Как бороться с руткитами? - Безопасность

Interceptor · 11.07.2004, 15:26

Как можно бороться с руткитами в Win2000\XP? Например, возьмём hacher defender. Он прячет себя в системе. Так что через Винду его не заметить. Можно через NTFSDos посмотреть.... но что если имя файла изменено?

Есть предложения как можно найти и нейтрализовать руткит?

FantomIL · 11.07.2004, 15:36

Я так понимаю борьба с руткитами сводится к стандартным мерам безопасности. А обнаружение их на своей машине происходит при помощи:

монитор сетевых соединений (лучше всего использовать файрволл)
монитор обращений файлам
монитор обращений к реестру
монитор процессов

Кстати, по своему опыту, грамотно установленный и настроеный руткит даже опытному сисадмину обнаружить очень трудно. Гораздо проще не допустить установки этого безобразия

Да, все вышеописаное можно найти в составе замечательной утилиты Winternals AdminPack.
Разговор, естественно, идет про Виндовс, я правильно понимаю, Interceptor?

AKM-47 · 11.07.2004, 16:12

знать врага
http://hxdef.czweb.org/ > knowhow > Advanced Windows 2000 Rootkits Detection
...да и все остальныйе прочитать, я так думаю, не помешает.

"If you know the enemy and know yourself, you need not fear the result of a
hundred battles. If you know yourself but not the enemy, for every victory
gained you will also suffer a defeat. If you know neither the enemy nor
yourself, you will succumb in every battle."
-Sun Tzu, Art of War

Interceptor · 12.07.2004, 01:55

FantomIL

Цитата:

Разговор, естественно, идет про Виндовс, я правильно понимаю, Interceptor?

Всё верно.
Я просто вчера протестил Hacker Defender (так тестил, что пришлось откат системы делать: удалить не мог

Потом разобрался

)

AKM-47
Кроме этого руткита есть ещё и другие!

FantomIL
Я надеялся, что можно было бы разобраться с руткитом намного легче

FantomIL · 12.07.2004, 09:36

Interceptor,
я не думаю, что можно легче. Первая трудная задача - обнаружение. Если взлом производился опытным человеком, то не в логах ни в системных файлах изменений не найдешь. Подозрения закрадываются, когда компьютер начинает вести себя как-то странно. В первую очередь, в таком случае, думают о вирусах. После тщательных проверок вирус не находится, тогда начинаем искать руткит. Производим все манипуляции, которые я описал в предыдущем посте и анализируем полученные данные. На основе анализа делаем соответствующие выводы.

AKM-47 · 12.07.2004, 10:43

offtop:
а там не толко их описан, там ведь есть и описанийе обшей борьбы с руткитами.

Interceptor · 12.07.2004, 13:03

FantomIL
Встретил две проги для борьбы с руткитами. Правда, я так и не понял могут ли они вычистить систему от руткитов или нет.... но обнаруживать они ДОЛЖНЫ.
Проги: RKDetector и RKDetec

zelka · 12.07.2004, 22:44

а чо за зверь етот руткит?

Псих · 12.07.2004, 23:35

Знаю есть по Линь прога Chrootkit.. может есть ее клон под Вин?

Interceptor · 13.07.2004, 00:36

zelka
Общее назначение - помочь взломщику удержаться на взломанной системе: чтоб админ долго-долго не подозревал, что в системе взломщик

А уж как они это делают - это каждый по своему.

AKM-47 · 26.07.2004, 04:22

если еше есть интерес то я тут програмулку нашел по борььбе

с всякими кИтами

KLISTER v 0.4
_http://wasm.ru/toollist.php?list=21 download+info
_http://www.rootkit.com/ download+official page
_http://www.phrack.org/phrack/59/p59-0x10.txt theory

Interceptor · 26.07.2004, 17:16

AKM-47
На сколько я понял, прога эта может лишь указать, что в системе есть руткит. Вычистить она его не сможет. Да и работает тока под Win2000 (XP не поддерживается).
Так что лучше уж юзать RKDetector или RKDetec.

Было бы здорово встретить прогу, которая могла бы руткиты прибивать!

11.07.2004, 15:26	# 1
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	Как бороться с руткитами? Как можно бороться с руткитами в Win2000\XP? Например, возьмём hacher defender. Он прячет себя в системе. Так что через Винду его не заметить. Можно через NTFSDos посмотреть.... но что если имя файла изменено? Есть предложения как можно найти и нейтрализовать руткит?

11.07.2004, 15:36	# 2
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Я так понимаю борьба с руткитами сводится к стандартным мерам безопасности. А обнаружение их на своей машине происходит при помощи: монитор сетевых соединений (лучше всего использовать файрволл) монитор обращений файлам монитор обращений к реестру монитор процессов Кстати, по своему опыту, грамотно установленный и настроеный руткит даже опытному сисадмину обнаружить очень трудно. Гораздо проще не допустить установки этого безобразия Да, все вышеописаное можно найти в составе замечательной утилиты Winternals AdminPack. Разговор, естественно, идет про Виндовс, я правильно понимаю, Interceptor? __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером Последний раз редактировалось FantomIL; 11.07.2004 в 15:47.

11.07.2004, 16:12	# 3
AKM-47 Junior Member Регистрация: 12.08.2003 Сообщения: 190	знать врага http://hxdef.czweb.org/ > knowhow > Advanced Windows 2000 Rootkits Detection ...да и все остальныйе прочитать, я так думаю, не помешает. "If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle." -Sun Tzu, Art of War __________________ ...a few people laughed, a few people cried, most people were silent... ...i am become death, the destroyer of worlds... ...j.r. oppenheimer...

12.07.2004, 09:36	# 5
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Interceptor, я не думаю, что можно легче. Первая трудная задача - обнаружение. Если взлом производился опытным человеком, то не в логах ни в системных файлах изменений не найдешь. Подозрения закрадываются, когда компьютер начинает вести себя как-то странно. В первую очередь, в таком случае, думают о вирусах. После тщательных проверок вирус не находится, тогда начинаем искать руткит. Производим все манипуляции, которые я описал в предыдущем посте и анализируем полученные данные. На основе анализа делаем соответствующие выводы. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

12.07.2004, 10:43	# 6
AKM-47 Junior Member Регистрация: 12.08.2003 Сообщения: 190	offtop: а там не толко их описан, там ведь есть и описанийе обшей борьбы с руткитами. __________________ ...a few people laughed, a few people cried, most people were silent... ...i am become death, the destroyer of worlds... ...j.r. oppenheimer...

12.07.2004, 13:03	# 7
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	FantomIL Встретил две проги для борьбы с руткитами. Правда, я так и не понял могут ли они вычистить систему от руткитов или нет.... но обнаруживать они ДОЛЖНЫ. Проги: RKDetector и RKDetec

12.07.2004, 22:44	# 8
zelka Junior Member Регистрация: 04.12.2003 Сообщения: 75	а чо за зверь етот руткит?

12.07.2004, 23:35	# 9
Псих ::VIP:: Guinness Liker Понаехало тут Регистрация: 26.01.2003 Адрес: В нейроне Пол: Male Сообщения: 2 848	Знаю есть по Линь прога Chrootkit.. может есть ее клон под Вин? __________________ меня не вылечат

13.07.2004, 00:36	# 10
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	zelka Общее назначение - помочь взломщику удержаться на взломанной системе: чтоб админ долго-долго не подозревал, что в системе взломщик А уж как они это делают - это каждый по своему.

26.07.2004, 04:22	# 11
AKM-47 Junior Member Регистрация: 12.08.2003 Сообщения: 190	если еше есть интерес то я тут програмулку нашел по борььбе с всякими кИтами KLISTER v 0.4 _http://wasm.ru/toollist.php?list=21 download+info _http://www.rootkit.com/ download+official page _http://www.phrack.org/phrack/59/p59-0x10.txt theory __________________ ...a few people laughed, a few people cried, most people were silent... ...i am become death, the destroyer of worlds... ...j.r. oppenheimer...

26.07.2004, 17:16	# 12
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	AKM-47 На сколько я понял, прога эта может лишь указать, что в системе есть руткит. Вычистить она его не сможет. Да и работает тока под Win2000 (XP не поддерживается). Так что лучше уж юзать RKDetector или RKDetec. Было бы здорово встретить прогу, которая могла бы руткиты прибивать!