Dopo il caso linkoptimizer stò cercando di capire qualcosa sui rootkit in particolare sui programmi che consentono di individuarli
Il problema (credo un pò per tutti) è riuscire a capire il report di questi.
Per ora quello che mi pare più chiaro è il programma di sophos, ma vorrei pareri e suggerimenti da chi è sicuramente più esperto di me.

Per scovare ed eliminare eventuali rootkit dovresti usare almeno due,Eraser consiglia 3, software in contemporanea.
Questi sono:

1) Sophos
2) Gmer
3) F-Secure blacklight

Sophos è facilissimo ad usare.
Gmer quando trova qualcosa lo mette in rosso con la scritta HIDDEN devi solo fare il delete.
Anche il 3° software è semplice come uso.

Allora ti posso dire che spesso Sophos causa falsi positivi.
Gmer invece ha uno scan piuttosto lento.
F-Secure è velocissimo.

Un ulteriore consiglio in HD formattati NTFS (per il FAT no) dovresti avere un software che scova anche gli ADS.

Segnalo che anche McAfee ha rilasciato un suo tool per l'individuazione dei rootkit,
McAfee Avert Labs Rootkit Detective Beta (http://news.swzone.it/link.php?action=h&id=19395)
è ancora in fase beta, quindi attenzione ;)

Panda AntiRootkit(beta)
http://research.pandasoftware.com/blogs/images/AntiRootkit.rar
Hidden drivers
Hidden processes
Hidden modules
Hidden files
Hidden registry entries
SDT modifications
EAT hooks
Modification to the IDT
Non standard INT2E
Non standard SYSENTER
IRP hooks
And more...
http://research.pandasoftware.com/blogs/research/archive/2006/12/14/Rootkit-cleaner.aspx

Panda AntiRootkit(beta)
http://research.pandasoftware.com/blogs/images/AntiRootkit.rar


Ottimo :) , metto anche questo nella cassetta degli attrezzi, non si sa mai :D

Bitdefender Rootkit Uncover (beta) (http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_antirootkit-BETA2.exe )

La cassetta degli attrezzi diventa sempre piu grande :D
Grazie 1000

Guarda, se proprio vuoi fare le cose in grande qui ne trovi a bizzeffe di scanner antirootkit ;)

http://www.antirootkit.com/software/index.htm

Il problema più che altro sta nel valutarne l'efficacia :) Molti sono più o meno allo stesso livello, sono pochi quelli che "emergono" - semplicemente non ce n'è uno che trovi tutto, come d'altronde non c'è un unico software antivirus che trovi tutto :) Per il lampante motivo che chi attacca, vedi malware writer, possono studiare gli strumenti di difesa (e cercare di bypassarli) mentre chi difende può solo tentare di immaginare nuove tecniche, senza mai però avere la certezza sulle successive tecniche utilizzate.

Marco

bè, anzitutto un saluto pubblico ad eraser, vero maestro in tema di sicurezza informatica.

Se mi è permesso, poi, 1 velocissima opinione:

una cassetta degli attrezzi di software antirootkit (o, meglio, di scanner stile gmer e compagnia...) non ha assolutamente senso.


+ che aver sotto mano una cassetta di set up, infatti, occorrerebbe aver sotto mano, nella pagina dei segnalibri del proprio browser, i link ai diversi software cosi' da poterli scaricare all'occorrenza nelle ultime revision.
Questi scanner, infatti, "soffrono" di un elevato tasso di obsolescenza proprio perchè continuamente aggiornati per scovare nuove tecniche.....

Ciao ciao

bè, anzitutto un saluto pubblico ad eraser, vero maestro in tema di sicurezza informatica.

Se mi è permesso, poi, 1 velocissima opinione:

una cassetta degli attrezzi di software antirootkit (o, meglio, di scanner stile gmer e compagnia...) non ha assolutamente senso.


+ che aver sotto mano una cassetta di set up, infatti, occorrerebbe aver sotto mano, nella pagina dei segnalibri del proprio browser, i link ai diversi software cosi' da poterli scaricare all'occorrenza nelle ultime revision.
Questi scanner, infatti, "soffrono" di un elevato tasso di obsolescenza proprio perchè continuamente aggiornati per scovare nuove tecniche.....

Ciao ciao


perfettamente d'accordo

perfettamente d'accordo

Io, ad esempio, controllo i link ogni settimana ed aggiorno eventualmente i software dei PC come un qualsiasi altro update.
Devo dire che sono più tranquillo ;) ad avere fisicamente i programmi nella mia cartella "Sicurezza" in documenti...... :D

Guarda, se proprio vuoi fare le cose in grande qui ne trovi a bizzeffe di scanner antirootkit ;)

http://www.antirootkit.com/software/index.htm

Il problema più che altro sta nel valutarne l'efficacia :) Molti sono più o meno allo stesso livello, sono pochi quelli che "emergono" - semplicemente non ce n'è uno che trovi tutto, come d'altronde non c'è un unico software antivirus che trovi tutto :) Per il lampante motivo che chi attacca, vedi malware writer, possono studiare gli strumenti di difesa (e cercare di bypassarli) mentre chi difende può solo tentare di immaginare nuove tecniche, senza mai però avere la certezza sulle successive tecniche utilizzate.

Marco
Saluto il MITICO Eraser :)
E finalmente posso avere l'occasione di quotarlo e ringraziarlo... :D
Ciao a Tutti