Puzdanost KAV 7 Rootkit Scan-a?

1

Puzdanost KAV 7 Rootkit Scan-a?

offline
  • Rogi  Male
  • Mod u pemziji
  • Najbolji košarkaš koji
  • je ikada igrao ovu igru
  • Pridružio: 31 Avg 2005
  • Poruke: 11687

Da li je puzdan i koliko?



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 11 Sep 2005
  • Poruke: 1282
  • Gde živiš: Pa gde i do sada

@rogi23, ajde strpi se jos malo pa cu ovde napisati o Rootkit-u ama bas sve,za sada samo toliko- otkad je promenjen jedan driver bolje je,a napisacu i o kojem je driveru rec i sta on kontrolise???



offline
  • Rogi  Male
  • Mod u pemziji
  • Najbolji košarkaš koji
  • je ikada igrao ovu igru
  • Pridružio: 31 Avg 2005
  • Poruke: 11687

No problemo, drugar!
Pozdrav i hvala!

offline
  • Pridružio: 27 Jun 2004
  • Poruke: 1268
  • Gde živiš: Subotica

Sta je Rootkit?

offline
  • Rogi  Male
  • Mod u pemziji
  • Najbolji košarkaš koji
  • je ikada igrao ovu igru
  • Pridružio: 31 Avg 2005
  • Poruke: 11687

bobby ::Da objasnim prvo sta je trojanac, da bi mogao da objasnim backdoor.
Trojanac je program koji osim poznatih/navedenih funkcija radi i nepozeljne sakrivene stvari.
Primer: imate editor teksta koji pored toga sto vi mislite da radi on belezi recimo vase sifre i salje ih negde.
Ovakvih primera skoro da nemate vise u praksi.
Prvi trojanci su kao skriveni deo uglavnom imali mogucnost da nekome dozvole pristup vasem kompjuteru (backdoor), ili da mu omoguci preuzimanje kontrole nad nekim resursima vaseg kompjutera (RAT - remote administration tool).
U danasnje vreme skoro da nema vise trojanaca (deo programa koji znate sta radi + skriveni), sada imate ciste backdoorove ili RAT-ove (cak nema neke jasne klasifikacije ni izmedju ove dve kategorije).

Ono sto se nekad nazivalo trojancem je sada dobilo naslednika u vidu spywarea. Razlika bi bila sto od spywarea nema korist onaj ko je napisao program koji sadrzi spyware, vec neka treca strana koja je platila ugradnju njihovog spywarea u program.

Rootkit je program (uglavnom driver) koji sluzi da sakrije nesto na sistemu od ociju korisnika, i od programa koji koriste standardan WindowsAPI za pristup fajlovima i registry-ju. Rootkitovi skrivaju fajlove, foldere i registry kljuceve, uglavnom da bi se sakrio neki drugi malware, mada moze imati i druge namene.
Muzicki CDovi iz Sony produkcije, ukoliko bi bili ubaceni u komp koji je imao Autorun ukljucen, instalirali bi rootkit koji nije dozvoljavao ripovanje CD-ova.
Norton instalira rootkit koji stiti njihov antivirus da ne bi bio kompromitovan od strane malwarea.

Problem sa rootkitovima je sto oni samo sakrivaju Folder, a u njega ipak moze da se udje ukoliko znate tacnu putanju i ime foldera.
To su iskoristili par malwarea, pa rootkitovan folder koriste za svoje sakrivanje
Norton AV ne nalazi malware koji je sakriven u sopstvenom rootkitovanom folderu... Kasnije je to ispravljeno.
Bilo je cak par malwarea koji su koristili Sonyjev rootkit za sakrivanje.
Ukoliko nemate Nortona ili ne slusate Sonyjeve diskove, a malware pokusa da se instalira u spomenute foldere - na vasem sistemu je taj malware potpuno vidljiv AV programima.

Kaspersky je isto bio optuzen da instalira rootkit. Da stvar bude jos gora, optuzio ih je Mark Rusinovic, covek koji vazi za vrsnog strucnjaka.

KAV koristi ADS (Alternative Data Streams), standardnu opciju NTFS-a, da bi u njima zabelezio checksume fajlova (za svaki fajl posebno). Ukoliko pri sledecem skeniranju fajl ima isti checksum - onda ne bude skeniran jer na njemu nije bilo promena. Ovim se dobija na brzini jer je daleko brze izracunati i uporediti checksume nego skenirati fajl.
KAV cak jasno pita pri instalaciji da li zelite da koristite tu tehnologiju, koju je nazvao iStreams.

Neznam kako se Mark osecao, i da li je zeleo sebi da prizna da mu je jezik bio brzi od pameti kada je saznao sta je u stvari "otkrio".
Mozda se malo zaneo posle onoga sto je otkrio Sonyjev i Symantecov rootkit...
Sajt Marka Rusinovica i njegov RootkitRevealer mozete naci na http://www.sysinternals.com/SecurityUtilities.html

btw. RootkitRevealer takodje instalira drajver da bi mogao da detektuje rootkitove (za koje smo rekli da su isto drajveri). Mark je prvi kome je to poslo za rukom, i program je napravio kada je skontao da se nesto cudno desava na njegovom kompu posle slusanja jednog CDa iz Sony produkcije. Pisali smo vec o tome

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

Bane12 ::..... jos malo pa cu ovde napisati o Rootkit-u ama bas sve,za sada samo toliko- otkad je promenjen jedan driver bolje je,a napisacu i o kojem je driveru rec i sta on kontrolise???
Zainteresovan sam da cujem tu pricu. Kada mozemo da ocekujemo ostatak ?

offline
  • Pridružio: 11 Sep 2005
  • Poruke: 1282
  • Gde živiš: Pa gde i do sada

@DeM14n cim izadje kav/kis 8.0.xxxx,mislim na pre Alfu i kad malo proradi,a posto je rogi23 lepo gore objasnio na pitanje vertiGo! sta je Rootkit a rogi23 je pitao kako Kav reaguje i dali je pouzdan dobice i odgovor.
Jedino mogu za sada da kazem da mi se nesvidja iz jednog razloga sto je gore u bobby-om postu napisana prava istina oko nekih drivera kako se ponasaju u sistemu za vreme rada AV programa a POGOTOVO posle deinstalacije(koje nemozes da odstranis iz kompa) mislim redovnim putem, nego moras da kopas po reg.bazi da bi ih pronasao i obrisao.

Dopuna: 09 Avg 2007 1:39

Ajde da vam dam jedan Ruski Rootkit,samo da napomenem ko nije siguran u svoj AV program da ga neskida,inace pravac ambulanta,evo prvo cu da okacim sliku kako je kis reagovao,naziv mu je "He4Hook" ako ga neko skine u zip formatu je i kad ga svuce na desktop da ga odma preskenira sa svojim AV programom koji u sebi sadrzi redovan update i da ima opciju za skeniranje Rootkit-a



a evo ga i Link

offline
  • Pridružio: 20 Mar 2005
  • Poruke: 182
  • Gde živiš: bg

avg je siguran.
i nema opciju skeniranja rootkit-a

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

@djenka
Jedno je skeniranje neaktivnog rootkita, drugo je naci ga kada je aktivan.

offline
  • Pridružio: 20 Mar 2005
  • Poruke: 182
  • Gde živiš: bg

ok.hvala.
a dal da probam?ma cu da probam?sto da ne!

Ko je trenutno na forumu
 

Ukupno su 1000 korisnika na forumu :: 85 registrovanih, 14 sakrivenih i 901 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: -[CoA]-, 357magnum, _Petar, A.R.Chafee.Jr., AF-1, airsuba, ajo baba, Arsenije, Atenjanin89, babaroga, bavar357, bojcistv, Boris90, Boter, Brada i Gibanica, cavatina, davison20, dejanbenkovic, djo97, Dorcolac, dragon986, Drug pukovnik, dule10savic, elenemste, eulereix, flash12, Frunze, g0xy, goxsys, haris1913, hawkeye, ikan, Istman, JOntra, kairos, komkom, konstruktor, Koridor, Kriglord, krlebgd77, kybonacci, Lucije Kvint, LUDI, Magistar78, maiden6657, maskirovka, menges, mercedesamg, messerschmitt, mihajlot2013, mocnijogurt, moldway, nevjerna beba, nuke92, opt1, Outis, Panter, panzerwaffe, Parker, peruni, pvoman, raskoljnikov, Recce, riva, RJ, rkekoke, robert1979, Romibrat, S2M, Shinobi, Sirius, spektorsky, Sr.Stat., strn, Stuka76, taz1cl, upitnik, Van, VJ, vlahale, Vlajman1957, Vule, zdrebac, zuxbg, |_MeD_|