Amici forumini, scusatemi per l'apertura di un nuovo 3D sui rootkit, ma il fatto è certamente da mettere in risalto.
In primis perchè prodotto da una softhouse nota produttrice di antivirus non può che presentarsi con le migliori prospettive.
Ecco al link sotto qualche screenshot:

http://www.pandasoftware.com/download/documents/help/rkc/en/whnjs.htm

Chi vuole può scaricarlo al link sotto stante in formato zip:

http://research.pandasoftware.com/blogs/images/AntiRootkit.zip

Devo dire che lo scan del sistema è piuttosto veloce.
Simpatica rispetto agli altri tools antirootkit la funzione di aggiornamento on line.
Che dire di più provatelo ed installatelo se vi piace,nella vostra cassetta di attrezzi per la sicurezza.;)

Io l'ho testato con alcuni rootkit e per adesso, secondo me, è il migliore scanner antirookit prodotto da un azienda antivirus.

Ciao

PS:L'immagine si riferisce ad una vecchia versione

Io l'ho testato con alcuni rootkit e per adesso, secondo me, è il migliore scanner antirookit prodotto da un azienda antivirus.

Ciao

PS:L'immagine si riferisce ad una vecchia versione

Grazie,Lucas,già ieri sera l'ho provato e mi ha fatto una buona impressione ora naturalmente accresciuta dal tuo giudizio.
Devo dire che già da ieri sera equipaggiava tutti i miei PC ;)

ri-p.s. si ho visto quando l'ho provato,ma quella c'era.....:D

Grazie,Lucas,già ieri sera l'ho provato e mi ha fatto una buona impressione ora naturalmente accresciuta dal tuo giudizio.
Devo dire che già da ieri sera equipaggiava tutti i miei PC ;)

ri-p.s. si ho visto quando l'ho provato,ma quella c'era.....:D


Mi avete incuriosito ragazzi. Ora lo provo anch'io.....

Thanks

Ciauz Ciauz

N;16623820']Mi avete incuriosito ragazzi. Ora lo provo anch'io.....

Thanks

Ciauz Ciauz

anche io visto che non ho un tubo da fare

anche io visto che non ho un tubo da fare

:D :D ;)

...il fatto è certamente da mettere in risalto.....
In primis perchè prodotto da una softhouse nota produttrice di antivirus non può che presentarsi con le migliori prospettive.

e in secundis*? :asd:



A parte tutto, non mi piace molto la sorta di proprietà transitiva che introduci:
"non può che presentarsi con le migliori prospettive..".

Ma questo è solo il mio pensiero. :)

L'unico punto fermo resta il dato (personalissimo, peraltro...) di lucas84** visto che su sysinternals tempo fà "le campane" suonavano in modo diverso (era il lontano 5 gennaio 2007)....:
http://forum.sysinternals.com/forum_posts.asp?TID=9471&KW=panda+antirootkit

http://img266.imageshack.us/img266/9092/68078308bg3.th.jpg (http://img266.imageshack.us/my.php?image=68078308bg3.jpg)
by EP_X0FF...


Ma la cosa più drammatica è questa:
They claim that it can detect sysenter hook, so they was fully bypassed by well-known malware rootkit.

Looking inside this ARK driver I can say that here is nothing that can detect modern rootkits.

I have come to conclusion that any guy who work in AV company and have some resources, trying to create ARK. Well they can do that, but what we have in the end - another crapy product.

Conclusion: Another "antirootkit". For what?


Detto questo, la GUI del programma è davvero accattivante e molto pulita...
E' interessante anche la possibilità degli update automatici che evita di doversi scaricare manualmente la versione più recente (cosa che invece contraddistingue tutti gli altri tools equivalenti)...
Forse questo, unito alla semplicità d'uso, è il vero valore aggiunto di questo prodotto....

Il tutto, imo...

:)


*licenza poetica di nV 25...:Prrr:
**senza offesa, ci mancherebbe...

L'hai provato? guarda che io ho scritto una cosa e forse non l'hai capita.
Testalo con qualche rootkit ma non quelli conosciuti, finito di testarlo, usa i prodotti di altre aziende e vedi cosa rilevano, noterai una sostanziale differenza di rilevazione, poi parliamo di un test di ep_xoff senza nulla togliere alla persona ma avvolte le sue affermazioni lasciano a desiderare:D anche qui non si scherza.

Ciao

Salve
ho provato questo prodotto e mi ha trovato un rootkit sconosciuto:
C:\WINDOWS\system32\drivers\ndis.sys
HIDDEN_DRIVER: TRUE
REGISTRY_ENTRY:
KEY: SYSTEM\CurrentControlSet\Services\NDIS
HIDDEN_DRIVERS: 1
SDT_FUNCTION_HOOK:39

L'ho spedito a Panda come mi rcihiedeva, ma adesso che mi consigliate di fare?

Un'altra domanda su panda antirootkit
l'ho scaricato nella versione .zip
alla fine trovo l'eseguibile PAVARk.EXE, ci clicco due volte e mi appare ogni volta la richiesta di accettare il contratto prima di aprirsi la cartella per la scansione. E' normale? E perchè non appare tra i programmi installati?

Un'altra domanda su panda antirootkit
l'ho scaricato nella versione .zip
alla fine trovo l'eseguibile PAVARk.EXE, ci clicco due volte e mi appare ogni volta la richiesta di accettare il contratto prima di aprirsi la cartella per la scansione.

E' normale?
Sì

E perchè non appare tra i programmi installati?

Perchè è un programma stand alone, non richiede installazione.
In altri termini, tu lo esegui, ma non ti richiede un processo di installazione.
ciao!!!

Su,su nV25,non fare il disfattista !! :Prrr: :D

Dai, segui il consiglio di Lucas 84 e provalo.....;)

Per Bigio:
Si appare sempre.
Quella di non apparire tra i programmi installati mica è cosa inusuale tra i soft che noterai non hanno una procedura di installazione.....
Se hai un rootkit devi fare almeno una controriprova e poi terminarlo !!:D :D
Poi analizzare il tuo pc alla ricerca di altro eventuale malware.

p.s. acc....ANIA mi hai battuto sul filo di lana (ex-velocista) BUONA PASQUA !!

Salve
ho provato questo prodotto e mi ha trovato un rootkit sconosciuto:
C:\WINDOWS\system32\drivers\ndis.sys
HIDDEN_DRIVER: TRUE
REGISTRY_ENTRY:
KEY: SYSTEM\CurrentControlSet\Services\NDIS
HIDDEN_DRIVERS: 1
SDT_FUNCTION_HOOK:39

L'ho spedito a Panda come mi rcihiedeva, ma adesso che mi consigliate di fare?
Ciao, il file segnalato da panda è legittimo solo che a me non me l'ha mai rilevato, da quello che so, alcuni malware modificano quel driver insieme ad altri per bypassare windows firewall e altre "funzioni", il rootkit rustock usa questa tecnica
http://www.symantec.com/security_response/writeup.jsp?docid=2006-070513-1305-99&tabid=2

Prova ad usare gmer e vedi cose ne esce fuori.

Ciao:)

veramente ottimo :D

Ciao, il file segnalato da panda è legittimo solo che a me non me l'ha mai rilevato, da quello che so, alcuni malware modificano quel driver insieme ad altri per bypassare windows firewall e altre "funzioni", il rootkit rustock usa questa tecnica
http://www.symantec.com/security_response/writeup.jsp?docid=2006-070513-1305-99&tabid=2

Prova ad usare gmer e vedi cose ne esce fuori.

Ciao:)

OK, grazie, e da dove scarico gmer in modo sicuro?

OK, grazie, e da dove scarico gmer in modo sicuro?

@Bigio60 :)

direi che da qui :
http://www.gmer.net/index.php
non dovresti incorrere in sorprese, visto che è il sito ufficiale :)

e poi, eccoti il link alla pagina dei downloads :
http://www.gmer.net/files.php

ovvio che devi eseguire il download di GMER application, cioè del file gmer.zip :)

p.s. acc....ANIA mi hai battuto sul filo di lana (ex-velocista) BUONA PASQUA !!
Buona Pasqua anche a Te e naturalmente a Tutti gli utenti di HWU. :)

ciao!!!

Se non ho capito male, gmer mi presenta queste voci in nero non in rosso e quindi non dovrei avere problemi.

Comunque se qualcuno avesse tempo di guardare questo log gliene sarei grato:

GMER 1.0.12.12086 - http://www.gmer.net
Rootkit scan 2007-04-07 18:06:15
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT 860636A0 ZwAlertResumeThread
SSDT 86063780 ZwAlertThread
SSDT 8605E768 ZwAllocateVirtualMemory
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwConnectPort
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwCreateFile
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwCreateKey
SSDT 8604AE30 ZwCreateMutant
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwCreatePort
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwCreateSection
SSDT 8605E938 ZwCreateThread
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwDeleteFile
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteValueKey
SSDT 86063F90 ZwFreeVirtualMemory
SSDT 8604AF10 ZwImpersonateAnonymousToken
SSDT 8604AFD0 ZwImpersonateThread
SSDT 86035D58 ZwMapViewOfSection
SSDT 8604AD50 ZwOpenEvent
SSDT \??\C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwOpenProcess
SSDT 8605E858 ZwOpenProcessToken
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwOpenSection
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwOpenThread
SSDT 86063C48 ZwOpenThreadToken
SSDT 8604AC60 ZwQueryValueKey
SSDT 8666B080 ZwResumeThread
SSDT 86063B68 ZwSetContextThread
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwSetInformationFile
SSDT 86063D28 ZwSetInformationProcess
SSDT 86063A88 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwSetValueKey
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwShutdownSystem
SSDT 8604AB80 ZwSuspendProcess
SSDT 860638C8 ZwSuspendThread
SSDT \??\C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwTerminateProcess
SSDT 860639A8 ZwTerminateThread
SSDT 86063E08 ZwUnmapViewOfSection
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwWriteFile
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwWriteFileGather
SSDT 8605E678 ZwWriteVirtualMemory

---- User code sections - GMER 1.0.12 ----

.text C:\Programmi\Comodo\Firewall\cpf.exe[3164] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [ FF, 25, 1E ]
.text C:\Programmi\Comodo\Firewall\cpf.exe[3164] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [ 05, 5F ]
.text C:\Programmi\Comodo\Firewall\cpf.exe[3164] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F08001E

---- EOF - GMER 1.0.12 ----

Ci sono,come sempre promossi e........ bocciati:

http://www.antirootkit.com/blog/2007/04/11/avg-anti-rootkit-free-the-verdict/

Metto anche una bella immagine di Panda antirootkit.....che adesso (era scontato) scova pure l'Unreal di MP_Art & EP_X0FF:

http://research.pandasoftware.com/blogs/images/pavark.jpg

Al link sotto un bell'articolo di "Pianeta Pc" per coloro che vogliono sapere di più sull' Unreal:

http://www.pianetapc.it/view.php?id=833

Noterete che a gennaio Panda non lo rilevava !!