суббота, 4 сентября 2010 г.

руткиты под windows x64

прочитал тут наконец (я.тормоз) про tdl4
много нервно курил думал
Насколько я понимаю самым большим препятствием к распространению subj был именно запрет на загрузку неподписанных драйверов. После его обхода виста и windows 7 представляют собой отличное благоустроенное гнездо для проживание всякого с блэкджеком и шлюхами. Мы конечно помним про patch guard, но
  •  во-первых у них всегда есть fltMgr.sys и с написанием фильтра файловой системы справится любой школьник. Значит сокрытие файлов и директорий делается намного проще, чем поддерживать зоопарк версий под 32битные версии windows (на некоторых из них fltMgr.sys например нету)
  •  во-вторых у них всегда есть CmRegisterCallback, про который писал даже детский юмористический журнал ксакеп. Значит сокрытие веток в реестре представляет тривиальную задачу
  •  в-третьих у них всегда есть windows filtering platform. Так что фильтровать и следить за трафиком опять же проще чем под 32битным дурдомом
  • в-четвертых у них всегда есть ObRegisterCallbacks
  • в-пятых все вышеописанное богатство (кроме fltMgr.sys) не предоставляет механизмов даже простой энумерации зарегистрированных драйверов и хуков. грабь воруй убивай - совершенно анонимно с точки зрения windows
Автор: redp на 17:09
Ярлыки: ,

7 комментариев:

  1. igosha4 сентября 2010 г. в 17:26

    Да, страшно нынче жить :)

    ОтветитьУдалить
  2. redp4 сентября 2010 г. в 22:03

    а вот и спасатели вселенной™ подтянулись
    напомни мне лучше когда в вашем Продукте™ появился ark, кто вам его написал и ловите ли вы все версии tdl например ?

    ОтветитьУдалить
  3. Анонимный5 сентября 2010 г. в 21:30

    Можно ещё диспетчер исключений перехватывать через сплайсинг nt!KdpTrap (да, секцию PAGEKD PatchGuard пропускает). В сумме с отладочными регистрами это позволяет брать под контроль вообще любой участок кода ядра незаметным для PatchGuard-а образом.
    Алсо, наш Bootkit Remover лечит новый TDL из user mode бай дизайн.

    ОтветитьУдалить
  4. redp5 сентября 2010 г. в 22:00

    можно много чего придумать
    исходный посыл - что если у нас уже есть код в ядре - то никакой patch guard не поможет, и есть куча уже готовых механизмов, которые можно использовать для всяких разных целей. Причем в отличие даже от xp их реально много и использовать их гораздо проще. IMHO есс-но

    ОтветитьУдалить
  5. igosha5 сентября 2010 г. в 22:32

    А я разве что-то говорил? :-)
    Да и ответы ты лучше меня знаешь ;-)

    ОтветитьУдалить
  6. igosha5 сентября 2010 г. в 22:36

    И вообще - я уже того, практически забыл как эта ваша windows выглядит...

    ОтветитьУдалить
  7. redp5 сентября 2010 г. в 22:47

    на лицензионную венду бабла на хватает ? понемаем

    ОтветитьУдалить

Подписаться на: Комментарии к сообщению (Atom)