«Лаборатория Касперского» об использовании rootkit-технологий

Вебпланета

≡ | архивная статья | 13.01.2006 19:59

В последнее время широкий резонанс в СМИ начинает получать сообщение эксперта в области компьютерной безопасности Марка Руссиновича (Mark Russinovich) об использовании rootkit-технологий в антивирусных продуктах «Лаборатории Касперского».

Посмотреть статью полностью

13.01.2006 20:40 | пишет нц | ссылка

Марк же умный дядечка, чего его так торкнуло на NTFS Streams обидется. Вон у симантека, там дааа. А тут checksum пишется. Никто же не верещит, что в thumbs.db которые от просмотра картинок проводником появляются в стримах тоже чего-то есть ;)

15.01.2006 18:04 | пишет Zerkella | ссылка

Все-таки это опасно. Если АВП полагается на чексуммы в потоках, то это позволяет вирусу после изменения файла записать туда нужную чексумму, чтобы файл не проверяли. Ну а "формат не распознан" - это смешно, ведь вирус будет писать именно в нужном формате, подстраиваясь под АВП.

Жаль, не приведены линки на высказывания Русиновича - следовало бы для полноты картины почитать и его.

16.01.2006 15:07 | пишет Гость | ссылка

Касперский дает ссылку сюда:
http://www.pcworld.com/news/article/0,aid,124365,00.asp
А вот что пишет сам русинович:
http://www.sysinternals.com/Utilities/RootkitRevealer.html

"Hidden from Windows API.

These discrepancies are the ones exhibited by most rootkits, however, if you haven't checked the Hide NTFS metadata files you should expect to see a number of such entries on any NTFS volume since NTFS hides its metada files, such as $MFT and $Secure, from the Windows API. The metadata files present on NTFS volumes varies by version of NTFS and the NTFS features that have been enabled on the volume. There are also antivirus products, such as Kaspersky Antivirus, that use rootkit techniques to hide data they store in NTFS alternate data streams. If you are running such a virus scanner you'll see a Hidden from Windows API discrepancy for an alternate data stream on every NTFS file. "