5 баллов. Анатолию опять фи
21.12.2004 20:37:17
5 баллов. Анатолию опять фи
|
|
|
|
21.12.2004 20:40:52
А ищо праельно пишется:
"ПРИВИЛЕГИИ" (множ.) А сатья просто-таки долгожданная, автору пиво! |
|
|
|
22.12.2004 02:46:13
Не буду спорить за технические возможности РК - не знаю на столько предмета говоря о привилегиях я хотел подчеркнуть что способ заражения машины РК-ом никак не отличается от обычного трояна\червя... ими можно заразить лишь ту машину которую можно заразить повсеместно распространенными троянами\вирусами и их распространенность как раз и обусловлена наличием огромного числа уязвимых машин где пользователь не в состоянии обеспечить защиту от malware и против таких пользователей РК НЕ нужен. 90 % всех взломов происходит с использованием хорошо известных уязвимостей (статистика) - и до сих пор отсутствие связки червь\РК можно обьяснить лишь одним доводом - а на кой это кому-то нужно (неуловимый Джо ) ?? [IMG]
как ты сам говоришь - Правда им просто сокса вкоцанного в эксплойт и живущего до перезагрузки хватает... Ведь РК для Винда не первый день существуют но почему в wild не видим ?? Regmon, filemon ну тут сомневаюсь что РК-писатель\ли смогут сравниться с возможностями Русиновича в тестировании своих продуктов . |
|
|
|
22.12.2004 10:09:54
В связи со спецификой rootkits. Их же не видно
Зря ты так. Пишут их отнюдь не пионеры и вполне за приличные деньги. |
|||||
|
|
22.12.2004 10:22:06
Ага. Знаешь, у меня только на сигнатуру для snort ушло столько времени на написание и неопределенное время на тестирование. Да и с rkdetect пришлось повозюкаться. Стар видимо уже
Почему только о hd? Просто hd этакий полнофункциональный представитель доступный для понимания и лучший представитель User-Level rootkit, imho. Вроде основные подходы к руткитописательству освещены. Или я что-то упустил? Тогда я бы не отказался от 19й ссылки.
Ага. Типа круто что бы. Есть такое понятие - формат статьи. Статья больше 12К становиться уже практически нечитаемой. А статья на конкурс должна быть попсовой Список литературы облегчает работу с google, для тех, кому интересно, что дальше |
|||||||
|
|
22.12.2004 12:19:35
Поищи, например, Backdoor.Win32.Agent.ac Если найдешь и поймешь что это и как - будет много пищи для размышлений. |
|||
|
|
22.12.2004 12:20:42
поЗДравляю автора с замечательной статьей.
Замечательная и актуальная тематика + выводы и то как бороться с описанным злом. Тема хорошо раскрыта и сама статья заслуживает призового места. |
|
|
|
22.12.2004 12:38:30
Воистину! Самое страшное для машины это Системный Администратор. |
|||
|
|
22.12.2004 12:54:39
И чего там такого? DLL Injection, только сама Windows это делает? На него тот же Outpost заорет дико - типа левую dll грузят. Там ещё, я так понял он пермишены снимает - ну прях ахухеть, руткит. Или я не то нашел? |
|||
|
|
22.12.2004 13:07:24
Видишь как ты быстро его разобрал. А говоришь, стареешь
Дык вот, в статье про простейшую смену пермишенов - нет ни слова. А это гораздо более эффективно, чем просто перехук. А если еще и в связке ? Да, и не надо называть руткитами обычный стелс, который известен уже миллион лет и был реализован в сотнях досовых вирусов. От того, что программа захучила процесс на себя - руткитом она не станет. И уж тем более user-level, ведь главное, что "rootkits, манипулирующие объектами ядра, пока, насколько мне известно, существуют в качестве PoC утилит" |
|
|
|
22.12.2004 13:35:09
Потому что это детский сцад Если антивирь не умеет чиатать такие файлы, он вякнет на аксес денайдет. Но, если говорить о современных, то пусть лучше
А от чего станет? Это уже терминологический спор? Тогда, давайте для начала определимся что такое "стелс", а лучше "вирус". Я в данной теме далеко не гуру. Терминология как философия и другие юристики от меня далеки. Свое определение rk я вынес в статью. Это мое мнение. Конечно под него попадает и удаление пермишенов Тогда, наверное надо ещё и альтернативыные потоки NTFS добавить? И проча и проча...
Именно как руткиты видел только FU и PHIDE. Дело они своё делают, но функционал слабенький. Но, например на codeproject (точно не уверен) можно найти полезные утилитки для манипулирования ACLS на процессах. Для отладочных целей. Не руткиты ))) |
|||||||
|
|
22.12.2004 13:52:43
|
|||
|
|
22.12.2004 20:17:19
молодец!
|
|
|
|
22.12.2004 20:18:57
мне на viruslist всегда не везло - там никогда нет описания того вируса про который я хочу почитать.
|
|
|
|
23.12.2004 00:49:54
Ой какие дела интересные происходят.
Читаем:
Теперь внимательно смотрим на илюстрации к статье: Теперь вспомним недавнюю статью про сетевую разведку
Видимо ХыР не попусту трепался насчет атаки |
|||||
|
|
23.12.2004 00:54:56
offtopic
И часто у Вас случается такое: "просматривая журналы своей Honeypot, я обнаружил, что сервер начал себя «вести»"? |
|
|
|
23.12.2004 01:05:52
Очевидно, что по итогам конкурса автор может отправиться на Канары, а тот, кто упомянул про второй пункт, - на нары ХыР, если ты еще на свободе, не боись, мы тебе сухари будем носить в неволю )))))))))))
|
||||
|
|
|||