа сделать аналогичное.

Вот уже минусы идеологии, тут не должно быть кто сколько знает, и кто сколько обезвредит, это же получается дело времени найти все твои хуки или нотификаторы.

Кстати, а почему бы не сделать отдельный форум по компьютерной безопасности?

Здравствуйте, Denwer, Вы писали:

D>Вот уже минусы идеологии, тут не должно быть кто сколько знает, и кто сколько обезвредит, это же получается дело времени найти все твои хуки или нотификаторы.

Это я не к тому, что переделка сразу обломит чайников, а к тому, что в эту сторону можно долго развивать атаку-защиту с переменным успехом. Впринципе это и не нужно. Меня больше беспокоит вопрос, достаточны ли мощности современных ботнетов для подбора SHA.

D>Кстати, а почему бы не сделать отдельный форум по компьютерной безопасности?
Создадим новый форум?

Автор: Sinclair
Дата: 26.11.04

и поиск по форуму RSDN должны принести ответ

Здравствуйте, Denwer, Вы писали:

D>Кстати, а почему бы не сделать отдельный форум по компьютерной безопасности?

Вопрос к команде RSDN

Автор: kochetkov.vladimir
Дата: 14.11.07

Здравствуйте, gear nuke, Вы писали:

GN>Меня больше беспокоит вопрос, достаточны ли мощности современных ботнетов для подбора SHA.

Так скажем слабым местом у ботнетов сейчас это сервера, не выдерживают нагрузок. Решение канечно существует, это распределенная сеть ботнет, без централизованного управления. Такая есть насколько мне известно в единичном экземпляре, достаточно сложна логика таких программ. Но это как раз следующий шаг ботнетов.

Здравствуйте, Denwer, Вы писали:

D>слабым местом у ботнетов сейчас это сервера, не выдерживают нагрузок.

В криптографии исходят из того, что атакующая сторона обладает всеми необходимыми техническими средствами. Если у кого-то и есть проблемы с сервером, это не значит, что так у всех, в сети достаточно примеров серверов выдерживающих на порядки большие нагрузки.

D>Кстати, а почему бы не сделать отдельный форум по компьютерной безопасности?

Da nifik on nujen. Chto, etogo malo?

В бинарнике zenadriver.sys бОльшая часть забита нулями.
Статический буфер?

Здравствуйте, <Аноним>, Вы писали:

А>Статический буфер?

// userland pass data here...
///\todo  fix constant size problem
static const char shared_data[shared_data_size] = ZENADRIVER_SIGNATURE_SHARED_DATA;

А к чему вопрос то?

Здравствуйте, gear nuke, Вы писали:
тра-ля-ля.

Ну и дальнейшее движение будет или нет ?
Алкогольный драйвер не ловит, а ведёт он себя похуже некоторых руткитов %)
Читается только из raw
Некоторые хидден дрова вроде не ловит, толком небыло желания копать.

Ложняки вот у меня
aec.sys
Cdaudio.SYS
DMusic.sys
Sfloppy.SYS
splitter.sys
swmidi.sys

Здравствуйте, lamogun, Вы писали:

L>Ну и дальнейшее движение будет или нет ? Алкогольный драйвер не ловит, а ведёт он себя похуже некоторых руткитов %)

Спасибо за интерес. здесь микроисправление, v0.26 ловит дрова, что не скрывают себя, но блокируют доступ к файлам, вроде runtime2.sys и, кстати, sptd.sys

L>Читается только из raw

То есть?

L>Некоторые хидден дрова вроде не ловит, толком небыло желания копать.

А можно сэмплы? А то немного расплывчатый багрепорт. Некоторые дрова действительно не ловятся, например, если малвара состоит из 2х дров и первый загружает 2й, то последний не будет задетекчен, т.к его некому будет грузить.

L>Ложняки вот у меня
L>aec.sys
L>Cdaudio.SYS
L>DMusic.sys
L>Sfloppy.SYS
L>splitter.sys
L>swmidi.sys

Это у всех (ОС обычно восстановает эти файлы). Здесь понятно, что следует делать проверку целостности, но мне немного сложнее, чем счастливым пользователям стандартных хидеров.

GN>ИМХО пора уже выходить из каменного века

Пора, пора. Пора перестать сидеть админами на рабочих столах, и никаких руткитов не будет.

Пора перестать открывать спам из почты, особенно когда почтарь под админом запущен.

Пора перестать жать "Да" на пожелания вебсайтов установить софтины, ускоряющие все подряд, или там всякие GATORы и GAINы.

Это как минимум. Как максимум еще желателен регулярный Windows Update (многие вирусы пишутся уже после апдейта путем сравнения апдейтнутой DLL и старой, это сразу указывает на дыру в старой DLL), и сидение за NATом.

GN>В последнее время актуальность юзерлендных руткитов снизилась из-за практически гарантированного детекта, поэтому далее речь пойдёт о детектировании руткитов, использующих драйвера.

Да, совсем забыл. 64битная Виста — это новый уровень борьбы с кернеловскими руткитами, по всем известной причине.

ПиЭмша по этой группе фич — Дженнифер Степлер — мне лично на MVP Summitе говорила, что именно удушение малвари есть одна из главных причин введения всего этого. Борьба с кряками — вторая причина. Конечно, она сказала не все, из других источников — например, руководителей osr.com — стало известно, что все же главная причина это таки DRM для медийного контента, но то, что Дженнифер сказала — реально действует.

Здравствуйте, gear nuke, Вы писали:

GN>Спасибо за интерес. здесь микроисправление, v0.26 ловит дрова, что не скрывают себя, но блокируют доступ к файлам, вроде runtime2.sys и, кстати, sptd.sys
Я как раз об этом и говорил, в алкоголе sptd.sys жестоко прячет другой свой драйвер (название обычно начинается на букву a.....sys)
Антируткиты (и то не все) так-называемые могут только дамп снять с него и то дампится походу он некорректно.
http://www.free-downloads.net/downloads/Alcohol_120_/

L>>Некоторые хидден дрова вроде не ловит, толком небыло желания копать.

GN>А можно сэмплы? А то немного расплывчатый багрепорт. Некоторые дрова действительно не ловятся, например, если малвара состоит из 2х дров и первый загружает 2й, то последний не будет задетекчен, т.к его некому будет грузить.

хз, как будут дам, обычно секретутки в конторах такое зверьё приносят, что часами потом выгребаешь во всей сети :D

Здравствуйте, Maxim S. Shatskih, Вы писали:

GN>>В последнее время актуальность юзерлендных руткитов снизилась из-за практически гарантированного детекта, поэтому далее речь пойдёт о детектировании руткитов, использующих драйвера.

MSS>Да, совсем забыл. 64битная Виста — это новый уровень борьбы с кернеловскими руткитами, по всем известной причине.

MSS>ПиЭмша по этой группе фич — Дженнифер Степлер — мне лично на MVP Summitе говорила, что именно удушение малвари есть одна из главных причин введения всего этого. Борьба с кряками — вторая причина. Конечно, она сказала не все, из других источников — например, руководителей osr.com — стало известно, что все же главная причина это таки DRM для медийного контента, но то, что Дженнифер сказала — реально действует.

хз-хз, AMD тоже раньше говорила что DEP спасёт мир от зловредов..