Rootkit Detective, odhaľte rootkity vo svojom PC

Antivírusová spoločnosť McAfee vydala na konci týždňa finálnu verziu svojho nástroja Rootkit Detective na odhaľovanie rootkitov v operačnom systéme Windows. Rootkit Detective podľa nášho testu spomedzi anti-rootkit softvérov renomovaných autorov poskytuje najviac funkcií, dostupný je rovnako ako konkurencia plne zdarma.

DSL.sk, 29.7.2007

Antivírusová spoločnosť McAfee vydala na konci týždňa finálnu verziu svojho nástroja Rootkit Detective na odhaľovanie rootkitov v operačnom systéme Windows, ktorý si dnes predstavíme.

Hlavnou funkciou rootkitov je schovať prítomnosť škodlivého alebo iného kódu v systéme napríklad zmenami výstupu presmerovaných systémových volaní alebo zmenou dátových štruktúr jadra. Anti-rootkit nástroje hľadajú príznaky prítomnosti rootkitov v systéme najmä porovnaním informácií z viacerých nezávislých zdrojov.

V porovnaní s produktami iných renomovaných a dôveryhodných autorov, napríklad Trend Micro, Sophos, Sysinternals / Microsoft, AVG, poskytuje Rootkit Detective najviac funkcií. Pri porovnaní celkovej funkčnosti je pravdepodobne najkomplexnejším aj v porovnaní s niekoľkými nástrojmi z potenciálne nedôveryhodných zdrojov, hoci pre niektoré špecializované funkcie existujú kvalitnejšie nástroje.

Skontrolovať si systém špecializovaným anti-rootkit softvérom je odporúčané všetkým užívateľom, v prípade detekcie potenciálnych hrozieb je ale odporúčané posúdiť a odstraňovať potenciálne hrozby len technicky zdatným užívateľom.

Dôvodom je skutočnosť, že Rootkit Detective podobne ako iné anti-rootkit nástroje označujú podozrivé správanie, ktoré môže byť spôsobené v niektorých prípadoch aj legitímnym softvérom. Zároveň neodborné odstraňovanie rootkitov môže vyústiť do narušenia integrity operačného systému.

Detekované prejavy rootkitov

Rootkit Detective detekuje celkom päť typov možných prejavov prítomnosti rootkitov v systéme a u väčšiny odhaľuje aj potenciálny zdroj potenciálneho problému.

Odhaľuje skryté respektíve skrývané súbory na diskoch, skryté procesy a skryté položky v registroch.

Ďalej odhaľuje funkcie jadra v tabuľke System Service Descriptor Table (SSDT), ktoré sú presmerované na inú ako pôvodnú adresu a ich vstupné a výstupné dáta a činnosť môže meniť kód tretej strany, ovládač alebo rootkit.

Podobne odhaľuje rootkitmi pomerne často používané zmeny v tabuľkách adries Import a Export Address Table (IAT / EAT) systémových DLL knižníc v jednotlivých procesoch, čím rootkity dosahujú presmerovanie funkcií Win32 API na seba.

Je treba upozorniť, že niektoré legitímne softvéry môžu spôsobiť najmä presmerovanie v SSDT a IAT / EAT tabuľkách. Ide ale najmä o napríklad antivírusové programy a takéto presmerovanie u iných softvérov poukazuje na potenciálnu hrozbu a je ho potrebné preveriť. Špeciálne podozrivé je ak takéto presmerovanie zostane v systéme aj po odinštalovaní softvéru.

Samozrejme na čistej inštalácii Windows XP by nemal byť detekovaný ani jeden z príznakov rootkitov. Rootkit Detective nehlásil v našom teste žiadny problém na čistej inštalácii Windows XP SP2 s viacerými štandardnými nainštalovanými softvérmi.

Rootkit Detective

Rootkit Detective nie je potrebné inštalovať, po stiahnutí a rozbalení zip archívu, v ktorom je distribuovaný, ho stačí spustiť.

Rootkit Detective, prebiehajúca detekcia

Po spustení detekcie softvér naraz preverí všetky ním odhaľované potenciálne problémy. Najdlhšie trvá detekcia skrytých súborov a registrov.

Rootkit Detective, odhalené skryté súbory, procesy a položky v registroch

Pri našom teste na približne 18-mesačnej inštalácii Windows XP SP2 Rootkit Detective neobjavil žiadny skrytý proces ani súbor. Objavil ale viacero skrytých položiek registrov, ktoré ako ukázali ďalšie detekované problémy viedli k ovládaču sptd.sys.

Rootkit Detective, odhalené presmerované funkcie jadra

Rootkit Detective identifikoval okrem iného viacero presmerovaní funkcií jadra Windows súvisiacich s manipuláciou s registrami na ovládač sptd.sys. Týmto presmerovaním ovládač skrýva svoje položky v registroch.

Podľa informácií viacerých užívateľov na Internete je sptd.sys distribuovaný spolu so softvérom DAEMON tools pre emuláciu CD/DVD mechaniky a nie je nebezpečný. Vzhľadom na to, že na danej inštalácii Windows už tento softvér inštalovaný nie je a ovládač môže spôsobovať minimálne zbytočné spomalenie, odstránili sme ovládač vymazaním a reštartom Windows. Po jeho odstránení sa odstránili aj ďalšie detekované presmerovania systémových funkcií, u ktorých Rootkit Detective pôvodne neodhalil cieľ presmerovania.

Rootkit Detective, odhalené presmerovania IAT / EAT

Pri našom teste softvér odhalil tiež viacero presmerovaní IAT v procese explorer.exe. Presmerované boli všetky volania na funkciu LoadLibrary z kernel32.dll, vzhľadom na presmerovanie prítomné aj vo všetkých týmto procesom použitých DLL knižniciach ide skôr o presmerovanie EAT, ako ho detekoval aj IceSword anti-rookit, zrejme najlepší anti-rootkit na detekciu presmerovaní funkcií.

Keďže presnú príčinu tohto presmerovania sa nám odhaliť nepodarilo, je prítomné len v procese explorer.exe a pravdepodobne je spôsobené niektorým rozšírením Windows Explorera, toto presmerovanie zostalo prítomné v testovanej inštalácii aj po našom použití Rootkit Detective.

Nastavenia Rootkit Detective

Rootkit Detective je možné sťahovať tu, plne podporovanými operačnými systémami sú Windows XP SP2, Windows 2000 SP4, Windows 2000 Server a Windows 2003 Server SP1. Po odhalení potenciálnych problémov je odporúčané uskutočniť zmeny ako zmazanie, premenovanie súborov len skúseným užívateľom.





Najnovšie články:



Diskusia:

Anketa Od: Anketa | Pridané: 29.7.2007 14:21 dost blbo polozena anketa ak ma Antirootkit v sebe Antivirak tak potom co treba oznacit samostatne nie nekontrolujem Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 29.7.2007 19:55 Ani nie, AV s realtime anti-rookitom neexistuje, AV su schopne detekovat len pasivne rootkity, ale na aktivne treba rootkit skener, pretoze AV ich v aktivnom stave nie je schopny detekovat. Na detekciu, resp prevenciu aktivnych rootkitov je dobre mat HIPS a pod. :) Odpovedať Hodnotiť:

qaws Od: qaws | Pridané: 29.7.2007 14:23 Da sa odhalit rootkit este pred instalaciou? Poznate nieco take, co by to dokazalo pre Linux? Ohladom toho softu - nenechava po sebe sluzby, ktore sa budu potom pravidelne spustat, ako nechaval jeden konkurencny program? Odpovedať Hodnotiť:

anonymous Od: anonymous | Pridané: 29.7.2007 14:35 Pozname. Neinstalovat nic nedoveryhodne pod rootom. Odpovedať Známka: -3.3 Hodnotiť:

qaws Od: qaws | Pridané: 29.7.2007 14:43 A take nieco, co by scanovalo pripadne Windowsacke rootkity? Odpovedať Známka: 9.0 Hodnotiť:

Uhlik Od: Uhlik | Pridané: 30.7.2007 9:01 Odporucam Rootkit Revealer od Marka Russinovicha ... Odpovedať Hodnotiť:

Vodik Od: Vodik | Pridané: 30.7.2007 17:26 ten ti ukáže aj "embedded nulls", lenže nič s tým neurobí, iba info. Odpovedať Hodnotiť:

Draslík Od: Draslík | Pridané: 31.7.2007 15:40 a info si môžeš prečítať , a budeš mať dobrý pocit , že máš rootkit v pc ;) Odpovedať Hodnotiť:

Kyslík Od: Kyslík | Pridané: 31.7.2007 21:57 vždy, keď zaspávam so svojím plyšovým macíkom, namiesto ovečiek si počítam rootkity a vždy začnem od embedded nully Odpovedať Známka: 3.3 Hodnotiť:

Maďarík Od: Maďarík | Pridané: 3.8.2007 17:19 A legelterjedtebb hőmérsékleti skála a közéletben, az európai kontinensen. Odpovedať Hodnotiť:

RemuS Od: RemuS | Pridané: 29.7.2007 15:40 dobry si Odpovedať Hodnotiť:

bytes Od: bytes | Pridané: 29.7.2007 15:54 stiahol, spustil... BSOD jak svina urobil som nieco zle? BSOD som nevidel uz par rokov kua Odpovedať Hodnotiť:

julo Od: julo | Pridané: 29.7.2007 16:02 niekedy sa bsod stava, ak pustis antirootkit a je tam rootkit niektorych typov a jeden z nich zazmatkuje, ludovo povedane. ale samozrejme nemusi to byt tak. Odpovedať Hodnotiť:

bytes Od: bytes | Pridané: 29.7.2007 18:02 no tak skusim este raz, ale teraz nie, uvidime... Odpovedať Známka: 3.3 Hodnotiť:

citatel Od: citatel | Pridané: 29.7.2007 18:12 prosim admina, nech tu uprace (neda sa to citat, lebo ten pablb s tym spamom je otravny jak plyn) Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 29.7.2007 20:00 Neskenujem, lebo na Viste nie je cim, GMER mrzne, RU nejde a ostatne kvalitne tiez. :( Odpovedať Známka: 3.3 Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 29.7.2007 20:02 P.S. Avira AntiRootkit ide, ale integrovali ho do Avira AV a nechcem AV kvoli AR skeneru. Odpovedať Známka: -3.3 Hodnotiť:

vrm vrm Od: vrm vrm | Pridané: 29.7.2007 21:50 aj ja chcem mat v systeme registre :D Odpovedať Hodnotiť:

vrn vrn Od: vrn vrn | Pridané: 30.7.2007 17:22 neboj sa, mas;) a teraz pekne cumlik no vidis Odpovedať Hodnotiť:

Bozz Od: Bozz | Pridané: 31.7.2007 15:35 Ja by som chcel Granátový šperk britské královny Odpovedať Známka: 3.3 Hodnotiť:

tom Od: tom | Pridané: 29.7.2007 22:58 no fasa, takze ked som neskuseny uzivatel, tak si sice mozem preskenovat komp, ale potom sa uz len mozem usmievat na log s udajmi , s ktorymi ani len netusim co s nimi robit, takze pre vacsinu ludi (neskusenych) je tento prog uplne nanic Odpovedať Hodnotiť:

pete Od: pete | Pridané: 30.7.2007 1:56 vacsine ludi to ukaze, ze je ich pocitac uplne OK. ti ostatni si musia zavolat niekoho, kto sa vyzna. na rootkity neexistuje jednoduchy fungujuci nastroj, lebo nie je to take jednoduche, ze sa to da odstranovat automaticky... Odpovedať Hodnotiť:

Miro Od: Miro | Pridané: 30.7.2007 9:03 Presne toto aj mne napadlo... povazujem sa za skuseneho uzivatela, ale kto uz sa detailne vyzna vo vsetkych spustenych Windows procesoch... atd? Malo by to aspon vyhodnotit nejake doporucenie a riziko na stupnici od 1-10. Takto je to ozaj na nic... mazem! Odpovedať Hodnotiť:

pete Od: pete | Pridané: 30.7.2007 10:32 a co by si chcel radsej? aby ti vyhodnotilo riziko 8, ty nieco zmazes a prestanu ti ist windows? preco komentuje vzdy iba takato luza... sak ked veciam nerozumiem, tak drzim hubu, inak sa len strapnujem. Odpovedať Hodnotiť:

inno Od: inno | Pridané: 30.7.2007 12:00 nasral si sa ?:) Odpovedať Hodnotiť:

MortarMan Od: MortarMan | Pridané: 31.7.2007 15:37 Skús Windows Defender...Síce ti nepíše riziko 1-10 ale máš zoznam spustených procesov , a je tam napísaný , ktorý kam patrí... ak je tam nejaká blbosť navyše , tak ju môžeš dať blokovať.... Odpovedať Hodnotiť:

MortarMan Od: MortarMan | Pridané: 31.7.2007 15:38 ^To som napisal k mirovmu prispevku Odpovedať Hodnotiť:

MartanMan Od: MartanMan | Pridané: 31.7.2007 22:10 S procesmi si to vybavíš v obyčajnom TaskManageri, servisy, moduly, drivre, dll a pod., na to je napr. What's Running? 2.2. Ale tieto svinstvá, ktoré v regedite nenájdeš, ADS fily, ktoré ti ani WinHex neukáže... Niekedy mám pocit, že radšej o tom ani nevedieť. Keď nazrieš do kuchyne v čínskej reštaurácii, tak tam v živote už nepáchneš... Odpovedať Hodnotiť:

MortarMan Od: MortarMan | Pridané: 3.8.2007 17:13 Ja som to myslel tak že ku každemu procesu ti pripíše od akej spoločnosti je , a ak nejaký proces nepatrí k nijakému + má zvláštny názov , tak ho blockneš Odpovedať Hodnotiť:

MartaWoman Od: MartaWoman | Pridané: 3.8.2007 18:18 Pozri si Process Explorer 10.21 (Mark Russinovich - Sys/Wininternals - prekvapivo dosť žerie) aj Process Monitor 1.2! What's Running? 2.2 (Christer Fahlgren - všetko, čo si chcel vedieť o processoch, servisoch, moduloch, driveroch... a hanbil si sa opýtať + databáza procesov na stránke) TaskInfo 7.1.0.230 (Igor Arsenin - žere 1%!, najlepší čistič memory...) aj AbpMon! Odpovedať Hodnotiť:

MortarMan Od: MortarMan | Pridané: 4.8.2007 11:10 nice Odpovedať Hodnotiť:

MartaWoman Od: MartaWoman | Pridané: 5.8.2007 21:09 Teraz som si všimol na dsl update, že aktuálna verzia TaskInfo je 6.2.2.188. Asi som zaspal dobu ;) Odpovedať Hodnotiť:

dejan Od: dejan | Pridané: 6.8.2007 20:30 Zarabajte na nete jednoduchym klikanim, Potrebujete len ucet na Paypal. :) http://tiny.sk/a52fv3k7 http://tiny.sk/9ig642fh http://tiny.sk/3nrcvus4 http://tiny.sk/zsbovzkr http://tiny.sk/trwtbxr5 http://tiny.sk/uo5qsatj http://tiny.sk/fe3ir7th http://tiny.sk/6wihxaju http://tiny.sk/idavbrhz http://tiny.sk/x44e5hmt http://tiny.sk/e99qya9u http://tiny.sk/k0v24mib http://tiny.sk/awiet2nn http://tiny.sk/z46hp4k5 Odpovedať Hodnotiť:

Pridať komentár