Anti-rootkit, реально ли создать стоящий?

[Balora19]

Есть безумная идея, создать альтернативу умершему PcHunter. Безумная потому что, кажется сложно выполнимой, по крайне мере для меня.
Почему именно "Охотник"? - потому что, только в нем реализована функция удаления любого софта на корню, любая ав которая его пропустила, отлетит без проблем, в альтернативах такого нет (пр. GMER)
На гите нашел сурс на так называемый OpenArk https://github.com/BlackINT3/OpenArk.git, но запустив потестив, че то даже не смог закрыть каспера, то есть каспер даже не реагирует.
Так вот, вопрос насколько это вообще реально ( в опыте несколько лет разработки на Си и C#)? И как вообще создатели Хантера реализовали функцию удаления Руткитов?

 

[st4s]

Почему именно "Охотник"? - потому что, только в нем реализована функция удаления любого софта на корню, любая ав которая его пропустила, отлетит без проблем

Почитал описание здесь. Заявлено удаление скрытых файлов, ключей автозапуска, что-то ещё.

Под руткитом в контексте в Виндоса понимают софт, которого как бы нет (не видно), но он есть. Допустим, скрытых файлов нет, пути автозапуска не обнаружили, нашли в памяти страницу с атрибутами исполнения, расположенный там код работает, вызывает какие-то API. И что с этим делать, что удалять то? Не надо приписывать PcHunter-у свойства, о которых не заявляли авторы. Когда этот момент станет понятен, тогда можно дальше рассуждать о технической стороне.

 

[Quake3]

Так вот, вопрос насколько это вообще реально ( в опыте несколько лет разработки на Си и C#)? И как вообще создатели Хантера реализовали функцию удаления Руткитов?

Наверное, нужно изучить как работают эти самые руткиты, т.е. изучить ядро винды. У меня , кстати, тоже была идея написать аналог gmer или хантера для удаления АВ. Но не было времени на изучение ринг0.

Тут нельзя сделать методом тыка, это не веб или петон какой-то. Бери книгу Иосифовича по ядру, изучай базу.
Или ты знаешь ядро? Тогда в чем вопрос?

 

[Quake3]

что за книжка по ядру?

/threads/54836/
вот это изучай, на русском и под последнюю студию, и даже С++ новый стандарт.

 

[st4s]

Ну на самом деле, по кнопочке "DELETE" он удаляет выбранный софт и он мгновенно перестает работать.

Не надо мешать в кучу обычный софт и руткит. Руткит как раз и решает задачу, что бы нельзя было выбрать скрываемый им софт. Ещё вариант, заблокировать кнопочку "DELETE" - идея дубовая, но какая разница, если она даст результат? Вот этот момент следует понять: у руткита есть цели, и есть методы их достижения, кому-то удаётся применить новый метод. О развитии руткитов написано в классической книжке за авторством Хоглунд Г., Батлер Дж. https://xss.pro/threads/50855/post-326001 Наверное, заодно стоит почитать и Колисниченко Д.Н. (сам не смотрел её). Ядро, API и остальное - это детали реализации, они важны, но они вторичны. Если руткит сможет зозохать мозг оператора, задача по скрытию окажется решена.

Но вопрос не в этом, насколько вообще реально написать свой антируткит? на чем реализовать ui?

Для распространённого вектора атаки написать антируткит просто, вот накатанный за пару дней рабочий прототип, всего 1000 строк, в отличие от толстого и слепого GMER-а удалял все известные на тот момент руткиты режима ядра (буткиты и инфект файлов в Рустоке появились позже). Интерфейс пользователя не нужен. Цифровые подписи драйверов - это тоже своего рода антируткит. Но в общем виде задача пока не решается, если правильно понимаю, упирается в трудоёмкость верификации доверенного кода. А если хочешь наваять UI, что бы повесить кнопочку "купить", лучше забей или напиши программу-гороскоп для автоматических торгов биткоинами.