Board logo

标题: 【评测】流氓会Rootkit,谁能挡得住? [打印本页]
作者: 红塔山     时间: 2007-7-25 18:47    标题: 【评测】流氓会Rootkit,谁能挡得住?

转自:http://bbs.deepin.org/read.php?tid=242899
作者:比萨斜饼

技术探讨,追求客观公正,对事不对人

Rootkit,我个人的理解应该是两个单词的缩写,root相当于计算机管理员,kit应该是工具包的意思。Rootkit就是一种常被黑客用于控制系统,隐藏文件,保护自己的木马后门无法被清除的内核级恶意程序。

无意间看到360说CNNIC使用了Rootkit技术进行自我保护,下面就以CNNIC为靶子,把几款常见的插件清理工具进行一轮大测试,车轮大战CNNIC~!看看究竟谁有能力击破CNNIC的rootkit保护~!




节目预告:


第2楼   360
第3楼  瑞星卡卡
第4楼  微点主动防御
第5楼  微点延迟删除的秘密
第6楼  超级兔子

恶意软件清理助手  正在准备。。。

[ Last edited by 红塔山 on 2007-7-25 at 19:39 ]
作者: 红塔山     时间: 2007-7-25 19:06
第一回合:360
这CNNIC果然够狠,先装360,后装CNNIC,结果360就不能启动了。。。


重装360,无效。。。
去360官网下载CNNIC专杀


详细的列表:


大家要注意这个CNNIC的Rootkit是非常狡猾的,故意生成了数量不定的随机八位名称的驱动程序(扫描结果的前三项)。这样,传统插件清理工具依靠文件名进行鉴别的手段就完全无效了。360做得还不错,显然使用了特征码技术彻底干掉了CNNIC。


小插曲:Rootkit这类驱动型黑客程序,必须要重启才能彻底消除影响。我用360专杀搞完之后,没有按照提示重启,虽然360可以正常启动了,但是使用上还是不太正常。。。

作者: 红塔山     时间: 2007-7-25 19:11
第二回合:瑞星卡卡
瑞星卡卡使用了最新的4.0版本


大家注意看这张图,显然瑞星没有能够识别出CNNIC的随机文件名驱动,这也就注定了接下来必然的悲剧结果。。。

Rootkit需要重启,这个报警正常


重启后,让人大跌眼镜的画面出现了,瑞星卡卡只清除了几个次要的注册表项,CNNIC的主程序可是一个也没少。。。



我分析瑞星卡卡的失利可能有两个原因:
1.没有识别出那个随机八位Rootkit
2.没有能力清除Rootkit,大家注意看360的专杀,上面启用了一种特殊模式Anti Defence来解除保护,这样才干掉了CNNIC。
作者: 红塔山     时间: 2007-7-25 19:27
第三回合:微点主动防御

微点并不是专业的插件卸载工具,但是他的系统分析功能比较有特色,用于清理插件也还是不错的,特别是对付Rootkit很有特效。呵呵,用综合性工具对比专业工具,多少都有点儿欺负人哈

为了公平起见,微点的自动报警选择忽略不删除(不好意思,本文较长图不是一天抓的,所以中英文版微点都有。。。)



打开微点主界面——系统分析——系统自启动信息——右键,隐藏已知的启动信息:鼠标指过,CNNIC历历在目。。。






注意下面这些万恶的随机八位Rootkit(数量不定)


用微点右键菜单“删除文件与自启动项”,一一干掉即可。其间微点弹出了一个Rootkit报警:


被使用的文件需要重启后删除


重启


重启后就没悬念了,由于干掉了Rootkit的启动方式,没有了Rootkit保护,自己删除掉Program Files/CNNIC目录即可。

微点删除掉的自启动项,在自启动回收站中都有备份,有需要的话可以直接还原。还原测试中发现了微点的一个bug,应该是恢复注册表键值,而不是恢复文件。
作者: 红塔山     时间: 2007-7-25 19:33
测试中还发现了微点延迟删除的秘密,微点原来使用自己的驱动文件来进行延迟删除,搜索延迟删除的文件名就能定位到这个注册表键值:
作者: 红塔山     时间: 2007-7-25 19:38
第四回合:超级兔子




我分析是由于Rootkit的关系,超级兔子要求在安全模式下清除。为了公平起见,和前面的几个软件拉平起跑线,继续在普通模式下卸载。





超级兔子不提供CNNIC的详细文件信息,因此重启后用微点系统自启动信息进行分析,结果是超级兔子由于没有驱动技术,无法在正常模式下清除CNNIC,Rootkit还在自动加载。。。
作者: wsheng82     时间: 2007-7-25 21:24
感谢LZ的评测,很专业。微点确实很不错,再次表示支持!题外话:看样子,微点也运用了rootkit技术:P
作者: 红塔山     时间: 2007-7-26 09:58


  Quote:
Originally posted by wsheng82 at 2007-7-25 21:24:
感谢LZ的评测,很专业。微点确实很不错,再次表示支持!题外话:看样子,微点也运用了rootkit技术:P

7楼的同志说错了吧?微点应该是运用了反rootkit技术。
运用了rootkit病毒,木马根本过不了微点。
作者: sweetl     时间: 2007-7-26 12:29
`

赞一个!!!

作者: sweetl     时间: 2007-7-26 12:30
`

赞一个!!!

作者: 绿树紫涧     时间: 2007-7-26 17:26
好啊,正在试用中
作者: liq000123     时间: 2007-7-26 17:35
赞一个!!!
作者: xiaomudou     时间: 2007-7-26 20:35
呵呵,准备试用,不知效果到底怎么样。
作者: 408983504     时间: 2007-7-27 00:10
好帖
支持!!
作者: zeroten     时间: 2007-7-27 01:48
相信微点,你能行
作者: 反黑先锋     时间: 2007-7-27 19:37
微点自有的“删除文件与自启动项”功能锋利无比 切起来就像切豆腐一样
作者: hds_ss     时间: 2007-7-27 23:27
微点就是好!
作者: lhrblilz     时间: 2007-7-28 19:23
看完楼主测评,赞一个
作者: weiliwan     时间: 2007-7-28 23:26
顶你!!!分析的好!
作者: 5846297     时间: 2007-7-29 00:21
呵呵~~~路过路过
作者: forever     时间: 2007-7-29 12:40
对微点越来越有信心,再次表示支持!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn