俄羅斯的駭客組織最近發表一種新的 Rootkit 技術,被稱為 Unreal。它會隱匿檔案和驅動程式,只可以在微軟 NTFS 的檔案系統上運行,它不會產生任何的執行程序 (Running Process) 和註冊碼 (Registry Key)。
他們宣稱他們的目的只是為了測試 AntiRootkit 軟體,以下是這個 Rootkit 相關的資訊:
支援檔案系統:NTFS
支援作業系統:
Windows XP SP2, Windows 2003 SP1
Windows 2000 - 尚未測試
實作方式:DKOM (Direct Kernel Object Modification) (新版的 Fu Rootkit 也使用此技術)
測試結果:
========================================
1. Rootkit Unhooker v3.01 BYPASSED
2. Rootkit Revealer v1.71 BYPASSED
3. F-Secure Blacklight BYPASSED
4. DarkSpy v1.05 BYPASSED
5. DarkSpy v1.05fixedbeta2 BYPASSED
6. IceSword v1.20 BYPASSED
7. GMER v1.012 BYPASSED
8. Helios v1.1a BYPASSED
9. SVV v2.3 BYPASSED
10. McAfee Rootkit Detective BYPASSED
11. Sophos AntiRootkit BYPASSED
12. TrendMicro RootkitBuster BYPASSED
13. AVG AntiRootkit BYPASSED
14. AVZ v4.23 ARK Module BYPASSED
15. BitDefender Rootkit Uncover BYPASSED
16. Panda AntiRootkit BYPASSED
17. Panda Tycan BYPASSED
18. modGreeper v0.3 BYPASSED
19. flister BYPASSED
20. UnHackMe BYPASSED
21. SEEM v4.x BYPASSED
22. SafetyCheck v1.5.x BYPASSED
23. Avira AntiRootkit BYPASSED
24. HiddenFinder v1.301 BYPASSED
25. RkDetector v0.6 BYPASSED
========================================
他們的結論:不存在最好的 AntiRootkit 軟體
如果想要測試此 Rootkit,可以在他們的網站上
下載。另外,你可以在 Sysinternals 的
論壇上,看到相關的討論。
以下是我的看法:
基本上,沒有 100% 的安全,如果惡意程式或 Rootkit 已經感染你的系統,雖然防毒或安全軟體廠商應該可以找到一些更好的方法 (熟悉Windows OS Architecture 的話) 去偵測這些惡意行為,但一定會用更暴力的手法 (因為它們已經使用了暴力的手法),否則,無法偵測到它們,但結果會如何呢?系統可能會極不穩定,甚至,死給你看。
很多軟體或安全軟體廠商都想辦法在 Live System 上去偵測隱匿技術,而不想其他的方式,可想而知,結果會是怎樣呢?我的想法是利用 Rescue System 去掃描這個系統,以及把惡意程式或 Rootkit 常用的手法封鎖起來 (正常程式也可能會用這些方法
) 和不要讓惡意程式或 Rootkit 輕易地進入核心模式 (Kernel Mode)。
最後,如果對 Rootkit 相關技術有興趣的人,可以參考我們上次研討會的
講義、
ROOTKITS, Subverting the Windows Kernel 這本書或
rootkit.com 這個網站。
