Най-добрите анти-руткит рууткит тест за откриване и премахване на руткит, руткит рейтинг

Най-добрите анти-руткит рууткит тест за откриване и премахване на руткит, руткит рейтинг

През последните години стават все по-популярни сред авторите на вируси използват руткит технология. Причината е очевидна - способността да се скрие зловреден софтуер и неговите компоненти на програми PC и антивирусни на потребителя. В Интернет можете да намерите безплатни изходен код готови руткитове, което неминуемо води до по-широко приложение на тази технология в различни троянски коне или шпионски софтуер (спайуер / рекламен софтуер, кийлогъри, и т.н.).

Rootkit (от корен комплект английски, т.е., "определен корен.") - програма, за да скриете следите на един нарушител или наличието на зловреден софтуер в системата. Използването на руткит технология позволява на злонамерен софтуер, за да скриете следите от дейността си в компютъра на жертвата чрез маскиране на файлове, процеси, както и самото присъствие в системата.

За откриване и премахване на тези злонамерени програми, има много специализиран софтуер - анти-руткит.

Целта на този тест - да се провери способността на най-известните Антируткит за откриване и премахване на зловреден софтуер, широко разпространена мрежа (ITW-проби) с помощта на руткит технология.

Тестване за общи малуер ITW-проби дава представа за това колко добре се счита решения, за да се справи с вече известни руткитове.

Тестът присъстваха 12 специализирани Антируткит, продукти, избрани в съответствие с методологията:

  1. ESET SysInspector 1.2.012.0
  2. GMER 1.0.15.15281
  3. KernelDetective 1.3.1
  4. Онлайн Solutions Autorun Мениджър 5.0.11922.0
  5. Panda Антируткит 1.0.8.0
  6. Sophos Антируткит 1.5.0
  7. SysReveal 1.0.0.27
  8. Rootkit Unhooker 3.8.386.589
  9. RootRepeal 1.3.5
  10. Trend Micro RootkitBuster 2.80
  11. Vba32 Antirootkit 3.12 (бета)
  12. XueTr 1.0.2.0

Изпитване, проведено на 12 злонамерени програми, всяка от които използва метод за маскиране система. Задайте samplov образуван при стриктно спазване на определени изисквания. главен сред които е покритието на всички използвани техники за маскиране в системата.

Избрани за тестване на зловреден софтуер:

  1. TDL (Tdss, Alureon, Tidserv)
  2. Sinowal (Mebroot)
  3. Pandex (Rootkit.Protector, Cutwail)
  4. Rootkit.Podnuha (Boaxxe)
  5. Rustock (NewRest)
  6. Srizbi
  7. Synsenddrv (Rootkit.Pakes, BlackEnergy)
  8. TDL2 (Tdss, Alureon, Tidserv)
  9. Макс ++ (нула достъпа)
  10. Virus.Protector (Kobcka, Neprodoor)
  11. TDL3 (Tdss, Alureon, Tidserv)
  12. z00clicker

Тестване на възможността за откриване на зловредни програми, които използват руткит технологии

Таблица 1-2 показва резултатите от откриването на злонамерени програми, които използват техники руткит, специализирани анти-руткит.

Припомняме, че според схемата използва награждаване. за всеки положителен (+, + / +, +/- и - / + в таблицата) се зарежда с 0,5 пункта.

Таблица 1: Резултати от тестовете руткит (начало)

От таблица 1 може ясно да се види, много големи трудности са възникнали с изпитваните продукти bootkit Sinowal (Mebroot). Открихме го само четири от тестваните анти-руткит и възстановяване на MBR е в състояние да само един RootRepeal. Най-беззащитните в този набор от три руткитове появи Panda Anti-Rootkit, който без точки не.

Таблица 2: Тест резултати корен (продължение)

Антируткит / зловреден софтуер

Файлът се изтрива ключ / регистър

Изтриване на файл / модифицира ключ

Изтриването ключов файл / регистър отново ча

Trend Micro RootkitBuster

Таблица 2 се предложи няколко заключения. Първият от тях е почти завършен "нерушимост" руткит Rustock (NewRest), които биха могли да неутрализират само KernelDetective и Online Solutions Autorun Manager (ОСЪМ). В общи линии, с откриването на този специален набор от руткит е имало проблем, с изключение на външни лица Panda Anti-Rootkit, и Trend Micro RootkitBuster, които отбелязаха само на 0,5 точки за откриване Srizbi.

Таблица 3: Тест резултати корен (продължение)

Антируткит / зловреден софтуер

Файлът се изтрива ключ / регистър

Файлът се изтрива ключ / регистър

Не може да се направи четене

Trend Micro RootkitBuster

Synsenddrv (Rootkit.Pakes, BlackEnergy) се оказаха най-лесни за откриване и премахване на всички от избрания набор от зловреден софтуер - Намерих го на всички тествани анти-руткит, не само обезоръжи ESET SysInspector и SysReveal. Най-големите трудности на този комплект, наречен Max ++ (ZeroAcess), който се намира само на четири продукти (два са били в състояние да копирате заразеното водача).

Таблица 4: Резултати от изпитванията корен (край)

Антируткит / зловреден софтуер

Trend Micro RootkitBuster

Както е показано в Таблица 4, с тази Сет руткитове в продуктите на изпитване с най-големите проблеми, особено в TDL3 (Tdss, Alureon, Tidserv) и z00clicker. Значително по-добре от другите, тук са се показали GMER и Vba32 Antirootkit, а други са загубили много точки. ESET SysInspector, Trend Micro RootkitBuster и Panda Anti-Rootkit намери нищо от този набор.

резултати и награди последен тест

Обобщавайки данните, представени в таблици 1-4, ние се окончателните резултати от ефективността на тестваните анти-руткит (на базата на максималните 12 точки), виж фиг. 1 и Таблица 5.

Фигура 1: Обобщение на тест корен (натрупани точки)

Най-добрите анти-руткит рууткит тест за откриване и премахване на руткит, руткит рейтинг

Таблица 5: Най-анти-руткит на резултатите от теста

Най-добрите резултати анти-руткит теста са признати от GMER и Vba32 Antirootkit, които имат право да получат наградата Златен Anti-RootkitProtection. Тяхното превъзходство над другите може ясно да се види през последните три проби от руткит в таблица 4.

Много добри резултати са показали RootRepeal, Online Solutions Autorun Manager (ОСЪМ), XueTr, Rootkit Unhooker (за съжаление не atkivno развива и подаде оставка от ръководството на резултат от нашите тестове) и KernelDetective. Това е продукти са били възнаградени с Сребърна награда за борба с RootkitProtection.

Постигането на задоволителни резултати са показали SysReveal и Sophos Anti-Rootkit, получи наградата Бронзов медал за борба с RootkitProtection. Ако крайният продукт е най-Sophos не са активно расте, след първите две може да има шанс да подобри резултатите си в бъдещи изследвания.

"Събирането на тестването логичното заключение, ние имаме подробна картина на възможностите на съвременната отстраняване руткит оспорване на ITW-проби от злонамерени програми, които използват руткит технологии. Въз основа на тези данни, можем да заключим, че антивирусните компании, чиито продукти са включени в изследването, само се преструва, да предлагат на своите решения, за да се премахнат сложните заплахи. В действителност, повечето от тях са в състояние да устои на Антируткит vendorskih модерни руткитове, защото на неговата техническа изостаналост както се вижда от резултатите ни. Положително изключение от това е Vba32 AntiRootkit от "VirusBlokAda". Този продукт е в състояние да открие най-сложните случаи на заразяване, които използват кръпка системни драйвери. Този резултат, разбира се, е показател за високо технологични решения, пази го! Важно е да се спомене, победителят testirovaniya- GMER, този продукт е, по мое мнение, винаги е бил еталон за анти-руткит.

"През последната година имаше доста нови руткитове по отношение на използваните технологии. Тя TDL2 с механизми за защита на своето откриване и отстраняване (отваряне на брава диск, обемът, възстановяването подслушвания, проследяване, за натоварване на водача). Тъй като новите версии на руткит Rustock оказа, че пресъздава при оттегляне IRP- и DKOH пресечните, които не са наблюдавани преди това в други семейства от зловреден софтуер (МКК кукички също пресъздава Pandex). Сравнително наскоро се появи ruktity макс ++ и TDL3, което patchatsya системни драйвери и съхраняват своите компоненти извън файловата система на заразения компютър.

Така virmeykery потъне по-дълбоко и по-дълбоко в недрата на системата, както и анти-руткит разработчици на софтуер трябва да следват най-новите тенденции rutkitostroeniya и се опитайте да не изоставам. От теста резултати показват, че най-голям успех в борбата срещу съвременния ruktitami са най-активно развиващите се анти-руткит - GMER, Vba32 AntiRootkit, RootRepeal, Осъм, Xuetr, RKU и KernelDetective. Но дори и те не винаги могат да се справят със заразата активно разпространяват в интернет. "

Сергей Ulasen, ръководител на компания за разработване на двигател антивирусна "VirusBlokAda":

"Борба с активна инфекция - едно от най-трудните задачи, които трябва да бъдат решени в антивирусната индустрия. В този случай, общото тегло на сумата действително сложни проби непрекъснато се увеличава, като предприемат в посока съчетаване на технологии руткит на
замърсяването на модули на системата на операционната система затруднява задачата за лечение
повече и по-тежко.

Наличието на специализирана програма, която може да се открие и лекува не само известни злонамерени програми, но също така и да се справят с все още неизвестни заплахи за продавача, е от голяма полза в работата на квалифицирани потребители и продукти за техническа поддръжка. Фирма "VirusBlokAda" през последната година се развива много активно развива своята полезност Vba32 AntiRootkit и е доволен, че този тест е потвърдил правилността на нашето решение и неговото качество. Също така имайте предвид, че този тест показва стабилността на разтвора, независимо от наставката в бета версия на стайна му. Ние, от своя страна, ще се стреми да бъде пусната в следващата версия на Vba32 AntiRootkit може по-бързо, както и да използва цялата технология, разработена в основен двигател на нашите водещи продукти. "

Вячеслав Русаков, експерт Anti-Malware.ru, водещ разработчик на "Лаборатория Касперски":

"Изпитване на тези специализирани инструменти като анти-руткит - една доста сложна задача, тъй като тези програми са предназначени за използване от експерти и професионалисти. Доклади на анти-руткит малко, че ще каже на потребителя непросветен. Основната задача на технически средства за данни е откриването на аномалии в активен зловреден код. И колкото повече информация, която предоставя инструмент, толкова по-лесно на експерта да се направи оценка на заплахата и следващите стъпки. В допълнение към откриването на аномалии, оптимално, ако руткит осигурява функции деактивиране на зловреден код, обаче, не винаги е възможно.

Anti-Rootkit руткит Unhooker накрая отишъл "подземен" и развиване на самостоятелна версия, която е на разположение на малка група хора, публична версия на малко остарели. Трябва да се обърне внимание и проследяване на развитието на онлайн решения Autorun мениджър, XueTr и KernelDetective, други продукти, за съжаление, нищо не е подходящ. "

Михаил Kasimov, експерт Anti-Malware.ru:

Приятно е да се отбележи, че голям потенциал откриване и неутрализиране на ниво, заедно с получените първо място GMER, показа бета версия на Vba32 AntiRootkit, RootRepeal, KernelDetective, както и на наскоро публикувания в арена на продукт Online Solutions Autorun Мениджър ».