tag:blogger.com,1999:blog-10303035.post110760048733482620..comments2024-02-04T23:20:04.066+03:00Comments on Алёна C++: Рутковска против команды ПташекаAlenahttp://www.blogger.com/profile/09389124127364799922noreply@blogger.comBlogger10125tag:blogger.com,1999:blog-10303035.post-81585425481675726292008-02-18T17:28:00.000+03:002008-02-18T17:28:00.000+03:00Пишет Рупперт.Алёна, понимаете, цель руткита скрыт...Пишет Рупперт.<BR/>Алёна, понимаете, цель руткита скрыть факт несанкционированного проникновения и расширения полномочий. Т.е. если эта зверюга на компе завелась, то никакой антивирь уже не поможет, системе кирдык, она скомпроментирована окончательно.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-10303035.post-71773146058945281092007-11-26T23:25:00.000+03:002007-11-26T23:25:00.000+03:00Столкнулся с rootkit некоторое время назад. Kasper...Столкнулся с rootkit некоторое время назад. Kaspersky 7.0 просто не запускался. NOD32 запускался, сообщал о rootkit и лапки кверху. Пришлось форматировать диск, благо была типовая рабочая станция.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-10303035.post-65001887776598313082007-07-06T16:28:00.000+04:002007-07-06T16:28:00.000+04:002alex: "Обычному пользователю" плевать на руткиты....<B>2alex:</B> <BR/><I>"Обычному пользователю" плевать на руткиты. Он в самом деле не будет заниматься их поиском.</I><BR/><BR/>Пользователь запускает антивирус. В надежде, что тот найдет все вредоносные программы. А уж как что называется: червь, троян, руткит ему все равно...Alenahttps://www.blogger.com/profile/09389124127364799922noreply@blogger.comtag:blogger.com,1999:blog-10303035.post-62587305411384336422007-07-06T15:20:00.000+04:002007-07-06T15:20:00.000+04:00"Обычному пользователю" плевать на руткиты. Он в с..."Обычному пользователю" плевать на руткиты. Он в самом деле не будет заниматься их поиском.<BR/>А вот IT-специалист может потратить, скажем, пять минут времени, чтобы получить точный результат.<BR/><BR/>Рутковская совсем не случайно выдвинула "временные" условия.<BR/>Потому что способ с измерением временем человеком, например, достаточно надёжен (годится и другой источник точного времени, например, шифрованный ntp).<BR/><BR/>См. "Timing reliability" http://invisiblethings.org/papers/NLUUG-virtualization.ppt<BR/><BR/>А также статьи по теме:<BR/>http://www.rootkit.com/newsread.php?newsid=548<BR/>http://www.rootkit.com/blog.php?newsid=554<BR/>http://www.rootkit.com/blog.php?newsid=550Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-10303035.post-80808360605992469992007-07-05T09:52:00.000+04:002007-07-05T09:52:00.000+04:00На конференциях она показывала работающую Red Pill...На конференциях она показывала работающую Red Pill. Про Blue Pill были только заявления, даже proof-of-concept не было показано.<BR/>В принципе это и понятно, на момент заявления технологии виртуализации и от Intel, и от AMD ещё не были выпущены на рынок (я имею ввиду не столько поддержку железа, а всё решение целиком, и особенно supervisor software) (да и Vista находилась в стадии какого-то там release candidate). Но непонятен подход Джоанны в отношении этого контеста.<BR/>IMHO (с большой долей иронии): Она обнаружила себя в списке 5 самых известных хакеров за прошлый год, посмотрела в кошелёк и обнаружила полнейший диссонанс между внешним и внутренним .... :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-10303035.post-11744225216942663832007-07-03T15:58:00.000+04:002007-07-03T15:58:00.000+04:002alex: Она выдвинула два условия, с которыми безус...<B>2alex:</B> <BR/><BR/><I>Она выдвинула два условия, с которыми безусловно выиграет:<BR/><BR/>1. It must act autonomously -- no human assistance when interpreting the results.</I><BR/><BR/>Это вполне справедливое условие. Обычный пользователь не будет анализировать поведение компьютера и искать там руткиты. А для обычных пользователей все в конечном итоге и делается.<BR/><BR/><I><BR/>2. The detector can not consume significant amount of CPU time (say > 90%) for more then, say 1 sec.</I><BR/>Вот это да, странно. Особенно если учесть, что объясняется оно удобством пользователя. Пользователь может и подождать, лишь бы убедиться, что с его машиной все в порядке.<BR/><BR/><I>Без этих условий детектирование её руткита вполне возможно.</I><BR/><BR/>Пташека только требование денег напрягает, насколько я поняла из его блога.<BR/><BR/><B>2Vladislav Artukov:</B><BR/><I>Если рассчитывать на реальное применение детектора rootkits, то я бы выдвинул более жесткое условие - не более 25% загрузки на (одноядерном) Pentium 2 ГГц. Если это условие не выполняется, то зачем нам детектор, который будет поглощать все ресурсы?</I><BR/><BR/>А зачем его все время в памяти держать? Запускаешь один раз в день (в неделю, в месяц) на какое-то время, а он за это время пытается определить есть руткит на машине или нет.<BR/><BR/><B>Анонимный:</B><BR/><I><BR/>А вам не кажется что Джоанна зажралась?<BR/>Поясню.<BR/>Делает голословные заявления про "100% undetectable rootkit" (как работает Blue Pill никто (подчеркну, НИКТО) не видел),<BR/></I><BR/>Она грозилась что-то представить на конференциях прошлым летом. Я сейчас поспрашивала Гугл, но так и не поняла - она только рассказывала про Blue Pill или смогла что-то показать. В блоге у себя она пишет, что у нее есть работающий прототип, который далеко не все умеет. <BR/><BR/><I> а на предложение проверить это выдвигает требования от которых выигрывает только она (и код детектора для отладки своего творения получит, и бабла срубит).</I><BR/><BR/>Согласна. Вся эта история с требованием денег выглядит не очень хорошо.Alenahttps://www.blogger.com/profile/09389124127364799922noreply@blogger.comtag:blogger.com,1999:blog-10303035.post-46812326774361989182007-07-03T10:09:00.000+04:002007-07-03T10:09:00.000+04:00А вам не кажется что Джоанна зажралась?Поясню.Дела...А вам не кажется что Джоанна зажралась?<BR/>Поясню.<BR/>Делает голословные заявления про "100% undetectable rootkit" (как работает Blue Pill никто (подчеркну, НИКТО) не видел), а на предложение проверить это выдвигает требования от которых выигрывает только она (и код детектора для отладки своего творения получит, и бабла срубит). Насколько я помню для конкурсов по проверке стойкости криптоалгоритмов устроители сами выделяли деньги на призы. А тут... у меня есть круть несусветная, но я её вам не покажу, но вы должны мне покланяться из-за этой крути, а хотите проверить насколько она крута денег давайте (в сторону: "Ну и хрен с ним что хрень, зато бабла срубим...").<BR/><BR/>А вы как вы думаете?...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-10303035.post-79570761456820358342007-07-02T14:45:00.000+04:002007-07-02T14:45:00.000+04:00"Красную пилюлю" она еще в 2004 года, опубликовала..."Красную пилюлю" она еще в 2004 года, опубликовала :)<BR/><BR/>http://invisiblethings.org/papers/redpill.htmlAnonymoushttps://www.blogger.com/profile/14047856154678529690noreply@blogger.comtag:blogger.com,1999:blog-10303035.post-43646320404671286172007-07-02T11:06:00.000+04:002007-07-02T11:06:00.000+04:00Если рассчитывать на реальное применение детектора...Если рассчитывать на реальное применение детектора rootkits, то я бы выдвинул более жесткое условие - не более 25% загрузки на (одноядерном) Pentium 2 ГГц. Если это условие не выполняется, то зачем нам детектор, который будет поглощать все ресурсы? <BR/><BR/>Помните шутку про антивирус касперского (времен версий 4.х)? <BR/><BR/>"Вирусы не могут размножаться на машине, находящейся под защитой антивируса касперского. Антивирус занимает 100% CPU и вирусам ничего не достается."Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-10303035.post-30132749116897260852007-07-02T02:26:00.000+04:002007-07-02T02:26:00.000+04:00Она выдвинула два условия, с которыми безусловно в...Она выдвинула два условия, с которыми безусловно выиграет:<BR/><BR/>1. It must act autonomously -- no human assistance when interpreting the results.<BR/>2. The detector can not consume significant amount of CPU time (say > 90%) for more then, say 1 sec.<BR/><BR/>Без этих условий детектирование её руткита вполне возможно.Anonymousnoreply@blogger.com