Windows под прицелом

anonymous Guest	#21 Это нравится:0 Да/0 Нет 21.12.2004 20:37:17 5 баллов. Анатолию опять фи

$ei6el Guest	#22 Это нравится:0 Да/0 Нет 21.12.2004 20:40:52 А ищо праельно пишется: "ПРИВИЛЕГИИ" (множ.) А сатья просто-таки долгожданная, автору пиво!

Guest

#23

Это нравится:0 Да/0 Нет

21.12.2004 22:31:21

Подобная статья пишется за 15 минут, после беглого просмотра исходников хакдефа и чтения пары-тройки описаний руткитов на сайтах антивирусных контор. Что впрочем автор и сделал. Писать о такой большой и сложной проблеме на основе одного только хакдефа? Фи.
К чему там список литературы из 18 пунктов - вообще непонятно. Для солидности что-ли ?

Guest

#24

Это нравится:0 Да/0 Нет

21.12.2004 22:34:41

А, это не литература. Это рефереры. Тогда сорри за...

Вообщем, лично мое мнение - тема не раскрыта. Хотя задача такая и не ставилась, очевидно. А жаль. От столь уважаемого автора хотелось бы увидеть, что-то более серьезное, чем краткий курс начинающего пользователя винды.

Stranger

Guest

#25

Это нравится:0 Да/0 Нет

22.12.2004 02:46:13

Не буду спорить за технические возможности РК - не знаю на столько предмета говоря о привилегиях я хотел подчеркнуть что способ заражения машины РК-ом никак не отличается от обычного трояна\червя... ими можно заразить лишь ту машину которую можно заразить повсеместно распространенными троянами\вирусами и их распространенность как раз и обусловлена наличием огромного числа уязвимых машин где пользователь не в состоянии обеспечить защиту от malware и против таких пользователей РК НЕ нужен. 90 % всех взломов происходит с использованием хорошо известных уязвимостей (статистика) - и до сих пор отсутствие связки червь\РК можно обьяснить лишь одним доводом - а на кой это кому-то нужно (неуловимый Джо ) ?? [IMG]http://www.securitylab.ru/forum/smileys/smiley1.gif[/IMG]
как ты сам говоришь -
Правда им просто сокса вкоцанного в эксплойт и живущего до перезагрузки хватает...
Ведь РК для Винда не первый день существуют но почему в wild не видим ??

Regmon, filemon ну тут сомневаюсь что РК-писатель\ли смогут сравниться с возможностями Русиновича в тестировании своих продуктов

cZerro

Guest

#26

Это нравится:0 Да/0 Нет

22.12.2004 04:30:42

Цитата

A. пишет:
Вообщем, лично мое мнение - тема не раскрыта. Хотя задача такая и не ставилась, очевидно. А жаль. От столь уважаемого автора хотелось бы увидеть, что-то более серьезное, чем краткий курс начинающего пользователя винды.

Если бы тема была раскрыта, да еще с исходниками, то на завтра же отбоя от РК не было.
Впрочем, про защиту от РК можно было бы подробнее.

Ку-ку

Guest

#27

Это нравится:0 Да/0 Нет

22.12.2004 10:09:54

Цитата
Stranger пишет: Ведь РК для Винда не первый день существуют но почему в wild не видим ??

В связи со спецификой rootkits. Их же не видно ;-)

Цитата
Stranger пишет: Regmon, filemon ну тут сомневаюсь что РК-писатель\ли смогут сравниться с возможностями Русиновича в тестировании своих продуктов .

Зря ты так. Пишут их отнюдь не пионеры и вполне за приличные деньги.

offtopic

Guest

#28

Это нравится:0 Да/0 Нет

22.12.2004 10:22:06

Цитата
A. пишет: Подобная статья пишется за 15 минут, после беглого просмотра исходников хакдефа и чтения пары-тройки описаний руткитов на сайтах антивирусных контор. Что впрочем автор и сделал.

Ага. Знаешь, у меня только на сигнатуру для snort ушло столько времени на написание и неопределенное время на тестирование. Да и с rkdetect пришлось повозюкаться. Стар видимо уже :-(

Цитата
A. пишет: Писать о такой большой и сложной проблеме на основе одного только хакдефа? Фи.

Почему только о hd? Просто hd этакий полнофункциональный представитель доступный для понимания и лучший представитель User-Level rootkit, imho. Вроде основные подходы к руткитописательству освещены. Или я что-то упустил? Тогда я бы не отказался от 19й ссылки.

Цитата
A. пишет: К чему там список литературы из 18 пунктов - вообще непонятно. Для солидности что-ли ?

Ага. Типа круто что бы. Есть такое понятие - формат статьи. Статья больше 12К становиться уже практически нечитаемой. А статья на конкурс должна быть попсовой ;-)

Список литературы облегчает работу с google, для тех, кому интересно, что дальше ;-)

Guest

#29

Это нравится:0 Да/0 Нет

22.12.2004 12:19:35

Цитата

Поищи, например, Backdoor.Win32.Agent.ac
Если найдешь и поймешь что это и как - будет много пищи для размышлений.

hlam.on

Guest

#30

Это нравится:0 Да/0 Нет

22.12.2004 12:20:42

поЗДравляю автора с замечательной статьей.
Замечательная и актуальная тематика + выводы и то как бороться с описанным злом.
Тема хорошо раскрыта и сама статья заслуживает призового места.

Interloper

Guest

#31

Это нравится:0 Да/0 Нет

22.12.2004 12:38:30

Цитата

Acid пишет:
Знаешь что
Из-за Hxdef100, которым я заразил свою машину ради экспиремента, пришлось покувыркаться........
Каспер его видит но не может удалить как я не мыкался
В конце концом безопасный режим загрузки и удаление imm.dll
гемморойный руткит для удаления я вам скажу

Воистину! Самое страшное для машины это Системный Администратор.

offtopic

Guest

#32

Это нравится:0 Да/0 Нет

22.12.2004 12:54:39

Цитата
A. пишет: Поищи, например, Backdoor.Win32.Agent.ac Если найдешь и поймешь что это и как - будет много пищи для размышлений.

И чего там такого? DLL Injection, только сама Windows это делает? На него тот же Outpost заорет дико - типа левую dll грузят. Там ещё, я так понял он пермишены снимает - ну прях ахухеть, руткит.

Или я не то нашел?

Guest

#33

Это нравится:0 Да/0 Нет

22.12.2004 13:07:24

Видишь как ты быстро его разобрал. А говоришь, стареешь

Дык вот, в статье про простейшую смену пермишенов - нет ни слова. А это гораздо более эффективно, чем просто перехук. А если еще и в связке ?

Да, и не надо называть руткитами обычный стелс, который известен уже миллион лет и был реализован в сотнях досовых вирусов. От того, что программа захучила процесс на себя - руткитом она не станет. И уж тем более user-level, ведь главное, что "rootkits, манипулирующие объектами ядра, пока, насколько мне известно, существуют в качестве PoC утилит"

offtopic

Guest

#34

Это нравится:0 Да/0 Нет

22.12.2004 13:35:09

Цитата
A. пишет: Видишь как ты быстро его разобрал. А говоришь, стареешь Дык вот, в статье про простейшую смену пермишенов - нет ни слова. А это гораздо более эффективно, чем просто перехук. А если еще и в связке ?

Потому что это детский сцад ;-)

Если антивирь не умеет чиатать такие файлы, он вякнет на аксес денайдет. Но, если говорить о современных, то пусть лучше 3APA3A расскажет, ок?

Цитата
A. пишет: Да, и не надо называть руткитами обычный стелс, который известен уже миллион лет и был реализован в сотнях досовых вирусов. От того, что программа захучила процесс на себя - руткитом она не станет.

А от чего станет? Это уже терминологический спор? Тогда, давайте для начала определимся что такое "стелс", а лучше "вирус". Я в данной теме далеко не гуру. Терминология как философия и другие юристики от меня далеки. Свое определение rk я вынес в статью. Это мое мнение. Конечно под него попадает и удаление пермишенов ;-)

Тогда, наверное надо ещё и альтернативыные потоки NTFS добавить? И проча и проча...

Цитата
A. пишет: "rootkits, манипулирующие объектами ядра, пока, насколько мне известно, существуют в качестве PoC утилит"

Именно как руткиты видел только FU и PHIDE. Дело они своё делают, но функционал слабенький.
Но, например на codeproject (точно не уверен) можно найти полезные утилитки для манипулирования ACLS на процессах. Для отладочных целей. Не руткиты :-)

)))

offtopic

Guest

#35

Это нравится:0 Да/0 Нет

22.12.2004 13:52:43

Цитата
A. пишет: Поищи, например, Backdoor.Win32.Agent.ac

Да, кстати. А почему на вашем сайте viruslist.com до сих пор его описания нет?

ksiva Editor Сообщений: 1106 Баллов: 1117 Регистрация: 14.07.2003 Безопасность? Это просто!	#36 Это нравится:0 Да/0 Нет 22.12.2004 20:17:19 молодец!

ksiva Editor Сообщений: 1106 Баллов: 1117 Регистрация: 14.07.2003 Безопасность? Это просто!	#37 Это нравится:0 Да/0 Нет 22.12.2004 20:18:57 мне на viruslist всегда не везло - там никогда нет описания того вируса про который я хочу почитать.

r00t

Guest

#38

Это нравится:0 Да/0 Нет

23.12.2004 00:49:54

Ой какие дела интересные происходят.
Читаем:

Цитата

offtopic пишет:
Однажды, просматривая журналы своей Honeypot, я обнаружил, что сервер начал себя «вести». Межсетевой экран фиксировал исходящие и входящие TCP соединения, совершенно не соответствующие «должностным обязанностям» сервера, система обнаружения атак идентифицировала в одном из соединений признаки приглашения интерпретатора командной строки. Просканировав взломанную машину, я обнаружил на нем IRC и FTP серверы, которых не устанавливал. Каково же было мое удивление, когда при запуске netstat, я не обнаружил открытых портов, соответствующих результатам сканирования. Так началось мое знакомство с rootkits для Windows.

Теперь внимательно смотрим на илюстрации к статье: http://www.securitylab.ru/_Article_Images/2004/12/image006.g if. Здесь мы видим проглядывающее за мазней "i", далее, верхнюю часть "f" и две последние буквы домена в зоне RU "ec". Экспертиза дает результат это хост blablabla.infosec.ru, что, собственно, и неудивительно, т.к. offtopic сам проговорился кто он и откуда

а вся статья повествует о взломе и аналице инцидента взлома сервера Infosec с точки зрения админа.
Теперь вспомним недавнюю статью про сетевую разведку http://www.securitylab.ru/49847.html.

Цитата

UkR-XbIP пишет:
...
Ниже будет представлен практический пример разведки сервиса электронной почты компании НИП Информзащита (адрес сайта: www.infosec.ru).
...
Задача разведки выполнена.
Переходим к второму пункту:
2. Проведение атаки на целевую систему.

...
CONNECTION ABORTED

http://www.securitylab.ru/49847.html

Видимо ХыР не попусту трепался насчет атаки

r00t Guest	#39 Это нравится:0 Да/0 Нет 23.12.2004 00:54:56 offtopic И часто у Вас случается такое: "просматривая журналы своей Honeypot, я обнаружил, что сервер начал себя «вести»"?

r00t Guest	#40 Это нравится:0 Да/0 Нет 23.12.2004 01:05:52 Очевидно, что по итогам конкурса автор может отправиться на Канары, а тот, кто упомянул про второй пункт, - на нары ХыР, если ты еще на свободе, не боись, мы тебе сухари будем носить в неволю )))))))))))

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?