Rivelatori di rootkit (gmer vs sophos ecc)

manganese · 17-11-2006, 10:25

Dopo il caso linkoptimizer stò cercando di capire qualcosa sui rootkit in particolare sui programmi che consentono di individuarli
Il problema (credo un pò per tutti) è riuscire a capire il report di questi.
Per ora quello che mi pare più chiaro è il programma di sophos, ma vorrei pareri e suggerimenti da chi è sicuramente più esperto di me.

sampei.nihira · 17-11-2006, 15:14

Per scovare ed eliminare eventuali rootkit dovresti usare almeno due,Eraser consiglia 3, software in contemporanea.
Questi sono:

1) Sophos
2) Gmer
3) F-Secure blacklight

Sophos è facilissimo ad usare.
Gmer quando trova qualcosa lo mette in rosso con la scritta HIDDEN devi solo fare il delete.
Anche il 3° software è semplice come uso.

Allora ti posso dire che spesso Sophos causa falsi positivi.
Gmer invece ha uno scan piuttosto lento.
F-Secure è velocissimo.

Un ulteriore consiglio in HD formattati NTFS (per il FAT no) dovresti avere un software che scova anche gli ADS.

FOXYLADY · 06-01-2007, 20:21

Segnalo che anche McAfee ha rilasciato un suo tool per l'individuazione dei rootkit,
McAfee Avert Labs Rootkit Detective Beta
è ancora in fase beta, quindi attenzione

lucas84 · 06-01-2007, 20:31

Panda AntiRootkit(beta)
http://research.pandasoftware.com/bl...ntiRootkit.rar
Hidden drivers
Hidden processes
Hidden modules
Hidden files
Hidden registry entries
SDT modifications
EAT hooks
Modification to the IDT
Non standard INT2E
Non standard SYSENTER
IRP hooks
And more...
http://research.pandasoftware.com/bl...t-cleaner.aspx

FOXYLADY · 06-01-2007, 20:34

Quote:

Originariamente inviato da lucas84

Panda AntiRootkit(beta)
http://research.pandasoftware.com/bl...ntiRootkit.rar

Ottimo

, metto anche questo nella cassetta degli attrezzi, non si sa mai

Stereogab · 06-01-2007, 20:49

Bitdefender Rootkit Uncover (beta)

Gianky....! :D :) · 06-01-2007, 20:56

La cassetta degli attrezzi diventa sempre piu grande

Grazie 1000

eraser · 06-01-2007, 21:05

Guarda, se proprio vuoi fare le cose in grande qui ne trovi a bizzeffe di scanner antirootkit

http://www.antirootkit.com/software/index.htm

Il problema più che altro sta nel valutarne l'efficacia

Molti sono più o meno allo stesso livello, sono pochi quelli che "emergono" - semplicemente non ce n'è uno che trovi tutto, come d'altronde non c'è un unico software antivirus che trovi tutto

Per il lampante motivo che chi attacca, vedi malware writer, possono studiare gli strumenti di difesa (e cercare di bypassarli) mentre chi difende può solo tentare di immaginare nuove tecniche, senza mai però avere la certezza sulle successive tecniche utilizzate.

Marco

nV 25 · 06-01-2007, 22:25

bè, anzitutto un saluto pubblico ad eraser, vero maestro in tema di sicurezza informatica.

Se mi è permesso, poi, 1 velocissima opinione:

una cassetta degli attrezzi di software antirootkit (o, meglio, di scanner stile gmer e compagnia...) non ha assolutamente senso.

+ che aver sotto mano una cassetta di set up, infatti, occorrerebbe aver sotto mano, nella pagina dei segnalibri del proprio browser, i link ai diversi software cosi' da poterli scaricare all'occorrenza nelle ultime revision.
Questi scanner, infatti, "soffrono" di un elevato tasso di obsolescenza proprio perchè continuamente aggiornati per scovare nuove tecniche.....

Ciao ciao

wizard1993 · 06-01-2007, 22:32

Quote:

Originariamente inviato da nV 25

bè, anzitutto un saluto pubblico ad eraser, vero maestro in tema di sicurezza informatica.

Se mi è permesso, poi, 1 velocissima opinione:

una cassetta degli attrezzi di software antirootkit (o, meglio, di scanner stile gmer e compagnia...) non ha assolutamente senso.

+ che aver sotto mano una cassetta di set up, infatti, occorrerebbe aver sotto mano, nella pagina dei segnalibri del proprio browser, i link ai diversi software cosi' da poterli scaricare all'occorrenza nelle ultime revision.
Questi scanner, infatti, "soffrono" di un elevato tasso di obsolescenza proprio perchè continuamente aggiornati per scovare nuove tecniche.....

Ciao ciao

perfettamente d'accordo

sampei.nihira · 06-01-2007, 23:17

Quote:

Originariamente inviato da wizard1993

perfettamente d'accordo

Io, ad esempio, controllo i link ogni settimana ed aggiorno eventualmente i software dei PC come un qualsiasi altro update.
Devo dire che sono più tranquillo

ad avere fisicamente i programmi nella mia cartella "Sicurezza" in documenti......

Gianky....! :D :) · 07-01-2007, 01:55

Quote:

Originariamente inviato da eraser

Guarda, se proprio vuoi fare le cose in grande qui ne trovi a bizzeffe di scanner antirootkit

http://www.antirootkit.com/software/index.htm

Il problema più che altro sta nel valutarne l'efficacia

Molti sono più o meno allo stesso livello, sono pochi quelli che "emergono" - semplicemente non ce n'è uno che trovi tutto, come d'altronde non c'è un unico software antivirus che trovi tutto

Per il lampante motivo che chi attacca, vedi malware writer, possono studiare gli strumenti di difesa (e cercare di bypassarli) mentre chi difende può solo tentare di immaginare nuove tecniche, senza mai però avere la certezza sulle successive tecniche utilizzate.

Marco

Saluto il MITICO Eraser

E finalmente posso avere l'occasione di quotarlo e ringraziarlo...

Ciao a Tutti

17-11-2006, 10:25	#1
manganese Senior Member Iscritto dal: Feb 2006 Messaggi: 642	Rivelatori di rootkit (gmer vs sophos ecc) Dopo il caso linkoptimizer stò cercando di capire qualcosa sui rootkit in particolare sui programmi che consentono di individuarli Il problema (credo un pò per tutti) è riuscire a capire il report di questi. Per ora quello che mi pare più chiaro è il programma di sophos, ma vorrei pareri e suggerimenti da chi è sicuramente più esperto di me.

17-11-2006, 15:14	#2
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Per scovare ed eliminare eventuali rootkit dovresti usare almeno due,Eraser consiglia 3, software in contemporanea. Questi sono: 1) Sophos 2) Gmer 3) F-Secure blacklight Sophos è facilissimo ad usare. Gmer quando trova qualcosa lo mette in rosso con la scritta HIDDEN devi solo fare il delete. Anche il 3° software è semplice come uso. Allora ti posso dire che spesso Sophos causa falsi positivi. Gmer invece ha uno scan piuttosto lento. F-Secure è velocissimo. Un ulteriore consiglio in HD formattati NTFS (per il FAT no) dovresti avere un software che scova anche gli ADS. Ultima modifica di sampei.nihira : 17-11-2006 alle 15:17.

06-01-2007, 20:21	#3
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Segnalo che anche McAfee ha rilasciato un suo tool per l'individuazione dei rootkit, McAfee Avert Labs Rootkit Detective Beta è ancora in fase beta, quindi attenzione __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

06-01-2007, 20:31	#4
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Panda AntiRootkit(beta) http://research.pandasoftware.com/bl...ntiRootkit.rar Hidden drivers Hidden processes Hidden modules Hidden files Hidden registry entries SDT modifications EAT hooks Modification to the IDT Non standard INT2E Non standard SYSENTER IRP hooks And more... http://research.pandasoftware.com/bl...t-cleaner.aspx __________________ Il dubbio è il padre del sapere.

06-01-2007, 21:05	#8
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	Guarda, se proprio vuoi fare le cose in grande qui ne trovi a bizzeffe di scanner antirootkit http://www.antirootkit.com/software/index.htm Il problema più che altro sta nel valutarne l'efficacia Molti sono più o meno allo stesso livello, sono pochi quelli che "emergono" - semplicemente non ce n'è uno che trovi tutto, come d'altronde non c'è un unico software antivirus che trovi tutto Per il lampante motivo che chi attacca, vedi malware writer, possono studiare gli strumenti di difesa (e cercare di bypassarli) mentre chi difende può solo tentare di immaginare nuove tecniche, senza mai però avere la certezza sulle successive tecniche utilizzate. Marco __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

06-01-2007, 20:49	#6
Stereogab Senior Member Iscritto dal: Aug 2005 Città: quella di Dante Messaggi: 841	Bitdefender Rootkit Uncover (beta)

06-01-2007, 20:56	#7
Gianky....! :D :) Bannato Iscritto dal: Sep 2006 Città: Palermo Messaggi: 1241	La cassetta degli attrezzi diventa sempre piu grande Grazie 1000

06-01-2007, 22:25	#9
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	bè, anzitutto un saluto pubblico ad eraser, vero maestro in tema di sicurezza informatica. Se mi è permesso, poi, 1 velocissima opinione: una cassetta degli attrezzi di software antirootkit (o, meglio, di scanner stile gmer e compagnia...) non ha assolutamente senso. + che aver sotto mano una cassetta di set up, infatti, occorrerebbe aver sotto mano, nella pagina dei segnalibri del proprio browser, i link ai diversi software cosi' da poterli scaricare all'occorrenza nelle ultime revision. Questi scanner, infatti, "soffrono" di un elevato tasso di obsolescenza proprio perchè continuamente aggiornati per scovare nuove tecniche..... Ciao ciao Ultima modifica di nV 25 : 06-01-2007 alle 22:27.

Strumenti
Mostra una versione stampabile Invia questa pagina per email