|
|||||||
|
|
|
 |
|
|
Strumenti |
27-07-2008, 21:58
|
#1 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
RootRepeal: probabilmente il miglior ANTIROOTKIT in circolazione al 27/7/08...
fcukdat, almeno, che non è proprio l'ultimo pivello in circolazione, semprerebbe arrivato a questa conclusione...
"The author claims his tool will detect all known malware rootkits and publically available POC's and i find myself agreeing with him based on my experiences with it." Tra i motivi, il fatto che "supera" certe limitazioni di altri tool ARK (Gmer, RKU..) che imiegano tecniche di lettura del disco di tipo RAW (raw disk read), tecniche che da quanto leggo fanno ad es. a cazzotti con il driver del rootkit della famiglia "DNS" (vedi inch.sys mostrato poco sotto)... Ve lo segnalo (cosa già fatta peraltro in un altro thread ma passata ovviamente in sordina...) dato che sposa un'ALTA % di rilevazione di questo genere di malware ad un'interfaccia estremamente pulita e di semplice lettura (=interpretazione..)  Caratteristiche: - Driver Scan - scans the system for kernel-mode drivers. Displays all drivers currently loaded, and shows if a driver has been hidden, and whether the driver's file is visible on-disk. - Files Scan - scans any fixed drive on the system for hidden, locked or falsified* files. - Processes Scan - scans the system for processes. Displays all processes currently running, and shows if a processes is hidden or locked. * - falsified files are files which have their size mis-reported to the Windows API. Some rootkits use this to hide data. System Requirements * Microsoft® Windows Vista®; Windows XP Professional or Home Edition; Windows 2000 with Service Pack 4; Windows 2003 Server Note: Only x86 versions of Windows are supported. Mini-Recensione: http://www.pianetapc.it/view.php?id=1099 Home Page: http://rootrepeal.googlepages.com/ Discussione su sysinternals: http://forum.sysinternals.com/forum_posts.asp?TID=12914 fcukdat in azione con RootRepeal: inch.sys, della famiglia DNS Trojan + Rustock.C: Link 1 PoC (Unreal, Phide_ex): Link 2 volsnap.sys  L'arsenale di software ARK, quindi, si arricchisce con questo tool gratuito. Tra i primi 4 con RR, cmq, e chiusi + o - strettamente alle sue % di rilevazione, c'è sicuramente Gmer, PrevX CSI (forse un pelettino più attardato come rilevazione anche se decisamente intuitivo e davvero alla portata di tutti oltre che avere caratteristiche di cleaning al contrario degli altri...) & RKU ormai discontinuato... Spero che altri, poi, dicano qualcosa anche su questo progetto molto particolare di EP_X0FF, CsrWalker... Per ora, cmq, è tutto... **EDIT** Chiedo venia ma ho stioccato un'errore nel nome del programmino e non posso + editare il titolo..  Sono un somaro..! Ultima modifica di nV 25 : 27-07-2008 alle 22:13. Motivo: ...ho anche scritto male il nome del tool :)))..Eò, pace, eh! |
|
|
|
27-07-2008, 22:33
|
#2 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
interessante... grazie per la segnalazione
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
27-07-2008, 22:38
|
#3 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
domani lo provo,perora ho corretto il titolo
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
27-07-2008, 22:48
|
#4 | |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6394
|
Quote:
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: Ultima modifica di eraser : 27-07-2008 alle 23:14. |
|
|
|
|
|
28-07-2008, 08:12
|
#5 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28966
|
mai sentito prima
|
|
|
|
|
28-07-2008, 10:09
|
#6 | |
|
Senior Member
Iscritto dal: Dec 2007
Città: addio mia dolce compagna,amica fedele da 18 anni..mi spiace che tu sia morta in un modo cosi doloroso
Messaggi: 1396
|
Quote:
 
__________________
Un vero uomo non è colui che non cade mai ma colui che sa rialzarsi dopo ogni caduta!!!!!!! essere vivo richiede uno sforzo maggiore del semplice respirare(Pablo Neruda). |
|
|
|
|
|
28-07-2008, 10:31
|
#7 | |
|
Senior Member
Iscritto dal: Dec 2007
Città: addio mia dolce compagna,amica fedele da 18 anni..mi spiace che tu sia morta in un modo cosi doloroso
Messaggi: 1396
|
Quote:
__________________
Un vero uomo non è colui che non cade mai ma colui che sa rialzarsi dopo ogni caduta!!!!!!! essere vivo richiede uno sforzo maggiore del semplice respirare(Pablo Neruda). |
|
|
|
|
|
28-07-2008, 13:49
|
#8 |
|
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Io l'ho provato quando l'avevi messo all'attenzione altrove.
E' veramente molto veloce in fase di scan. |
|
|
|
|
28-07-2008, 14:27
|
#9 | |
|
Senior Member
Iscritto dal: Apr 2008
Messaggi: 380
|
Quote:
estremamente rapido |
|
|
|
|
|
28-07-2008, 14:38
|
#10 | |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22114
|
Quote:
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
|
|
28-07-2008, 14:39
|
#11 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22114
|
ottima segnalazione nV25, grazie
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
|
28-07-2008, 19:44
|
#12 |
|
Senior Member
Iscritto dal: Aug 2006
Città: µTorrent
Messaggi: 1634
|
Bella segnalazione, lo provo subito !
__________________
Sono il Signor Wolf... Risolvo problemi. -Pulp Fiction- S.M.A.R.T. e HD in raid - www.inalto.org - Nikon Coolpix P7700 - Panasonic Lumix DMC-LF1 |
|
|
|
|
28-07-2008, 19:53
|
#13 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
] e gli omaggi del caso [CASO  ] , 2 rapide considerazioni:1° - è una grande notizia il sapere che la ricerca (perchè di questo si tratta quando si parla di strumenti cosi' sofisticati come i rootkit [oltretutto se attivi..]) sia cosi' "vivace" dopo un periodo di relativa stagnazione... 1° a)...specie se poi una persona che in tanti ammiriamo (perchè equilibrata, matura, competente...) mette in prima persona del suo per il perseguimento di quest'obiettivo... 2° - non neghi di fatto quanto io riporto e cioè RR attuale "medaglia d'oro" nella rilevazione, per quanto la distanza tra i vari tool citati descriva una forbice particolarmente ristretta...
|
|
|
|
|
|
29-07-2008, 12:34
|
#14 |
|
Senior Member
Iscritto dal: Aug 2006
Città: µTorrent
Messaggi: 1634
|
Ho fatto una passata e ho questo file sospetto:
Path: C:\Documents and Settings\*\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\*\SharingMetadata\*\DFSR\Staging\CS{888E1C82-87EF-6DC0-364B-71131D45506A}\01\10-{888E1C82-87EF-6DC0-364B-71131D45506A}-v1-{0C21993D-429C-419B-8595-E81CC9BC7F7A}-v10-Downloaded.frx Status: Locked to the Windows API! Qualcuno sa dirmi cos'è ? X caso il contatto di msn in questione è infetto e spara germi ? Ho tolto con * i dati "personali"
__________________
Sono il Signor Wolf... Risolvo problemi. -Pulp Fiction- S.M.A.R.T. e HD in raid - www.inalto.org - Nikon Coolpix P7700 - Panasonic Lumix DMC-LF1 |
|
|
|
|
29-07-2008, 20:33
|
#15 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
ma LOL
non ho fatto in tempo a postare questa cosa, che vedo "risorgere" Rootkit Unhooker... RkU LE 3.8.340.550.rar Rootkit Unhooker LE v3.8.340.550 LE means Lite Edition. This is not VX (Veritable eXtended) variant and it doesn't includes anything from VX. There is no homepage of this software and no official support. Do you experience "problems" with this software? BSOD's? You can send minidumps to naxyi or better post them somewhere where we can get access and take a look when we want to do this. MD5 of the file in rar archive 876ec954bd84a4bcb23b06d41f92fb3d *RkU3.8.340.550.exe Installer as well as executable (or something from them, don't remember) packed with PECompact, so be sure, some of so called AV's will flag it as malware. Changelog (all changes made in 3.5 hours 28.07.2008) [  SBORONE...]:added: all program components Windows Vista SP1 support added: partial Windows 2008 support added: Rustock.C hooks detection (file is for AV/VX) IMPORTANT: do not unhook rustock hooks inside ntoskrnl.exe without killing rustock rootkit threads inside winlogon.exe. LE doesn't provides better support in handling with this rootkit so its on your way. added: bootkit (Sinowal/MaosBoot) hot start detection and removal (use with caution!! Possible damage of the MBR) added: bypassing of several trojans with anti antirootkit parts (DNS trojans, siberia etcetera) improved a little processes detection for Windows 2000/XP (no your super-puper bsoddy PoC's will not be detected because nobody don't care about them) updated: all build up with latest UG North libs and rtls (all fixes from year applied) fixed: one stupid BSOD under Vista fixed: several bsoddy parts of the LE version engine fixed: loader bugs under different versions of NT fixed: Windows 2003 BSOD's important: "-hookswap" console mode keyword is no longer valid important: this version does not include any of VX features so it is still LE important: check about box for some stuff LOL WARNING. YOU USE THIS TOOL AT YOUR OWN RISK. WARNING. POSSIBLE RISK OF DISK DATA DAMAGE. WARNING. VISTA SP1 / 2008 SUPPORT RESTRICTED. COULD BE SOME PROBLEMS WHILE USING THIS RKDETECTOR. Users of the VX may not use this version because it provides much more less information and features. However together work in the same time is guaranteed. Feedback is not interested. VX/LE (c) 2006-2009 UG North |
|
|
|
|
30-07-2008, 03:11
|
#16 | |
|
Senior Member
Iscritto dal: Dec 2007
Città: addio mia dolce compagna,amica fedele da 18 anni..mi spiace che tu sia morta in un modo cosi doloroso
Messaggi: 1396
|
Quote:
 ...te l'ho rubata amico ) ma a sto punto tutti non li possiamo usare e dato per assunto che gmer è intoccabile quali teniamo nel nostro arsenale tra tutti gli altri...ps: ho usato il programma in questione ma non è un pò troppo velocino? uno scan in 10 secondi ....  
__________________
Un vero uomo non è colui che non cade mai ma colui che sa rialzarsi dopo ogni caduta!!!!!!! essere vivo richiede uno sforzo maggiore del semplice respirare(Pablo Neruda). |
|
|
|
|
|
30-07-2008, 03:11
|
#17 |
|
Senior Member
Iscritto dal: Dec 2007
Città: addio mia dolce compagna,amica fedele da 18 anni..mi spiace che tu sia morta in un modo cosi doloroso
Messaggi: 1396
|
edit doppio post.... ehm...sorry
__________________
Un vero uomo non è colui che non cade mai ma colui che sa rialzarsi dopo ogni caduta!!!!!!! essere vivo richiede uno sforzo maggiore del semplice respirare(Pablo Neruda). |
|
|
|
|
30-07-2008, 03:12
|
#18 |
|
Senior Member
Iscritto dal: Dec 2007
Città: addio mia dolce compagna,amica fedele da 18 anni..mi spiace che tu sia morta in un modo cosi doloroso
Messaggi: 1396
|
e che kaiser....non ho capito ma mi è rivenuto per la terza volta....
__________________
Un vero uomo non è colui che non cade mai ma colui che sa rialzarsi dopo ogni caduta!!!!!!! essere vivo richiede uno sforzo maggiore del semplice respirare(Pablo Neruda). |
|
|
|
|
30-07-2008, 09:18
|
#19 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
30-07-2008, 11:16
|
#20 | |
|
Senior Member
Iscritto dal: Apr 2008
Messaggi: 1279
|
Quote:
 Prima mi proponi uno scambio di nick, poi mi rubi l'identità (nel senso che il tuo post ricorda il tenore dei miei interventi )...Scherzi a parte, personalmente, opterei per l'uso di tutti e tre (o GMER e RootRepeal, date le delucidazioni di nV 25 fatte nel post #1).
__________________
So di non sapere (cit.)...  | Dichiarazione d'Amore | Usi creativi dell'ASUS Eee PC | Configurazione di Sicurezza e Note su Tor per MS Windows | Mail Provider: i più sicuri? |
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 04:40.
