Как бороться с руткитами?

[Interceptor]

Как можно бороться с руткитами в Win2000\XP? Например, возьмём hacher defender. Он прячет себя в системе. Так что через Винду его не заметить. Можно через NTFSDos посмотреть.... но что если имя файла изменено?

Есть предложения как можно найти и нейтрализовать руткит?

[FantomIL]

Я так понимаю борьба с руткитами сводится к стандартным мерам безопасности. А обнаружение их на своей машине происходит при помощи:

• монитор сетевых соединений (лучше всего использовать файрволл)
• монитор обращений файлам
• монитор обращений к реестру
• монитор процессов

Кстати, по своему опыту, грамотно установленный и настроеный руткит даже опытному сисадмину обнаружить очень трудно. Гораздо проще не допустить установки этого безобразия
Да, все вышеописаное можно найти в составе замечательной утилиты Winternals AdminPack.
Разговор, естественно, идет про Виндовс, я правильно понимаю, Interceptor?

[AKM-47]

знать врага
http://hxdef.czweb.org/ > knowhow > Advanced Windows 2000 Rootkits Detection
...да и все остальныйе прочитать, я так думаю, не помешает.

"If you know the enemy and know yourself, you need not fear the result of a
hundred battles. If you know yourself but not the enemy, for every victory
gained you will also suffer a defeat. If you know neither the enemy nor
yourself, you will succumb in every battle."
-Sun Tzu, Art of War

[Interceptor]

FantomIL

Цитата:

Разговор, естественно, идет про Виндовс, я правильно понимаю, Interceptor?

Всё верно.
Я просто вчера протестил Hacker Defender (так тестил, что пришлось откат системы делать: удалить не мог Потом разобрался )

AKM-47
Кроме этого руткита есть ещё и другие!

FantomIL
Я надеялся, что можно было бы разобраться с руткитом намного легче

[FantomIL]

Interceptor,
я не думаю, что можно легче. Первая трудная задача - обнаружение. Если взлом производился опытным человеком, то не в логах ни в системных файлах изменений не найдешь. Подозрения закрадываются, когда компьютер начинает вести себя как-то странно. В первую очередь, в таком случае, думают о вирусах. После тщательных проверок вирус не находится, тогда начинаем искать руткит. Производим все манипуляции, которые я описал в предыдущем посте и анализируем полученные данные. На основе анализа делаем соответствующие выводы.

[AKM-47]

offtop:
а там не толко их описан, там ведь есть и описанийе обшей борьбы с руткитами.

[Interceptor]

FantomIL
Встретил две проги для борьбы с руткитами. Правда, я так и не понял могут ли они вычистить систему от руткитов или нет.... но обнаруживать они ДОЛЖНЫ.
Проги: RKDetector и RKDetec

[zelka]

а чо за зверь етот руткит?

[Псих]

Знаю есть по Линь прога Chrootkit.. может есть ее клон под Вин?

[Interceptor]

zelka
Общее назначение - помочь взломщику удержаться на взломанной системе: чтоб админ долго-долго не подозревал, что в системе взломщик
А уж как они это делают - это каждый по своему.

[AKM-47]

если еше есть интерес то я тут програмулку нашел по борььбе с всякими кИтами KLISTER v 0.4
_http://wasm.ru/toollist.php?list=21 download+info
_http://www.rootkit.com/ download+official page
_http://www.phrack.org/phrack/59/p59-0x10.txt theory

[Interceptor]

AKM-47
На сколько я понял, прога эта может лишь указать, что в системе есть руткит. Вычистить она его не сможет. Да и работает тока под Win2000 (XP не поддерживается).
Так что лучше уж юзать RKDetector или RKDetec.

Было бы здорово встретить прогу, которая могла бы руткиты прибивать!