Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

RootkitRevealer - anti-rootkit alatka by Mark Rusinovič

[es] :: Zaštita :: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič

[ Pregleda: 3207 | Odgovora: 13 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon RootkitRevealer - anti-rootkit alatka by Mark Rusinovič25.02.2005. u 12:32 - pre 232 meseci
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml

Jedan od najvećih NT kernel haxora jest opet sam sebe nadmašio :)

Alatka jest fantastična....jedini problemi koje sam ja dosad vidio jest sa nekim ADS datotekama i datotekama koje NTFS koristi za housekeeping poput C:\$LogFile. NTFS je samodeskriptivan filesystem, pa namjerno skriva neke datoteke koje interno koristi, a njihov popis možete naći ovdje.

I što je najkulerskija stvar od svih, ima nativnu podršku za NTFS direktorije, tj. otvara logičku particiju sa CreateFile("\\.\C:", ...) te procesira razliku outputa Win32/Nt* API-ja i onoga što vraća sam izgled filesystema, kako bi detektirao stealth mogućnosti rootkita.

Već sad detektira sve poznatije rootkite, ukljućujući poznati hxdef sa kojima je dosta ljudi na ovom forumu imalo problema :>

Kul!

Ajd postajte komentare, kako radi (i ne radi :), kasnije ću se ja kad mi se bude dalo raspisati o NT rootkitima, kako zaobići ovaj revealer i što nam budućnost donosi, jer znam da malo tko ovdje zna šta su oni i šta sve mogu :p)
 
Odgovor na temu

Goran Mijailovic

Član broj: 12684
Poruke: 6907



+437 Profil

icon Re: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič26.02.2005. u 14:11 - pre 232 meseci
Ja sam pokrenuo i cekao 15 min... samo ako bi neko hteo da mi kaze sta treba da se desi jer nemam pojma o tome:)
samo je prijavio neke kljuceve u registriju koji su kriptovani i koje ne moze da otvori?
 
Odgovor na temu

Vojislav Milunovic

Član broj: 25
Poruke: 2117
*.beotel.net.



+1 Profil

icon Re: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič26.02.2005. u 14:49 - pre 232 meseci
Goran : U nacelu on proverava sta vracaju Windows API i sistemski pozivi ako sam ja to dobro razumeo.
Dakle ako je neki fijl hiddent from Windows API, moze, ali i ne mora biti, rootkit jer ga ne mozes videti preko obicnih windows APIja koji su hookovani, vec samo preko NativeAPIja i direktnog pristupa kernelu... To je koliko sam ja shvatio citajuci sa njegovog site.
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič01.03.2005. u 22:57 - pre 232 meseci
Citat:
Vojislav Milunovic: vec samo preko NativeAPIja i direktnog pristupa kernelu... To je koliko sam ja shvatio citajuci sa njegovog site.


Ne baš, RR razumije NTFS te čita raw bajtove sa fizičkog diska, i uspoređuje takav layout sa onim koji vraća win32 filesystem query API. rootkiti koji su stealth preko KeServiceDescriptorTable hookova su opet detektirani, jedino ako se nekako instaliraju u disk kontroler ili i sami hookiraju "\\.\C" objekt i naprave restrikciju "nepoćudnih" parametara za njega.
 
Odgovor na temu

Vojislav Milunovic

Član broj: 25
Poruke: 2117
*.beotel.net.



+1 Profil

icon Re: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič02.03.2005. u 01:37 - pre 232 meseci
Completely delete your hard drive :))))

Ovo je jedan lol :)
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič04.03.2005. u 06:41 - pre 232 meseci
Citat:
Vojislav Milunovic: Completely delete your hard drive :))))

Ovo je jedan lol :)


Pa nije baš. Dečki i cure sa rootkit.com zadnjih par mjeseci aktivno raspravljaju o mogućnostima sakrivanja koda rootikita na EEPROM čipu na matičnoj ploči, ili u bad sektorima na disku. Tako bi rootkit preživio i formatiranje diska, mada ne bi bio aktivan, ali 1000# je lakše preko nekog vektora napada aktivirati već instaliran rooktit nego ga opet instalirat.

Moglo bi biti vrlo veselo ubrzo :o)
 
Odgovor na temu

Vojislav Milunovic

Član broj: 25
Poruke: 2117
*.beotel.net.



+1 Profil

icon Re: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič05.03.2005. u 01:58 - pre 232 meseci
o boze sta lude ideje cine :)
 
Odgovor na temu

mrkidivx

Član broj: 15771
Poruke: 1932
213.244.197.*

ICQ: 207552161


+1 Profil

icon Re: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič05.03.2005. u 05:18 - pre 232 meseci
Citat:
Dečki i cure sa rootkit.com zadnjih par mjeseci aktivno raspravljaju o mogućnostima sakrivanja koda rootikita na EEPROM čipu na matičnoj ploči, ili u bad sektorima na disku


Dečki i cure sa rootkit.com bi mogli međusobno nešto pametnije da "rade"...
I never wanna be a mod!
 
Odgovor na temu

mrkidivx

Član broj: 15771
Poruke: 1932
*.vdial.verat.net.

ICQ: 207552161


+1 Profil

icon Re: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič05.03.2005. u 11:15 - pre 232 meseci
Ma zezam se Sundance, ne shvataj sve lično.
Jel si vido smajlija
I never wanna be a mod!
 
Odgovor na temu

deroko

Član broj: 48499
Poruke: 123
*.selcuk.edu.tr.



Profil

icon Re: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič05.03.2005. u 14:56 - pre 232 meseci
O jebem ti Odo ja da sljakam za AV kompanije
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič10.03.2005. u 21:41 - pre 231 meseci
Izgleda da Rusinovič laže kad kaže da je ovo prvi alat koji uspoređuje direktan izgled filesystema sa onim što vraćaju sistemski API-ji. Philippe Bourgeois i Wang Jian [1] već neko vrijeme imaju sličan alatić za EXT2. Jedina je razlika što Rusinovič skenira raw disk image unutar OS-a, a ne izvan njega.




[1] - http://www.securityfocus.com/a...268102/2005-01-26/2005-02-01/1
 
Odgovor na temu

[es] :: Zaštita :: RootkitRevealer - anti-rootkit alatka by Mark Rusinovič

[ Pregleda: 3207 | Odgovora: 13 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.