Re: Удалить руткит!
AVZ!
Спасибо! Вроде удалился..
В общем случае, руткит можно обнаружить и удалить только из-под чистой системы.
не надо врать. большинство руткитов удаляется той или иной утилитой.
Потрудись сначала хотя бы узнать значение слова "руткит".
Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Или ты понимаешь что-то другое под руткитом. Так просвети меня.
Или ты понимаешь что-то другое под руткитом. Так просвети меня.
И? Термины user-mode rootkit и kernel-mode rootkit на что тебе намекают?
программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.Более правильно - "для скрытия следов присутствия злоумышленника или вредоносной программы и самого руткита в системе".
Смысл руткита как раз в том, чтобы его нельзя было обнаружить (ну и чтобы он при этом ещё давал злоумышленнику возможность сделать что-то нехорошее).
И? Слова "в общем случае" тебе на что намекают?
Открой для себя, что user-mode руткиты спокойно находятся и выкорчевываются после установки драйвера на уровень ядра для реализации альтернативного доступа к файловой системе, процессам и реестру.
omfg, ну посмотрите уже кто-нибудь значение слов "в общем случае" и запостите сюда
Смысл руткита как раз в том, чтобы его нельзя было обнаружитьУ вируса win32.megfcoolvirus.666 смысл - завалить систему нах.
И что с того? МНе в день приходит десяток-другой бодрых рапортов от доктора веба.
Потому что у него нет смысла "спрятаться от самого последнего пропатченного доктора веба".
Открой для себя, что user-mode руткитыОткрой для себя значение слов "в общем случае".
СзМ!
Еще раз повторю, что руткиты бывают двух типов. Один из них спокойно удаляется с зараженной системы при с помощью специализированных программ. Значит, в общем случае твое утверждение не верно.
Потому что у него нет смысла "спрятаться от самого последнего пропатченного доктора веба".У него есть задача убить систему. Не справляется. Почему руткит должен обязательно справляться со своей задачей? Это ж блин соревнование прогеров. руткит vs. антируткит. вот только бой бесконечный. так что если ты не нарвался на самый клёвый свежак, то всё лечится.
После того, как ты на него _уже_ нарвался - вылечить из самой системы не получится, тут легко можно сделать абсолютное оружие.
Точно так же, если ты _уже_ нарвался на вирус, который _уже_ отформатировал твой винчестер и несколько раз забил его случайными данными - никакой антивирус тебе не поможет восстановить систему.
И в случае с руткитами - никакого "Вроде удалился.." быть не может. Единственный способ узнать, удалился ли он - проверить винчестер из гарантированно чистой системы.
Точно так же, если ты _уже_ нарвался на вирус, который _уже_ отформатировал твой винчестер и несколько раз забил его случайными данными - никакой антивирус тебе не поможет восстановить систему.
И в случае с руткитами - никакого "Вроде удалился.." быть не может. Единственный способ узнать, удалился ли он - проверить винчестер из гарантированно чистой системы.
Я тебя понял. В такой трактовке чисто формально с тобой согласен.
У вируса win32.megfcoolvirus.666 смысл - завалить систему нах. И что с того? МНе в день приходит десяток-другой бодрых рапортов от доктора веба.Ну и что? Веб рапортует о файлах, а о не запущенных вирусах. Пока ты файл не послал на исполнение, он безопасный кусок данных. И веб работает именно на этой стадии. А что будет, если сначала проинсталлить вирус, а уже потом запустить сканер веба?
Вообще-то оперативку он тоже сканит и прибивает то до чего смог дотянуться. Хотя доктор веб конечно далеко не идеален и от серьёзных вирусов надо лечиться авз и прочими приблудами. Просто у меня на работе исторически сложился докторвеб.
Ты когда-нибудь лечил руткит? Или хотя бы пытался?
То, что ты имел дело с кривыми легкообнаруживаемыми "руткитами" (непонятно, почему такие поделки ты вообще называешь этим словом не означает, что все они таковы.
Ещё раз. Ты не можешь быть уверен, что в твоей системе нет руткита, пока не проверишь её из гарантированно чистой системы. Изнутри, в общем случае, обнаружить руткит нельзя - так же, как изнутри виртуальной машины с полной эмуляцией железа ты не можешь узнать о том, что находишься внутри виртуальной машины, а двумерный человек на плоскости не может узнать о существовании третьего измерения.
Ещё раз. Ты не можешь быть уверен, что в твоей системе нет руткита, пока не проверишь её из гарантированно чистой системы. Изнутри, в общем случае, обнаружить руткит нельзя - так же, как изнутри виртуальной машины с полной эмуляцией железа ты не можешь узнать о том, что находишься внутри виртуальной машины, а двумерный человек на плоскости не может узнать о существовании третьего измерения.
Начнём с постулата: Все программы не идеальны. Руткит это программа значит он не идеален.
Что значит идеальна? Делает то что хотел разработчик. Не идеальна - не делает то что хотел разработчик или делает это с ошибками. Разработчик руткита хотел чтобы руткит был абсолютно необнаружим. Значит он не абсолютно не обнаружим.
Что хочет создатель антируткита? Чтобы тот обнаруживал все руткиты и убивал к чертям собачьим. По факту получается убивать только тех кого уже нашли и допетрили как лечить.
Джоан Рутковски вон второй год обещает голубую пилюлю под висту и где?
Что значит идеальна? Делает то что хотел разработчик. Не идеальна - не делает то что хотел разработчик или делает это с ошибками. Разработчик руткита хотел чтобы руткит был абсолютно необнаружим. Значит он не абсолютно не обнаружим.
Что хочет создатель антируткита? Чтобы тот обнаруживал все руткиты и убивал к чертям собачьим. По факту получается убивать только тех кого уже нашли и допетрили как лечить.
так же, как изнутри виртуальной машины с полной эмуляцией железа ты не можешь узнать о том, что находишься внутри виртуальной машиныможешь. там будет весьма специфичный набор железа. 100% гарантии конечно глядя на это не дашь, но определить можно. а есть вроде какие специальные утилиты кторые тупо определяют что они запущены на виртуальной машине. во всяком случае я про такое слышал.
двумерный человек на плоскости не может узнать о существовании третьего измерения.а трёхмерный о 13-мерном пространстве (или сколько там надо для гиперструн?)
Джоан Рутковски вон второй год обещает голубую пилюлю под висту и где?
Чтобы тот обнаруживал все руткиты и убивал к чертям собачьимЕщё раз. Не нужно быть гением, чтобы написать руткит, который нельзя обнаружить, не зная о поведении этого конкретного руткита. И не нужно быть особо умным, чтобы написать руткит, который нельзя убить изнутри (если руткит, к примеру, подменил собой драйвер файловой системы - как ты его оттуда вычистишь изнутри системы, не загружаясь в чистую, если он все запросы к этому файлу перенаправляет куда-то ещё?)
там будет весьма специфичный набор железаЗависит от конкретного случая. Эмулировать можно любой набор железа, было бы желание.
100% гарантии конечно глядя на это не дашь, но определить можноУже надо руками глядеть. Руками, конечно, можно вообще зайти в "свойства компьютера" и увидеть, что железо не соответствует тому, которое ты покупал - но автоматический антивирус изнутри не знает о том, какое железо ты покупал.
есть вроде какие специальные утилиты кторые тупо определяют что они запущены на виртуальной машине. во всяком случае я про такое слышал.А я слышал, что принцип работы большинства таких утилит - "смотрим, установлены ли в ОС VMware Addition Tools или что-нибудь вроде того"; они обламываются даже если в простую тупую vmware поставить обычную винду, а в эту гостевую винду не ставить дополнения vmware.
а трёхмерный о 13-мерном пространствеТрёхмерный может _предположить_ существование хоть 1300мерного пространства. А если он у тебя _узнал_ о измерениях выше третьего - то, значит, сам он - уже не трёхмерный.
Джоан Рутковски вон второй год обещает голубую пилюлю под висту и где?Я хз, о чём ты, но предположу, что проблемы возникают, когда мы хотим этот руткит установить незаметно для пользователя. Когда руткит уже стоит - изнутри ты о нём узнать не можешь.
>>Ещё раз. Не нужно быть гением, чтобы написать руткит, который нельзя обнаружить, не зная о поведении этого конкретного руткита. И не нужно быть особо умным, чтобы написать руткит, который нельзя убить изнутри
Нужно. Потому что иначе инет был бы сплошь ими усыпан.
>>если руткит, к примеру, подменил собой драйвер файловой системы - как ты его оттуда вычистишь изнутри системы, не загружаясь в чистую, если он все запросы к этому файлу перенаправляет куда-то ещё?
Если он его подменил собой, то для сохранения работосопосбности должен выполнять все его функции. Сколько людей на этом форуме способны нормально работающий драйвер файловой системы. Если он внедрился, то наверняка его можно вычистить.
>>Эмулировать можно любой набор железа, было бы желание.
Можно эмулировать любое железо, но только на большинстве существующих виртуальных машин (не думаю что их больше 50) такого нет. Но это я так чисто для примера.
>>А я слышал, что принцип работы большинства таких утилит - "смотрим, установлены ли в ОС VMware Addition Tools или что-нибудь вроде того"; они обламываются даже если в простую тупую vmware поставить обычную винду, а в эту гостевую винду не ставить дополнения vmware.
не помню но там точно было что-то заморочней
Нужно. Потому что иначе инет был бы сплошь ими усыпан.
>>если руткит, к примеру, подменил собой драйвер файловой системы - как ты его оттуда вычистишь изнутри системы, не загружаясь в чистую, если он все запросы к этому файлу перенаправляет куда-то ещё?
Если он его подменил собой, то для сохранения работосопосбности должен выполнять все его функции. Сколько людей на этом форуме способны нормально работающий драйвер файловой системы. Если он внедрился, то наверняка его можно вычистить.
>>Эмулировать можно любой набор железа, было бы желание.
Можно эмулировать любое железо, но только на большинстве существующих виртуальных машин (не думаю что их больше 50) такого нет. Но это я так чисто для примера.
>>А я слышал, что принцип работы большинства таких утилит - "смотрим, установлены ли в ОС VMware Addition Tools или что-нибудь вроде того"; они обламываются даже если в простую тупую vmware поставить обычную винду, а в эту гостевую винду не ставить дополнения vmware.
не помню но там точно было что-то заморочней
Я хз, о чём ты,http://yandex.ru/yandsearch?text=blue+pill&clid=13999&stpar2=%2Fh0%2Ftm17%2Fs1&stpar4=%2Fs1
to all:
заметьте как с появлением пинортура разросся флудом вроде бы законченный тред
заметьте как с появлением пинортура разросся флудом вроде бы законченный тред
заметьте как с появлением пинортура разросся флудом вроде бы законченный тредв этом случае он как-бе не виноват. это я расфлудил.
Нужно. Потому что иначе инет был бы сплошь ими усыпан.Уточню - нельзя обнаружить после того, как он установлен.
Если он его подменил собой, то для сохранения работосопосбности должен выполнять все его функции.Выполняет - работая как прокси до оригинального драйвера.
Если он внедрился, то наверняка его можно вычистить.Как ты его вычистишь? Руткит сидит в файле Ntfs.sys, старый драйвер сохранил в Ntfs_old.sys; все твои обращения к файлу Ntfs.sys попадают в файл Ntfs_old.sys; все твои обращения к файлу Ntfs_old.sys обрабатываются как обращения к несуществующему файлу. Ты не то, что не вычистишь - даже не обнаружишь, что что-то не так.
Ну так этот руткит, вроде бы, примечателен не своей необнаружимостью, а тем, что использует технологию виртуализации.
Ты не то, что не вычистишь - даже не обнаружишь, что что-то не так.обнаружение руткита строится на том, что руткит полностью закрыть нас в клетке не может
например, в данном случае - руткит нам не сможет помешать поставить свой дравер my_ntfs.sys, и сравнить - что возвращает текущий ntfs.sys и my_ntfs.sys, если они возвращают разное - значит ntfs.sys заражен руткитом.
так же можно обнаружить и vmware, допустим мы знаем, что некая железка ведет счетчик обращений и умеем его читать напрямую (допустим потому что vmware не знает, что этот счетчик надо патчить, или у нас есть возможность его напрямую прочитать).
тогда сравнивая кол-во наших обращений, и кол-во изменений счетчика можно увидеть - есть между нами и железом прослойка, или нет.
руткит нам не сможет помешать поставить свой дравер my_ntfs.sysКак ты его поставишь?
так же можно обнаружить и vmware, допустим мы знаем, что некая железка ведет счетчик обращений и умеем его читать напрямуюVmware работает как тонкая прослойка; я говорил о полной эмуляции.
Ну и в любом случае, тут надо знать, где искать.
Как ты его поставишь?т.е. руткит запрещает устанавливать драйвера?
значит если драйвер поставить не получилось в системе руткит.
полную эмуляцию, знаешь ли, можно и на бумаге проделать
действительно, ничего не обнаружишь
действительно, ничего не обнаружишь
ну как бы руткит может отслеживать определенный контент и при необходимости подменять его. благо драйвера обычно весьма небольшие
нити.
Оставить комментарий
avt1950
Подскажите, чем удалить руткит?Антивирус avast обнаруживает руткит, но не может его удалить.
При этом поражены файлы драйвера сетевой карты и флоппа, который делает вид, что читает дискету, хотя ее в нем нет.