Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Попробуй запустить программу поиска руткитов, которую на... 13.01.06 14:40 Число просмотров: 3064
Автор: Torus Статус: Незарегистрированный пользователь
|
> А почему на http://www.sysinternals.com/Blog про это ничего > не написано? Попробуй запустить программу поиска руткитов, которую на sysinternals можно найти: она сразу заматериться на спрятанные касперскими продуктами данные. Так что все там написано))))
|
<site updates>
|
Руссинович добрался и до Симантека с Касперским 13.01.06 01:56
Publisher: dl <Dmitry Leonov>
|
Руссинович добрался и до Симантека с Касперским InfoWorld http://www.infoworld.com/article/06/01/12/73872_HNkaspersky_1.html
Марк Руссинович, вокруг обнаружения которым закладок в сониевском софте в прошлом году поднялось столько шума [ http://bugtraq.ru/rsn/archive/2005/11/01.html ], обнаружил использование аналогичной техники в продуктах Symantec и Kaspersky Lab. Обе компании признали, что их программы прячут часть своих файлов с данными от системных функций (Norton SystemWorks прячет каталог с бэкапами файлов, пятая версия KAV контрольные суммы сканированных файлов), но решительно не согласны с тем, что этот подход представляет какую-то угрозу для пользователей. Впрочем, Symantec предпочла подстраховаться и выпустила патч, исправляющий данное поведение.
Полный текст
|
|
Ну это уже перебор 13.01.06 12:31
Автор: amirul <Serge> Статус: The Elderman
|
Насколько я помню, проблема с сони была в том, что используя соневский драйвер кто угодно мог скрыть себя. Сам факт сокрытия чего то от пользователя не вызывает у меня такого уж резкого возмущения. В дефолтовой поставке (в которой живут процентов 80 юзеров) от пользователя можно скрыть любой файл стандартной утилитой attrib - и не нужно никаких драйверов и перехвата системных сервисов.
|
| |
+1 13.01.06 15:16
Автор: Fighter <Vladimir> Статус: Elderman
|
|
|
Дык, по-моему, они не очень-то и скрывались. Каспер точно не прятался. 13.01.06 12:27
Автор: Fighter <Vladimir> Статус: Elderman
|
При инсталяции можно выбрать (не выбрать) опцию "Использовать технологию iStream(tm)" и пояснение там есть. Правда это видно если снять птичку "Использовать ракомендуемые настройки" (или шось такое).
Единственное, что я до сих пор не понимаю, так это название "Технология iStream(tm)". Потоки - неотъемлемая часть NTFS и сохранять что-нибудь при необходимости в потоках - дело довольно очевидное. Хотя... Касперы всегда любили щеки раздувать.
|
|
А почему на http://www.sysinternals.com/Blog про это ничего... 13.01.06 11:39
Автор: dil Статус: Незарегистрированный пользователь
|
А почему на http://www.sysinternals.com/Blog про это ничего не написано?
|
| |
Потому что Руссинович написал это в своей статье в... 14.01.06 16:52
Автор: A. Статус: Незарегистрированный пользователь
|
> А почему на http://www.sysinternals.com/Blog про это ничего > не написано?
Потому что Руссинович написал это в своей статье в декабрьском Virus Bulletin. Причем довольно корректно, без паники и обвинений. Но журналистам же хочецца кушать всегда, а начало января - мертвый сезон.
|
| |
Попробуй запустить программу поиска руткитов, которую на... 13.01.06 14:40
Автор: Torus Статус: Незарегистрированный пользователь
|
> А почему на http://www.sysinternals.com/Blog про это ничего > не написано? Попробуй запустить программу поиска руткитов, которую на sysinternals можно найти: она сразу заматериться на спрятанные касперскими продуктами данные. Так что все там написано))))
|
| | |
Это не показатель. Rootkit Revealer вообще все... 13.01.06 20:23
Автор: push <Dmitry> Статус: Member
|
Это не показатель. Rootkit Revealer вообще все дополнительные потоки руткитами считает.
|
| | | | |
100% правильно. При желании в потоки можно писать даже без... 16.01.06 15:41
Автор: BNN Статус: Незарегистрированный пользователь
|
100% правильно. При желании в потоки можно писать даже без спец. утилит из командной строки. То что КАВ пишет данные туда куда может писать любой другой не делает их опасными для пользователя даже если пользователь не может их увидеть. Так можно договорится и до того, что NTFS содержит рут-киты...
|
| | | | | |
Кстати, streams.exe Руссиновича не удаляет потоки КАВ-а даже... 16.01.06 20:05
Автор: push <Dmitry> Статус: Member
|
Кстати, streams.exe Руссиновича не удаляет потоки КАВ-а даже при выгруженном мониторе. Заинтересовался, когда перелезал на pro- версию. Если кому интересно, есть утилитка от Касперского для очистки потоков.
ftp://ftp.kaspersky.ru/utils/klstreamremover/klstreamremover.zip
Статья
|
| | | | | |
вообще там речь шла о том что кав прячет такие потоки 16.01.06 18:22
Автор: Killer{R} <Dmitry> Статус: Elderman
|
те ты даже если захочешь не увидишь их. Но все равно перебор конечно.
|
| | | | | |
Кстати да. В NTFS куча невидимых файлов 16.01.06 16:23
Автор: amirul <Serge> Статус: The Elderman
|
> увидеть. Так можно договорится и до того, что NTFS содержит > рут-киты...
Первые 16 позиций MFT - все как одна невидимы и неоткрываемы стандартными средствами. Это руткит наверное :-)
|
|
|