<?xml version="1.0" encoding="utf-8"?>
<rss version="2.0" xml:base="http://webplanet.ru" xmlns:dc="http://purl.org/dc/elements/1.1/">
<channel>
 <title>Вебпланета - «Лаборатория Касперского» об использовании rootkit-технологий - Comments</title>
 <link>http://webplanet.ru/news/lenta/2006/1/13/rootkit.html</link>
 <description>Comments for &quot;«Лаборатория Касперского» об использовании rootkit-технологий&quot;</description>
 <language>ru</language>
<item>
 <title>Re:</title>
 <link>http://webplanet.ru/forum/news.html%3Fnews%3D10087#comment-85966</link>
 <description>&lt;p&gt;Касперский дает ссылку сюда:&lt;br /&gt;
&lt;noindex&gt;&lt;a href=&quot;http://www.pcworld.com/news/article/0,aid,124365,00.asp&quot; title=&quot;http://www.pcworld.com/news/article/0,aid,124365,00.asp&quot; target=&quot;_blank&quot; rel=&quot;nofollow&quot;&gt;http://www.pcworld.com/news/article/0,aid,124365,00.asp&lt;/a&gt;&lt;/noindex&gt;&lt;br /&gt;
А вот что пишет сам русинович:&lt;br /&gt;
&lt;noindex&gt;&lt;a href=&quot;http://www.sysinternals.com/Utilities/RootkitRevealer.html&quot; title=&quot;http://www.sysinternals.com/Utilities/RootkitRevealer.html&quot; target=&quot;_blank&quot; rel=&quot;nofollow&quot;&gt;http://www.sysinternals.com/Utilities/RootkitRevealer.html&lt;/a&gt;&lt;/noindex&gt;&lt;/p&gt;
&lt;p&gt;&quot;Hidden from Windows API.&lt;/p&gt;
&lt;p&gt;These discrepancies are the ones exhibited by most rootkits, however, if you haven&#039;t checked the Hide NTFS metadata files you should expect to see a number of such entries on any NTFS volume since NTFS hides its metada files, such as $MFT and $Secure, from the Windows API. The metadata files present on NTFS volumes varies by version of NTFS and the NTFS features that have been enabled on the volume. There are also antivirus products, such as Kaspersky Antivirus, that use rootkit techniques to hide data they store in NTFS alternate data streams. If you are running such a virus scanner you&#039;ll see a Hidden from Windows API discrepancy for an alternate data stream on every NTFS file. &quot;&lt;/p&gt;
</description>
 <pubDate>Mon, 16 Jan 2006 14:07:58 +0300</pubDate>
 <dc:creator>Гость</dc:creator>
 <guid isPermaLink="false">comment 85966 at http://webplanet.ru</guid>
</item>
<item>
 <title>Re:</title>
 <link>http://webplanet.ru/forum/news.html%3Fnews%3D10087#comment-85943</link>
 <description>&lt;p&gt;Все-таки это опасно. Если АВП полагается на чексуммы в потоках, то это позволяет вирусу после изменения файла записать туда нужную чексумму, чтобы файл не проверяли. Ну а &quot;формат не распознан&quot; - это смешно, ведь вирус будет писать именно в нужном формате, подстраиваясь под АВП.&lt;/p&gt;
&lt;p&gt;Жаль, не приведены линки на высказывания Русиновича - следовало бы для полноты картины почитать и его.&lt;/p&gt;
</description>
 <pubDate>Sun, 15 Jan 2006 17:04:47 +0300</pubDate>
 <dc:creator>Zerkella</dc:creator>
 <guid isPermaLink="false">comment 85943 at http://webplanet.ru</guid>
</item>
<item>
 <title>Re:</title>
 <link>http://webplanet.ru/forum/news.html%3Fnews%3D10087#comment-85891</link>
 <description>&lt;p&gt;Марк же умный дядечка, чего его так торкнуло на NTFS Streams обидется. Вон у симантека, там дааа. А тут checksum пишется. Никто же не верещит, что в thumbs.db  которые от просмотра картинок проводником появляются в стримах тоже чего-то есть ;)&lt;/p&gt;
</description>
 <pubDate>Fri, 13 Jan 2006 19:40:20 +0300</pubDate>
 <dc:creator>нц</dc:creator>
 <guid isPermaLink="false">comment 85891 at http://webplanet.ru</guid>
</item>
<item>
 <title>«Лаборатория Касперского» об использовании rootkit-технологий</title>
 <link>http://webplanet.ru/news/lenta/2006/1/13/rootkit.html</link>
 <description>&lt;p&gt;В последнее время широкий резонанс в СМИ начинает получать сообщение эксперта в области компьютерной безопасности Марка Руссиновича (Mark Russinovich) об использовании rootkit-технологий в антивирусных продуктах «Лаборатории Касперского». &lt;/p&gt;
&lt;p&gt;&lt;a href=&quot;http://webplanet.ru/news/lenta/2006/1/13/rootkit.html&quot;&gt;Далее&lt;/a&gt;&lt;/p&gt;</description>
 <category domain="http://webplanet.ru/old">Архив</category>
 <comments>http://webplanet.ru/news/lenta/2006/1/13/rootkit.html#comment</comments>
 <pubDate>Fri, 13 Jan 2006 18:59:33 +0300</pubDate>
 <dc:creator>admin</dc:creator>
 <guid isPermaLink="false">11304 at http://webplanet.ru</guid>
</item>
</channel>
</rss>
