PDA

Visualizza versione completa : domanda sui rootkit


xmatrix83
12-04-2007, 15.46.51
Scusate la caratteristica dei rootkit da quello che ho capito è che sono "invisibili" al sistema operativo e ai software, ma se io monto l'hdd su altro pc in teoria kaspersky dovrebbe essere ingrado di rimuoverlo

Flavio58
12-04-2007, 15.54.59
In effetti il rootkit in genere non viene rilevato.
Esisteva una società chiama Sysinternals che ha fatto un buon numeri di utility veramente buone tra le quali il rilevatore di rootkit.
Sysinternals è stata acquisita da Microsoft la quale ha lsciato free tutte le utility fatte da questi...e ne hanno fatte veramente tante.
Se vuoi leggi qui :

Cercalo sul sito Microsoft come sysinternals .....

Ciao

xmatrix83
12-04-2007, 16.05.22
si, ma la mia domanda era, se stacco l'hard disk infetto, e lo monto su un altro sistema l'antivirus di quest'ultimo è ingrado di rilevare il rootkit??

xmatrix83
12-04-2007, 16.09.05
sul forum che hai linkato prarlano del gromozon, e qui non si tratta di gromozon, ho il sospetto che nel sistema ci sia un rootkit xche l'antivirus mi toglie dei trojan, ma appena riavvio faccio una scansione e ritrovo gli stessi trojan...

crazy.cat
12-04-2007, 19.28.57
si, ma la mia domanda era, se stacco l'hard disk infetto, e lo monto su un altro sistema l'antivirus di quest'ultimo è ingrado di rilevare il rootkit??
In teoria si, ma potresti correre il rischio di infettare pure l'altro pc.
Virit messo sul cd di bart pe mi ha dato dei buonissimi risultati contro i rootkit.

Se hai dei dubbi comincia a far girare virit sul tuo pc e poi fai una scansione con gmer e vedi se trova qualche voce in rosso.

al limite posta i log di hijackthis e poi dello stesso gmer nella sezione degli autostart.

Flavio58
14-04-2007, 22.14.34
Ma in genere il rootkit non è un virus ma sedmplicemente un sistema che permette da remoto di avere l'accesso alla root di sistema, non dotato di un meccanismo virale di trasferimento.
Questo viene trasferito da un meccanismo virale che attiva TFPT e trasferisce il rootkit.
In pratica ti arriva un messaggio, una stringa su un server http o qualche cosa d'altro che attiva TFTP.
Questo trasferisce il rootkit e poi mediante il resto del comandi cmd viene attivato .... E da quel momento in avanti avrai ospiti sul tuo sistema....
Se guardi sul mio libro Hacker's Programming Book ci sono 1750 pagine di esempi legati a cose di quel tipo (il libro lo trovi gratis in molti siti dlela rete)....per dire che non sto facemdo pubblicità per guadagnarci ... io con i miei libri non ci ho mai guadagnato un tubo ... dal 1984 in poi !

Flavio58
15-04-2007, 14.10.10
Questo è il link al sito MICROSOFT dove hanno messo i software che hanno rilevato dalla Sysinternals ......

http://www.microsoft.com/technet/sysinternals/default.mspx

Questo invece in modo specifico è quello del rilevatore di rootkit

http://www.microsoft.com/technet/sysinternals/securityutilities.mspx

RNicoletto
16-04-2007, 12.09.56
si, ma la mia domanda era, se stacco l'hard disk infetto, e lo monto su un altro sistema l'antivirus di quest'ultimo è in grado di rilevare il rootkit??
Ti hanno già risposto crazy.cat e Flavio58, comunque aggiungo: alla tua domanda non si può dare una risposta certa! :o

Questo perché il fatto di riuscire a rilevare o meno l'infezione dipende sia dal tipo di rootkit sia dal tipo di antivirus. Probabilmente, montando l'hard-disk infetto come secondario su di un altro sistema impedisce al rootkit di avviarsi automaticamente (l'avvio è solitamente legato al registry o a DLL di sistema) e questo lo può rendere più facilmente eliminabile ma le difficoltà di individuazione restano.

LoryOne
16-04-2007, 14.09.22
Esattamente.
Oggigiorno il metodo Mentadent è quello che bisogna utilizzare:
Prevenire è meglio che curare ;) :D