Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Обсуждение статей (закрыто) » Обсуждение публикаций
Страницы: 1 2 3 4 5 След.
RSS
Windows под прицелом
 
#1
Это нравится:0Да/0Нет
21.12.2004 07:42:48
Обсуждение статьи Windows под прицелом
 
 
 
#2
Это нравится:0Да/0Нет
21.12.2004 07:42:48
Тоже мне удивили... фактически такие штуки существовали и существуют для большинства операционок, причем ОС с открытым кодом подвержены наличию для них rootkit намного больше чем тот же windows.
 
 
 
#3
Это нравится:0Да/0Нет
21.12.2004 08:22:55
Знаешь что
Из-за Hxdef100, которым я заразил свою машину ради экспиремента, пришлось покувыркаться........
Каспер его видит но не может удалить как я не мыкался
В конце концом безопасный режим загрузки и удаление imm.dll
гемморойный руткит для удаления я вам скажу
 
 
 
#4
Это нравится:0Да/0Нет
21.12.2004 10:02:59
Очень хорошая статья, жаль без исходников ))
 
 
 
#5
Это нравится:0Да/0Нет
21.12.2004 10:16:48
Цитата
Nik пишет:
Тоже мне удивили... фактически такие штуки существовали и существуют для большинства операционок, причем ОС с открытым кодом подвержены наличию для них rootkit намного больше чем тот же windows.
РК под МС интересны не тем что они РК. Идеология РК уже давно не молодая. РК под МС привлекательны тем что как для написания так и для обнаружения человек должен думать и сооброжать а не тупо менять один бинарник другим!
 
 
 
#6
Это нравится:0Да/0Нет
21.12.2004 10:17:34
Цитата
Nik пишет:
Тоже мне удивили... фактически такие штуки существовали и существуют для большинства операционок, причем ОС с открытым кодом подвержены наличию для них rootkit намного больше чем тот же windows.
Удивляешь как раз ты! Статья не о "open source vs. must die!", а о том что НЕ СПАТЬ!!!!
ЗЫ: Уверен, что кол-во rootkit для виндовс будет расти. Ибо если раньше NT сам по себе был rootkit, то теперь Билли взялся за ум уже не только на словах :(
 
 
 
#7
Это нравится:0Да/0Нет
21.12.2004 10:25:14
Статья подтверждает, что в ближайшем будущем сисадминам будет гораздо больше гемора в отражении атак и борьбы с вирусами.
 
 
 
#8
Это нравится:0Да/0Нет
21.12.2004 10:44:23
Cстатья статьёй, а https://www.rootkit.com/vault/hoglund/rk_044.zip содержит троян  [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]
 
 
 
#9
Это нравится:0Да/0Нет
21.12.2004 10:52:36
Цитата
Гость пишет:
.... rk_044.zip содержит троян  [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

Гыыыы. Это он пока не запущен, содержит троян. После запуска трояна уже не будет :-))
 
 
 
#10
Это нравится:0Да/0Нет
21.12.2004 12:08:47
Статья действительно интересна, грамотно написана, что редко встречаеться в наше время. К сожалению. Автору респект.
 
 
 
#11
Это нравится:0Да/0Нет
21.12.2004 14:26:19
[IMG]http://www.securitylab.ru/forum/smileys/smiley1.gif[/IMG]
 
 
 
#12
Это нравится:0Да/0Нет
21.12.2004 15:16:12
Ring0 рулит.
 
 
 
#13
Это нравится:0Да/0Нет
21.12.2004 15:24:16
Представляю эпидемию worm + rootkit  [IMG]http://www.securitylab.ru/forum/smileys/smiley13.gif[/IMG]
 
 
 
#14
Это нравится:0Да/0Нет
21.12.2004 16:07:23
Цитата
kutkh пишет:
Представляю эпедимию worm + rootkit  [IMG]http://www.securitylab.ru/forum/smileys/smiley13.gif[/IMG]
Этто будет даже хорошо - привлечет внимание к проблеме. До CodeRed пиплз даже сервиспаки не ставил, не то что патчи.
 
 
 
#15
Это нравится:0Да/0Нет
21.12.2004 16:11:18
Цитата
kutkh пишет:
Представляю эпедимию worm + rootkit  [IMG]http://www.securitylab.ru/forum/smileys/smiley13.gif[/IMG]
Не будет - все игры с кернелем АПи и т.д требуют привелегии Администратора (про Винд ХР 2000 разговор) которые можно получить только воспользовавшись експлойтом или уговорив самого пользователя установить его (трояна) - при наличии у атакующего одного из вышего зачем рисковать завалить систему таким руткитом не несущего полезной нагрузки если проще отключить любимый файерволл АВ и работать без шума и пыли ?? Для массового потребителя и распространения это стрельба из пушки по воробьям. Пользу он принесет против одной конкретной машины которую сильно хотят взломать где есть меры безопасности и его будут искать. В Линухе РК с начала 90х и катастрофы не происходит  -  грамотно ими пользоваться могут не многие.
 
 
 
#16
Это нравится:0Да/0Нет
21.12.2004 16:45:58
Цитата
Stranger пишет:
Не будет - все игры с кернелем АПи и т.д требуют привелегии Администратора

1 - для user-level rootkit достаточно и стандартных пользовательских привелегий. Только он при будет хукать программы данного конкретного пользователя.

2 - А какие, по твоему привелегии необходимы для того, что бы отключить firewall и антивирус? Shatter и подобные оставим в стороне. Дополнительно - что бы отключать AV надо знать конкретную разновидность. Попробуй с наскоку вынести из системы например symantec (без пререзагрузки и деинсталяции). У меня получилось не сразу, что бы не орал бо его засчиту отключили. А какой антивирь у конкретного пользователя? ХЗ. То-то и оно.

3 - Почему обязательно завалить? Regmon, filemon машины валят? Outpost машины валит? (иногда, конечно да ;-)

4 - Про стрельбу по воробьям ты тоже загнул. А скрыйтый о того же pfw канал взаимодействия? Сказка. Спамеры с руками оторвут. Правда им просто сокса вкоцанного в эксплойт и живущего до перезагрузки хватает...

5 - А в unix и массовых вирусов ходящих через головы пользователей нет. Ибо нерентабельно ;-)

Имхо червь + rootkit, даже userlevel, будет вполне реальная вещь. При чем, если бы он пошел в конце 2003, начале 2004 - 99% средств защиты просто бы не успели вякнуть. Сейчас правда уже что-то умеют...
 
 
 
#17
Это нравится:0Да/0Нет
21.12.2004 17:15:53
DCOM пишется правильно
а не DKOM
тьфу блин
 
 
 
#18
Это нравится:0Да/0Нет
21.12.2004 17:20:11
Цитата
Else пишет:
DCOM пишется правильно
ага. от слова cernel.
 
 
 
#19
Это нравится:0Да/0Нет
21.12.2004 17:33:06
Цитата
Else пишет:
DCOM пишется правильно
а не DKOM
тьфу блин
подпись. <font color=BLACK>внимательный</font> читатель. похоже админ? т.е. дырка от бублика
 
 
 
#20
Это нравится:0Да/0Нет
21.12.2004 18:06:30
Цитата
Else пишет:
DCOM пишется правильно
а не DKOM
тьфу блин
Прежде чем что-нить ляпнуть несусветное хрен с ним если матчасть не знаете так хотябы повнимательнее читали! Именно для таких как Вы и написано "DKOM не путать с DCOM"!
 
 
 
Страницы: 1 2 3 4 5 След.
Читают тему