Facciamo insieme il punto sulla situazione tool antirootkit.

[sampei.nihira]

Apro questo 3D,come spunto dalla lettura di un 3D recente su W. per fare il punto sulla situazione, oggi, dei tools specifici per la individuazione e quindi rimozione dei rootkit.
Nonostante oggi molti prodotti antivirus e simili hanno già incorporato un modulo per l'individuazione ed eventuale rimozione dei rootkit,l'utente non può fare a meno di avere nella propria "cassetta degli attrezzi" anche dei tools specifici.
Secondo me per 2 motivi:

1) Un eventuale compromissione del sw installato usato apre la porta ad eventuali infezioni che quindi non sono rilevate e tantomeno rimosse.

2) Una certa minore performance in rimozione dei moduli antirootkit incorporati nei prodotti più noti.

Ciò almeno secondo alcuni test specifici che possono essere letti con una certa tranquillità per il metodo usato ma che purtroppo non ho trovato di più aggiornati.

Quello che metto sotto risale al 2008:

http://www.av-test.org/down/papers/2...b_rootkits.pdf

Se qualche utente può mettere in evidenza dati più aggiornati è il benvenuto !!!

Notate come la rimozione dei prodotti più noti (Avira e simili) sia inferiore a quella di prodotti specifici.

Il punto è, questo trend, ad oggi è rimasto invariato oppure si è invertito ?

E ancora quali sono i tools antirootkit specifici da prendere in considerazione (perchè aggiornati) rispetto ad altri che tutti possono notare sono fermi al passato e quindi non più sviluppati ?

Ed ancora questo 3D potrebbe essere importante per alcuni utenti che lamentano alcune incompatibilità in alcuni tools antirootkit specifici.
Io ad esempio sono uno di questi.

Non posso fare uno scan con GMER perchè mi causa, sempre purtroppo, un BSOD (schermata blu).

E purtroppo GMER è uno di quei tools aggiornati e fondamentali.

Quindi occorre trovare delle alternative.
Ad esempio Trend Micro RootkitBuster potrebbe essere una di queste.
E' regolarmente sviluppato,e la versione del link sopra è uscita a settembre 2009.
Almeno secondo i dati del test sopra è ben piazzato.

Invito ogni utente a partecipare,per stilare una lista aggiornata,che presumo interessi tutti.
Anche perchè fare ogni tanto lo scan con almeno 2 tools è quantomeno indicato rispetto ad un solo prodotto.

Grazie dell'attenzione !!

p.s. C'è un test su Megalab più aggiornato,ma le conclusioni del redattore sono "pessime" per questi tools.

*******************************************************************************

Ho provato VBA beta sul mio pc sp3 aggiornato con ogni sw di sicurezza attivo come sempre del resto quando faccio
questi scan.
Non lamento nessuna incompatibilità al valore preimpostato di Heuristic Analysis excessive.
Lo scan è molto veloce:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

Maggiori info http://www.wilderssecurity.com/showthread.php?t=253338.

Interessante la presenza di una quarantena.
E l'installazione/disinstallazione di un driver antirootkit che non ho provato perchè si tratta pur sempre di una beta.
Oltretutto necessita di un riavvio del pc,quindi RVS è escluso.
Chi si vuole cimentare........

[Romagnolo1973]

Visto che GMER non ti funziona hai provato rootrepeal? sostanzialmente analogo anche in rilevazione

[sampei.nihira]

Quote:

Originariamente inviato da Romagnolo1973

Visto che GMER non ti funziona hai provato rootrepeal? sostanzialmente analogo anche in rilevazione

Si anche RootRepeal può essere inserito nei "prodotti con uno sviluppo attuale.
La versione ultima scaricabile 1.3.5 risale all' agosto 2009.
Per rispondere alla tua domanda si l'ho provato.
Anzi è stato fino ad oggi il mio tool principale.

E siamo a tre,anzi (per la lista) 4 con GMER.........

[eraser]

Quote:

Originariamente inviato da sampei.nihira

p.s. C'è un test su Megalab più aggiornato,ma le conclusioni del redattore sono "pessime" per questi tools

Non mi affiderei troppo a quel test. Installare più rootkit contemporaneamente su una macchina e testare l'efficacia del software antirootkit nell'individuare ognuno di questi è concettualmente sbagliato.

L'errore si può identificare nel fatto che i rootkit utilizzano ognuno tecniche differenti per alterare il sistema operativo e nascondersi, alcune similari mentre altre totalmente differenti. Il punto è che, utilizzate contemporaneamente, potrebbero causare incompatibilità e, anzi, in alcuni casi un rootkit potrebbe paradossalmente renderne automaticamente visibile un altro.

[sampei.nihira]

Quote:

Originariamente inviato da eraser

Non mi affiderei troppo a quel test. Installare più rootkit contemporaneamente su una macchina e testare l'efficacia del software antirootkit nell'individuare ognuno di questi è concettualmente sbagliato.

L'errore si può identificare nel fatto che i rootkit utilizzano ognuno tecniche differenti per alterare il sistema operativo e nascondersi, alcune similari mentre altre totalmente differenti. Il punto è che, utilizzate contemporaneamente, potrebbero causare incompatibilità e, anzi, in alcuni casi un rootkit potrebbe paradossalmente renderne automaticamente visibile un altro.

Grazie Eraser della spiegazione tecnica.
Credo che i tuoi interventi sono sempre un motivo in più per imparare sempre e meglio per noi tutti.

Si anche me quel test cui ti riferisci anche tu,non ha mai convinto.
Ecco il motivo per cui non l'ho messo all'attenzione in modo evidente in questo 3D ma l'ho solo "riportato per dovere di cronaca".

[nV 25]

Per quanto mi riguarda, il punto della situazione è presto fatto visto che mi fido solo degli occhi di RootRepeal/Gmer/PrevX...

Inoltre, sebbene non nasca con la pretesa di essere un tool AR puro ma uno strumento capace di gettare uno sguardo più a 360° sullo stato dell'intero sistema, trovo sia interessante anche il prodotto SysInspector della ESET..




Per scendere più in dettaglio sui nomi, cmq, potresti gettare un occhio su questo thread [1] e, in parte, su quest'altro: [2].



Facci sapere...

[Kohai]

A parte prevx free installato, a volte faccio scansioni con GMER. Sino ad oggi nessuna bsod all'avvio... pero' leggevo che in caso di infezione e relativo tentativo di riparare, a volte questa operazione causa la schermata blu.
Non nascondo che ogni volta che l'avvio mi sudano le mani
Trovera' qualcosa? Trovera' nulla?

Ciaooooo

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

Per quanto mi riguarda, il punto della situazione è presto fatto visto che mi fido solo degli occhi di RootRepeal/Gmer/PrevX...

Inoltre, sebbene non nasca con la pretesa di essere un tool AR puro ma uno strumento capace di gettare uno sguardo più a 360° sullo stato dell'intero sistema, trovo sia interessante anche il prodotto SysInspector della ESET..




Per scendere più in dettaglio sui nomi, cmq, potresti gettare un occhio su questo thread [1] e, in parte, su quest'altro: [2].



Facci sapere...

Grazie Grande Enne gli darò un occhio appena ho un pò più di tempo.
Non ti nascondo però che ho aperto questo 3D con un altro scopo......mi sembra,fin'ora, non raggiunto.

Eppure mi dico la sottosezione "Aiuto sono infetto....." è sempre piena zeppa di richieste !!

Sarebbe un' ottima occasione per un pool di "volontari" provare una serie di questi tool e riportarne impressioni sul campo,quindi non solo nell'individuazione che è pur sempre interessante ma anche nell'eradicazione.

Tu e quasi certamente gli altri utenti che sono intervenuti con un commento in questo 3D, avranno da anni i loro "tool antirootkit" perennemente disoccupati.
Come io del resto.........

In questo campo ci dovrebbe essere una certa curiosità di sperimentazione,altrimenti non c'è soddisfazione.

Quindi esorto le giovani leve a farci "spostare".....largo ai giovani !!

I miei ringraziamenti a tutti coloro che sono già intervenuti.

[Kohai]

OT
Il nostro sampei gentile e cortese come sempre
Chiudo OT

[Kohai]

Aggiunto rootrepeal oltre a gmer che gia' avevo....

[cloutz]

posso dire quali sono i miei software "preferiti", quelli che uso per intenderci, ma non mi sento in grado di dire quale sia effettivamente il migliore (anche se qualche test si potrebbe pure fare).

In ordine da quello che reputo più affidabile:

-RootRepeal
-rtk Unhooker
-Gmer

poi, come sempre, entra in gioco il gusto personale..