www.MegaLab.it

[[_SHIN_]]

Ciao
ho fatto una ricerca nel forum e mi pare non ci sia una discussione simile: la mia domanda e' se esiste e soprattutto se e' possibile integrare GMER e/o Icesword come plugins nell'ISO di MegalabCD.

Grazie

[crazy.cat]

Avevo provato con Gmer e non funzionava, Icesword non l'avevo provato.
Quando troverò del tempo libero (entro i prossimi due o tremila anni) vorrei integrarci qualche anti rootkit.

[Amantide]

Avevo provato con Gmer e non funzionava, Icesword non l'avevo provato.
Quando troverò del tempo libero (entro i prossimi due o tremila anni) vorrei integrarci qualche anti rootkit.

Benvenuto [_SHIN_]

Forse Gmer non funzionava perché appena avviato carica un driver gmer.sys in \system32\drivers\ , comunque, prima di dare i pareri, dovrei dedicare almeno 10 minuti per capire come funzionano i plugin sul BartPe

[[_SHIN_]]

Grazie delle risposte.

Avevo provato con Gmer e non funzionava, Icesword non l'avevo provato.
Quando troverò del tempo libero (entro i prossimi due o tremila anni) vorrei integrarci qualche anti rootkit.

Credo che fra duemila anni avro' qualche problema ad avviare qualsiasi PC Dovro' cercare una strada diversa allora.

Benvenuto [_SHIN_]

Forse Gmer non funzionava perché appena avviato carica un driver gmer.sys in \system32\drivers\ , comunque, prima di dare i pareri, dovrei dedicare almeno 10 minuti per capire come funzionano i plugin sul BartPe

Si, installa quel driver. Se arrivi a qualcosa fammi sapere
PS: dove ho gia' visto "amantide" ..

[crazy.cat]

Qui spiegano perché gli antirootkit non possono funzionare dal cd di boot.
http://www.911cd.net/forums//index.php? ... hl=rootkit

[[_SHIN_]]

Grazie crazy.cat, mi sono letto la discussione al link.
Quello che emerge e' che prima di tutto software come quelli della Sysinternals non possono essere utilizzati come plugin all'interno di altri prodotti freeware. Quindi sono da escludere in partenza, e probabilmente lo stesso discorso vale per GMER e simili. Il discorso in questo senso e' quindi chiuso.
Mi rendo conto che forse e' un po' OT, ma un'altra cosa che emerge e' che qualcuno sostiene l'inutilita' di questi tools su un sistema not running, mentre qualcun'altro (come me) ha una teoria, che e' questa:
Un rootkit e' comunque uno o piu' files. Puo' essere anche un codice injected in un altro file legittimo, puo' essere inoltre injected nel MBR del disco di boot. Chissa' se ci sono altre forme. Su un sistema "live" il rootkit nasconde se stesso per cui la tecnica antirootkit analizza le discrepanze tra registro e il filesystem.
Su un sistema non "live", il tool antirootkit ad esempio usato come plugin nel MegalabCD, non ha motivo di cercare queste discrepanze perche' il SO e' spento.
Ma proprio perche' il sistema e' spento, il rootkit non puo' nascondersi: il suo codice e' visibile a uno scanner che sa dove cercare. Non ci sara' nessun file invisibile al sistema operativo (che gira sul MegalabCD).
In sostanza non ha senso cercare le "discrepanze" primo perche' il SO e' spento, secondo perche' i files sono tutti visibili. Compresi codici injected e MBR.
E' forse una teoria fuori strada?

[Amantide]

E' più o meno quello che ti avevo risposto anche io tempo fa. La forza dei rootkit consiste nel rendersi invisibili e rendere invisibili altri virus. A maggioranza tutti rootkit sono segnalati nel database degli antivirus, nessuno li vede ma tutti li conoscono, quindi in teoria qualsiasi di questi antivirus è capace di individuare i rootkit su un sistema non avviato. Dovrebbe funzionare più o meno nello stesso modo anche se metti hard disk come slave su un altro pc, facendo accortezza di sterminarlo prima che si propaga anche sull' altro so.

[crazy.cat]

Sino a quando non ci sarà un antirootkit che ha un suo database di nomi di driver/file pericolosi e basi la sua ricerca su questi nomi, sul cd live non ci potrà andare.
Gli antirootkit che conoscono basano la loro ricerca su attività anomale che partendo con un cd di boot non sono attive.