愈來愈多軟體商推出免費的反傀儡程式工具, 小弟前面也介紹了其中三套, 然而不論是哪一套, 還不如Rootkit 作者的說法來得有公信力
Sysinternals Forums: Unreal: Rootkit Detectors / Bypassing
ARK TESTS:
========================================
1. Rootkit Unhooker v3.01 BYPASSED
2. Rootkit Revealer v1.71 BYPASSED
3. F-Secure Blacklight BYPASSED
4. DarkSpy v1.05 BYPASSED
5. DarkSpy v1.05fixedbeta2 BYPASSED
6. IceSword v1.20 BYPASSED
7. GMER v1.012 BYPASSED
8. Helios v1.1a BYPASSED
9. SVV v2.3 BYPASSED
10. McAfee Rootkit Detective BYPASSED
11. Sophos AntiRootkit BYPASSED
12. TrendMicro RootkitBuster BYPASSED
13. AVG AntiRootkit BYPASSED
14. AVZ v4.23 ARK Module BYPASSED
15. BitDefender Rootkit Uncover BYPASSED
16. Panda AntiRootkit BYPASSED
17. Panda Tycan BYPASSED
18. modGreeper v0.3 BYPASSED
19. flister BYPASSED
20. UnHackMe BYPASSED
21. SEEM v4.x BYPASSED
22. SafetyCheck v1.5.x BYPASSED
23. Avira AntiRootkit BYPASSED
24. HiddenFinder v1.301 BYPASSED
25. RkDetector v0.6 BYPASSED
========================================
可別讓以上結果嚇壞了您, 先補充一下前提, 以免大家誤解其測試方法:
This rootkit is not intended to be runned with Host Intrusion Prevention Systems.
It is intended ONLY for testings with modern AntiRootkit software.
這一段說明得很清楚, 測試的目的不在於防止Unreal Test Rootkit 入侵, 而在於入侵之後, 如何以各家的Anti-Rootkit 技術偵測Unreal 的存在! 困難度可想而知, 除了Unreal 使用特殊隱藏技術之外, 如何根據其行為特徵把它找出來, 而不是靠肉眼瞎猜, 這才是重點, 此外為了避免被EP_X0FF 點名, 小弟也必須請大家仔細閱讀BYPASSED List 之前的介紹, 因為少數參與討論的人士未仔細閱讀前言, 因而引發不必要的論戰, 有人說他們能偵測Unreal, 然而那可能是 "看圖說故事" 的結果, 當然這還有爭論, 各有各的堅持, 若沒有把每個人的論點全盤看完, 還真難搭上腔, 小弟想指出的是Unreal 的目的在於測試各家Anti-Rootkit 的能力, 所以前提是假設你已經中了不知名的Rootkit, 要如何去找出來? 而不是拼命解釋這款代誌嘸可能發生, 我有安裝XXX, 所以一定可以偵測到, 或者只要使用受限制的用戶就不必擔心, 如此種種文不對題的話, 只會讓人看了搖頭, 再說天下沒有完美的系統, 就算使用受限制的用戶, Rootkit 還是有可能找出漏洞提昇權限, 如今Unreal.A 展示了一種新的能力(非指入侵, 而是隱藏), 也許您會說 "知道了, 我們可以對付它", 但是誰有把握對付尚未發表的Unreal.B 加上補也補不完的漏洞呢? 其實這本來就是一場永無止境的競賽, 勝利只是暫時的, 實在沒必要多做無謂的爭執, 不過小弟另外想指出的, 是參與討論的雙方實力不對等, 所以才無法激盪出智慧的火花, 除了並未露面的PJF 之外, 上得了檯面的也只有mj0011, 少了周瑜, 何以彰顯孔明的智慧?
PS. 這些俄共實在很厲害, 不但看老共的文章, 挖出人家的私房照, 就連malware-test.com 也被盯上, 當然也包含其他批評他們的文章, 似乎沒有什麼事情可以逃過他們的法眼, 實在冒犯不得啊!
除了冰刃(IceSword)之外, 小弟特別引用EP_X0FF 的一段話:
作者:
EP_X0FF
Unreal.A (v1.0) source code has been sent to F-Secure Researchers, because they antirootkit has the more potential than any other from AV company.
坦白說, 看老俄大喇喇地說 "BULLsh*t", "su**", "f**ked" 和 "WTF" (enhanced "f**k"), 看得小弟也不免血脈噴張, 真是快人快語!
書籤