Zwierzenia pogromcy rootkitów

"Nie istnieje coś takiego jak "dobry rootkit". One modyfikują działanie systemu operacyjnego i utrudniają pracę osobom zarządzającym systemem. Co więcej - niekiedy takie ukryte obiekty mogą zawierać błędy, które umożliwią skuteczne zaatakowanie systemu" - mówi w rozmowie z IDG Mark Russinovich, współzałożyciel firmy Winternals Software, znany "łowca rootkitów". Russinovich wyjawia nam również, dlaczego - jego zdaniem - pewne rootkity są bardziej niebezpieczne od innych oraz dlaczego trudno jest stworzyć stuprocentowo skuteczny program do wykrywania rootkitów.


Jakiś czas temu wziął Pan udział w konkursie zorganizowanym przez czeskiego programistę o pseudonimie Holy Father (Ojciec Święty), który sprzedawał stworzony przez siebie rootkit i twierdził, że jest on w stanie oszukać program RootkitRevealer. Proszę o tym opowiedzieć.

Rzeczywiście, Holy Father reklamował swój produkt informując, że skutecznie ukrywa się on przed naszym programem. To było ciekawe wyzwanie - RootkitRevealer wykrył podstawową wersję stworzonego przez niego rootkitu. Nie wiemy niestety, jak poradziłby sobie z wersją "gold" - ponieważ Holy Father udostępniał ją jedynie swoim klientom.

Jak to się właściwie stało, że zainteresował się Pan rootkitami?

Dzięki mojemu doświadczeniu z pracy z systemami operacyjnymi już w połowie lat 90. poznałem rootkity dla systemów uniksowych. Wtedy również ich działanie polegało głównie na modyfikowaniu działania systemu operacyjnego. Rootkitom była również poświęcona moja praca dyplomowa na Carnegie Mellon University - pisałem w niej o elementach systemu operacyjnego, które mogą zostać wykorzystane do instalowania w nim "niewidzialnych" programów.

Później stworzyłem program o nazwie Regmon - powstał, bo nie było wtedy narzędzia, które potrafiłoby monitorować zmiany wprowadzane przez aplikacje do rejestru systemowego. Cały czas zresztą śledzę rozwój tych programów - często zaglądam np. na Rootkit.com.

Jak wykryć i usunąć rootkity?
Więcej informacji o rootkitach oraz sposobach ich wykrywania i usuwania znaleźć można w artykule "Rootkity: śpij spokojnie. Nawet jeśli je masz, są dobrze ukryte". Polecamy również tekst "Rootkit - wykryj niewykrywalne".
Podziel się |
3
Ocena:
Twoja ocena:

Komentarze (9)

nick/imię

29-06-2006 20:11
odpowiedz zgłoś do moderacji

czytelnik: a czytasz inne komentarze? Właśnie o tym pisałem, ale widocznie błąd nie istotny.

czytelnik

28-06-2006 12:20
odpowiedz zgłoś do moderacji

"...jednak prawdziwą popularność zdobył w październiku 2006 r., gdy wykrył.." - albo wkradł sie bład do tekstu i przydała by sie poprawka albo jka 2006 rok przespalem bo nie pamietam co sie dzialo w pazdzierniku 2006 za to pamietam co było rok wczesniej ;) w pazdzierniku 2005 wiec ktory w koncu mamy rok? pozdrawiam

szlovak

28-06-2006 09:58
odpowiedz zgłoś do moderacji

Bitdefender w wersji 10 która wyjdzie będzie taką samą kaszanką jak wersja 9. Tzn. wykrywa fikcyjne wirusy, które wykrywa np w starych programach z przed kilku lat gdzie żaden antywirus nie miał zastrzeżeń (czyli fikcyjne). Albo rzekomo że jest trojan w ffdshow wersja z sse2 (najnowsze).

ane

27-06-2006 19:58
odpowiedz zgłoś do moderacji

AmbientNights: w ramach dokształcania spróbuj się dowiedzieć na początek skąd pochodzi sama nazwa rootkit

nick/imię

27-06-2006 19:50
odpowiedz zgłoś do moderacji

"prawdziwą popularność zdobył w październiku 2006 r." ? - pozdrowienia dla wróżki :)

gdr

27-06-2006 18:26
odpowiedz zgłoś do moderacji

AmbientNights: "...już w połowie lat 90. poznałem rootkity dla systemów uniksowych. Wtedy również ich działanie polegało głównie na modyfikowaniu działania systemu operacyjnego." Nawet na Linux'a sa rootkity.

mark

27-06-2006 18:21
odpowiedz zgłoś do moderacji

BitDefender 10, ktory jest obecnie w fazach beta ma zwalczac rookity, wiec ktos jednak stara sie aby nasze systemy byly bezpieczne.

Noname

27-06-2006 16:58
odpowiedz zgłoś do moderacji

Przerażająca jest ignoracja niektórych komentatorów.

AmbientNights

27-06-2006 16:03
odpowiedz zgłoś do moderacji

Zainstaluj Linux i po rootkitach :-)

Polecane

PC World z prezentem!

Tak, zamawiam 12 wydań PC World po 14,09 zł każde (zamiast 19,90 zł) od numeru 6/2012.
Dodatkowo program Panda Antyvirus Pro 2012,
chroniący aż 3 komputery, dostanę za darmo.

PC World 6/2012
Nowy numer PC World 6/2011
Razem: 169


  • Z darmową wysyłką
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

Pobierz bezpłatnego e-booka

20 lat polskiej sieci
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Jeśli chcesz otrzymać darmowego e-booka, wpisz swój adres e-mail. Wyślemy Ci go natychmiast!
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

Tagi

Android Google Microsoft Poradnik Samsung aero apple defragmentacja facebook filmy gadżety internet loader optymalizacja pc pc world porady problem procesy przewodnik przyspieszanie rejestr rtm serwisy społecznościowe start uruchamianie systemu windows 7 wskazówki youtube zamykanie systemu