Win32/Duqu REsearch: что скрывает RPC

Win32/Duqu REsearch: что скрывает RPC
Мы продолжаем исследование Win32/Duqu, в этом посте поговорим об особенностях использования RPC-протокола. Во-первых, сразу хочу отметить,  что реализация RPC-протокола еще раз подтверждает сходство кода Duqu и Stuxnet. RPC-протокол, был одной из наиболее интересных частей Stuxnet. В Duqu используется, лишь часть от полного функционала этого протокола, который подробно описан в нашем исследовании " Stuxnet under the Microscope " (стр. 56-57).

Проанализировав реализацию RPC-сервера в одном из компонентов Duqu, который реализует лишь локальную часть протокола и сравнив в BinDiff две основные процедуры, мы получили интересные результаты:

Дальше »
Stuxnet Duqu Antiforensics Reversing Cyberwar
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Александр Матросов

REFLECTIONS ABOUT REVERSE ENGINEERING, THREAT RESEARCH AND SOME MORE ...