| Precedente :: Successivo |
| Autore |
Messaggio |
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
 Inviato: 19 Feb 2006 16:21 Oggetto: * Blacklight [anti rootkit] |
 |
|
E' un software pensato dalla F-Secure contro quei virus [meglio indicarli più genericamente come malware] che restano invisibili anche ai tool antivirus sfruttando i rootkit che, non essendo infetti, non vengono rilevati ma permettendo così di essere utilizzati per scopi malevoli da virus, worm, backdoor e spyware.
Attualmente il prodotto, standalone, è in versione beta freeware con data di scandenza limitata al 1° maggio 2006. (*)
Vedi alcuni screenshots.
> Blacklight 2.2.1064 beta
S.O.: Windows 2000/XP/2003
(*) update: nuova versione rilasciata, scadenza prorogata al 1° ottobre 2007
L'ultima modifica di ioSOLOio il 06 Nov 2006 16:14, modificato 6 volte |
|
| Top |
|
 |
FreeSpirit
Dio maturo
Registrato: 31/08/05 15:35
Messaggi: 1570
Residenza: Olimpo Informatico
|
| Inviato: 19 Feb 2006 16:53 Oggetto: |
|
|
| Ma attualmente c'è qualche software antivirus capace di individuare i rootkit? |
|
| Top |
|
|
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 19 Feb 2006 18:37 Oggetto: |
|
|
onestamente non so...e visto il caos che ha creato il rootkit sony mi sa che in diversi antivirus standard hanno fallito..
credo che per il momento si utilizzino dei tool come questo che ho segnalato (il Blacklight attualmente free e in beta ha come finalità quello di essere poi venduto a pagamento e/o integrato nell'antivirus della F-Secure.) che sopperiscono alla mancanza, un po' come gli spyware.. |
|
| Top |
|
|
FreeSpirit
Dio maturo
Registrato: 31/08/05 15:35
Messaggi: 1570
Residenza: Olimpo Informatico
|
| Inviato: 19 Feb 2006 19:27 Oggetto: |
|
|
Quando diventerà a pagamento potremmo sempre utilizzare il RootkitRevealer che invece è freeware 
Attualmente come antivirus sto utilizzando KIS 6.0 beta; tra le varie aggiunte rispetto alla precedente release c'è la "Proactive Defense" che tiene sotto controllo comportamenti potenzialmente dannosi da parte dei software e lascia all'utente la possibilità di permettere o meno l'esecuzione di quel codice. Penso che questa funzionalità sia efficace contro i rootkit. |
|
| Top |
|
|
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 19 Feb 2006 19:43 Oggetto: |
|
|
| FreeSpirit ha scritto: | | Quando diventerà a pagamento potremmo sempre utilizzare il RootkitRevealer che invece è freeware |
si, lo conosco...
l'unica differenza è che richiede poi una "partecipazione attiva" da parte dell'utente per interpretare ciò che viene segnalato...
Comunque da tenere presente. |
|
| Top |
|
|
FreeSpirit
Dio maturo
Registrato: 31/08/05 15:35
Messaggi: 1570
Residenza: Olimpo Informatico
|
| Inviato: 19 Feb 2006 20:36 Oggetto: |
|
|
Infatti, i risultati della scansione del RootkitRevealer sono da interpretare e non sempre è così immediata la comprensione degli stessi. È consigliabile solo per gli utenti più avanzati.
Ha però il notevole vantaggio di essere freeware. |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 19 Feb 2006 23:15 Oggetto: |
|
|
Contro i Rootkit c'è anche UnHackme della Greatis. E' shareware, ma scaduto il periodo di prova continua a funzionare  |
|
| Top |
|
|
CptHook
Eroe in grazia degli dei
Registrato: 14/07/05 14:25
Messaggi: 153
Residenza: Provincia di Roma
|
| Inviato: 12 Mar 2006 19:24 Oggetto: Domanda. |
|
|
| FreeSpirit ha scritto: | Infatti, i risultati della scansione del RootkitRevealer sono da interpretare e non sempre è così immediata la comprensione degli stessi. È consigliabile solo per gli utenti più avanzati.
Ha però il notevole vantaggio di essere freeware. |
Saluti a tutti.
Sono un utente medio(cremente esperto) carente delle basi di Windows. Utilizzo W2000 Pro SP4 constantemente aggiornato e Crazy Browser.
Per non sbagliare ho installato Zone Alarm completo di antivirus e antispyware e ho lasciato in funzione anche AVG 7.0 Free, pagando la scelta con qualche rallentamento ma, tutto sommato, sopportabile.
I freeware/shareware che avete citato possono convivere e portare vantaggio nella mia attuale configurazione.
Grazie a tutti,
Giacomo Uncino |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 12 Mar 2006 23:31 Oggetto: |
|
|
Sì, sono compatibili. Cercano cose diverse: i rootkit che sono invisibili al sistema operativo e ai normali antivirus.
Non so se però ti servano tutti e tre, uno forse è più che sufficiente 
Se ti interessa mantenerli in scansione real time, allora opta per Unhacme, se ne vuoi uno con un log un po' "da interpretare" allora Rootkitrevealer è quello che fa per te. |
|
| Top |
|
|
CptHook
Eroe in grazia degli dei
Registrato: 14/07/05 14:25
Messaggi: 153
Residenza: Provincia di Roma
|
| Inviato: 13 Mar 2006 10:45 Oggetto: Grazie... |
|
|
| holifay ha scritto: | Sì, sono compatibili. Cercano cose diverse: i rootkit che sono invisibili al sistema operativo e ai normali antivirus.
Non so se però ti servano tutti e tre, uno forse è più che sufficiente
Se ti interessa mantenerli in scansione real time, allora opta per Unhacme, se ne vuoi uno con un log un po' "da interpretare" allora Rootkitrevealer è quello che fa per te. |
Unhacme? L'ho cercato ma ho trovato solo un forum. Hai qualche suggerimento ulteriore? Secondo te, l'interpretazione è a prova di cretino medio?
Domanda no. 2: secondo te quale converrebbe da lasciare come eventuale unico?
Grazie di nuovo e buona settimana a te,
Uncino |
|
| Top |
|
|
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 13 Mar 2006 14:37 Oggetto: Re: Grazie... |
|
|
| CptHook ha scritto: |
Unhacme? L'ho cercato ma ho trovato solo un forum.
|
dal post poco sopra di holifay:
| holifay ha scritto: | | Contro i Rootkit c'è anche UnHackme della Greatis. E' shareware, ma scaduto il periodo di prova continua a funzionare |
oppure la pagina diretta del download.
| CptHook ha scritto: |
Domanda no. 2: secondo te quale converrebbe da lasciare come eventuale unico? |
| holifay ha scritto: | Cercano cose diverse: i rootkit che sono invisibili al sistema operativo e ai normali antivirus.
[...]
Se ti interessa mantenerli in scansione real time, allora opta per Unhacme, se ne vuoi uno con un log un po' "da interpretare" allora Rootkitrevealer è quello che fa per te. |
Ovviamente mantieni l'antivirus come ha detto holifay..si tratta di cose differenti. |
|
| Top |
|
|
toto200
Dio minore
Registrato: 28/11/05 17:43
Messaggi: 664
Residenza: europa
|
| Inviato: 13 Mar 2006 15:56 Oggetto: |
|
|
| FreeSpirit ha scritto: | | Ma attualmente c'è qualche software antivirus capace di individuare i rootkit? |
Immagino che (oltre ai software ad hoc già riportati) anche qualunque intercettatore di scritture del registry (tea timer di spybootSD, RegProt e compagnia) dovrebbero quantomeno segnalare il fatto. E rifiutando la scrittura si dovrebbe essere abbastanza protetti. Ovviamente loro segnalano OGNI scrittura sul registry, quindi occorre saper distinguere le scritture lecite (ed acconsentire) da quelle illecite. Intendo dire che non credo che un rootkit possa installarsi SENZA farsi notare dall'intercettatore che hai installato ... ma magari qualcuno che ne sa più di me può integrare il commento. Saluti. |
|
| Top |
|
|
Lucas
Mortale devoto
Registrato: 12/03/06 18:56
Messaggi: 8
|
| Inviato: 13 Mar 2006 16:07 Oggetto: |
|
|
I rootkit sono pericolosi appunto perchè invisibili o quasi invisibili,non esistono per adesso programmi validi per rilevare ed eliminare i rootkit,l'unico progetto valido rimane quello di Microsoft,ma non si sa se verrà portato a termine
Si esegue una prima scansione del disco dal sistema in esecuzione usando le stesse API ad alto livello usati dai programmi citati nei post precedenti
Si riavvia il pc da un cd di avvio sicuramente non infetto, Si esegue nuovamente la scansione e si memorizzano i risultati.
Poi i risultati verrano confrontati,ogni discrepanza verrà segnalata come possibile rootkit
http://research.microsoft.com/rootkit/
http://research.microsoft.com/rootkit/Rootkit_TechReportScreenshots.htm |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 13 Mar 2006 22:48 Oggetto: Re: Grazie... |
|
|
| CptHook ha scritto: | | Secondo te, l'interpretazione è a prova di cretino medio? |
Dipende da quanto sei interessato all'argomento e dall'esperienza che sei disposto a farti. Un log di RootkitRevelear come questo: | Citazione: | HKLM\S-1-5-21-299502267-1336601894-839522115- 1003\Software\Microsoft\MSNMessenger\SQM
\SessionTime 03/02/2006 16.35 4 bytes Data mismatch between Windows API and raw hive data. |
A te per esempio cosa dice? |
|
| Top |
|
|
Lucas
Mortale devoto
Registrato: 12/03/06 18:56
Messaggi: 8
|
|
| Top |
|
|
al_pacino
Dio maturo
Registrato: 13/04/05 15:16
Messaggi: 1331
Residenza: Versilia
|
| Inviato: 14 Mag 2006 14:11 Oggetto: |
|
|
ragazzi il programma in prima pagina credo sia scaduto... mi consigliate un altro programma simile x rilevare i rootkit? ciao 
quello del tuo link Lucas porta a un forum... ma che cosa fa sto programma? |
|
| Top |
|
|
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 14 Mag 2006 14:24 Oggetto: |
|
|
| al_pacino ha scritto: | | ragazzi il programma in prima pagina credo sia scaduto... mi consigliate un altro programma simile x rilevare i rootkit? ciao |
da qua:
| F-Secure BlackLightTM ha scritto: | | Note: Stand-alone BlackLight expiration has been extended until 1st of June 2006. |
| al_pacino ha scritto: | | quello del tuo link Lucas porta a un forum... ma che cosa fa sto programma? |
un forum -per chi non conosce l'Olimpo - dove postare i log di BlackLight e ricevere interpretazione....quello che insomma la nostra grande holifay fa spesso con HijackThis. |
|
| Top |
|
|
al_pacino
Dio maturo
Registrato: 13/04/05 15:16
Messaggi: 1331
Residenza: Versilia
|
| Inviato: 14 Mag 2006 17:06 Oggetto: |
|
|
| ioSOLOio ha scritto: | | al_pacino ha scritto: | | ragazzi il programma in prima pagina credo sia scaduto... mi consigliate un altro programma simile x rilevare i rootkit? ciao |
da qua:
| F-Secure BlackLightTM ha scritto: | | Note: Stand-alone BlackLight expiration has been extended until 1st of June 2006. |
| al_pacino ha scritto: | | quello del tuo link Lucas porta a un forum... ma che cosa fa sto programma? |
un forum -per chi non conosce l'Olimpo - dove postare i log di BlackLight e ricevere interpretazione....quello che insomma la nostra grande holifay fa spesso con HijackThis. |
ah la sezione "assistenza clienti disperati" ... 8) ok capito grazie! |
|
| Top |
|
|
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 30 Mag 2006 14:04 Oggetto: |
|
|
| come da aggiornamento del primo post della presente discussione, rilasciata la versione 2.2.1037 beta con scadenza il 1° settembre 2006 |
|
| Top |
|
|
al_pacino
Dio maturo
Registrato: 13/04/05 15:16
Messaggi: 1331
Residenza: Versilia
|
| Inviato: 06 Giu 2006 15:34 Oggetto: |
 |
|
si xò si installa tutto il pacchetto F secure.. nn c'e qualcosa di meno invasivo?? io ho gia un antivirus efficiente.. nn vorrei cambiarlo  |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
