微点交流论坛 - 微点软件使用交流 - 【评测】流氓会Rootkit，谁能挡得住？

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 【评测】流氓会Rootkit，谁能挡得住？

1/3

红塔山
中级用户

积分 206
发帖 96
注册 2007-7-20

#1 【评测】流氓会Rootkit，谁能挡得住？

转自：http://bbs.deepin.org/read.php?tid=242899
作者：比萨斜饼

技术探讨，追求客观公正，对事不对人

Rootkit，我个人的理解应该是两个单词的缩写，root相当于计算机管理员，kit应该是工具包的意思。Rootkit就是一种常被黑客用于控制系统，隐藏文件，保护自己的木马后门无法被清除的内核级恶意程序。

无意间看到360说CNNIC使用了Rootkit技术进行自我保护，下面就以CNNIC为靶子，把几款常见的插件清理工具进行一轮大测试，车轮大战CNNIC~！看看究竟谁有能力击破CNNIC的rootkit保护~！

节目预告：

第2楼　　 360
第3楼　　瑞星卡卡
第4楼　　微点主动防御
第5楼　　微点延迟删除的秘密
第6楼　　超级兔子

恶意软件清理助手　　正在准备。。。

[ Last edited by 红塔山 on 2007-7-25 at 19:39 ]

※ ※ ※ 本文纯属【红塔山】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-25 18:47

红塔山
中级用户

积分 206
发帖 96
注册 2007-7-20

#2

第一回合：360
这CNNIC果然够狠，先装360，后装CNNIC，结果360就不能启动了。。。

重装360，无效。。。
去360官网下载CNNIC专杀

详细的列表：

大家要注意这个CNNIC的Rootkit是非常狡猾的，故意生成了数量不定的随机八位名称的驱动程序（扫描结果的前三项）。这样，传统插件清理工具依靠文件名进行鉴别的手段就完全无效了。360做得还不错，显然使用了特征码技术彻底干掉了CNNIC。

小插曲：Rootkit这类驱动型黑客程序，必须要重启才能彻底消除影响。我用360专杀搞完之后，没有按照提示重启，虽然360可以正常启动了，但是使用上还是不太正常。。。

※ ※ ※ 本文纯属【红塔山】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-25 19:06

红塔山
中级用户

积分 206
发帖 96
注册 2007-7-20

#3

第二回合：瑞星卡卡
瑞星卡卡使用了最新的4.0版本

大家注意看这张图，显然瑞星没有能够识别出CNNIC的随机文件名驱动，这也就注定了接下来必然的悲剧结果。。。

Rootkit需要重启，这个报警正常

重启后，让人大跌眼镜的画面出现了，瑞星卡卡只清除了几个次要的注册表项，CNNIC的主程序可是一个也没少。。。

我分析瑞星卡卡的失利可能有两个原因：
1.没有识别出那个随机八位Rootkit
2.没有能力清除Rootkit，大家注意看360的专杀，上面启用了一种特殊模式Anti Defence来解除保护，这样才干掉了CNNIC。

※ ※ ※ 本文纯属【红塔山】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-25 19:11

红塔山
中级用户

积分 206
发帖 96
注册 2007-7-20

#4

第三回合：微点主动防御

微点并不是专业的插件卸载工具，但是他的系统分析功能比较有特色，用于清理插件也还是不错的，特别是对付Rootkit很有特效。呵呵，用综合性工具对比专业工具，多少都有点儿欺负人哈

为了公平起见，微点的自动报警选择忽略不删除（不好意思，本文较长图不是一天抓的，所以中英文版微点都有。。。）

打开微点主界面——系统分析——系统自启动信息——右键，隐藏已知的启动信息：鼠标指过，CNNIC历历在目。。。

注意下面这些万恶的随机八位Rootkit（数量不定）

用微点右键菜单“删除文件与自启动项”，一一干掉即可。其间微点弹出了一个Rootkit报警：

被使用的文件需要重启后删除

重启

重启后就没悬念了，由于干掉了Rootkit的启动方式，没有了Rootkit保护，自己删除掉Program Files/CNNIC目录即可。

微点删除掉的自启动项，在自启动回收站中都有备份，有需要的话可以直接还原。还原测试中发现了微点的一个bug，应该是恢复注册表键值，而不是恢复文件。

※ ※ ※ 本文纯属【红塔山】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-25 19:27

红塔山
中级用户

积分 206
发帖 96
注册 2007-7-20

#5

测试中还发现了微点延迟删除的秘密，微点原来使用自己的驱动文件来进行延迟删除，搜索延迟删除的文件名就能定位到这个注册表键值：

※ ※ ※ 本文纯属【红塔山】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-25 19:33

红塔山
中级用户

积分 206
发帖 96
注册 2007-7-20

#6

第四回合：超级兔子

我分析是由于Rootkit的关系，超级兔子要求在安全模式下清除。为了公平起见，和前面的几个软件拉平起跑线，继续在普通模式下卸载。

超级兔子不提供CNNIC的详细文件信息，因此重启后用微点系统自启动信息进行分析，结果是超级兔子由于没有驱动技术，无法在正常模式下清除CNNIC，Rootkit还在自动加载。。。

※ ※ ※ 本文纯属【红塔山】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-25 19:38

wsheng82
新手上路

积分 24
发帖 24
注册 2007-1-14

#7

感谢LZ的评测，很专业。微点确实很不错，再次表示支持！题外话：看样子，微点也运用了rootkit技术

※ ※ ※ 本文纯属【wsheng82】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-25 21:24

红塔山
中级用户

积分 206
发帖 96
注册 2007-7-20

Quote:

Originally posted by wsheng82 at 2007-7-25 21:24:
感谢LZ的评测，很专业。微点确实很不错，再次表示支持！题外话：看样子，微点也运用了rootkit技术

7楼的同志说错了吧？微点应该是运用了反rootkit技术。
运用了rootkit病毒，木马根本过不了微点。

※ ※ ※ 本文纯属【红塔山】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-26 09:58

sweetl
注册用户

积分 163
发帖 163
注册 2007-6-1

#9

`

赞一个！！！

※ ※ ※ 本文纯属【sweetl】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-26 12:29

sweetl
注册用户

积分 163
发帖 163
注册 2007-6-1

#10

`

赞一个！！！

※ ※ ※ 本文纯属【sweetl】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-26 12:30

1/3

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号