Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov

Windows

Rootkity na platformě x64

64bitové verze Windows Vista a Windows 7 se objevují stále častěji. Tento trend je logickým důsledkem většího množství paměti RAM na nových (i stávajících) počítačích. 32bitové verze Windows nemohou plnohodnotně využít většího množství fyzické paměti než 4 GB. Takové omezení u platformy x64 neplatí.

Vzhledem k tomuto trendu se dalo očekávat, že autoři malware se vydají podobným směrem – začnou psát škodlivý kód určený přímo pro 64bitová Windows. V tomto článku se však zaměříme na to, jak se na platformu x64 přesouvají tvůrci rootkitů, tedy programů, které se snaží zamaskovat svoji přítomnost v systému.

32-bitové aplikace na platformě x64

64-bitová Windows se snaží 32-bitovým aplikacím vytvořit běhové prostředí, které co nejvěrohodněji kopíruje prostředí opravdového 32-bitového operačního systému. V tomto článku se zaměříme na změny v obsluze volání souborového systému a registru a ukážeme si, že mohou způsobit zajímavé problémy.

SSDTInfo, aneb co vše se skrývá v tabulkách systémových volání

Pod pojmem SSDT (System Service Descriptor/Dispatch Table) si většina z lidí znalých jádra Windows představí datové struktury, které zajišťují správné fungování mechanismu systémových volání. Jejich modifikací lze monitorovat a ovlivňovat nejen chování aplikací.

Protože mě obsah těchto tabulek odjakživa zajímal a různé bezpečnostní aplikace jej nezobrazovaly příliš podrobně, rozhodl jsem se napsat utilitu SSDTInfo, která najde a zobrazí všechny dostupné informace.

Konzole pro zotavení a pár užitečných příkazů

Ačkoliv už uplynulo mnoho vody od doby, kdy se na scénu škodlivých programů opět vrátily boot viry a havěť napadající hlavní zaváděcí sektor (Master Boot Record), občas nám někdo napíše, že má problém s bootováním svých Windows XP, nebo že má v počítači MBR rootkit a neví, jak se jej zbavit.

Nová zranitelnost Windows umožňuje libovolnému uživateli získat systémová oprávnění

Před pár dny po Internetu začaly kolovat zprávy o "nové" zranitelnosti operačních systémů Windows, která umožňuje libovolnému uživateli získat systémová oprávnění. Situace je o to závažnější, že zranitelnost pravděpodobně postihuje systémy od Windows 2000 až do Windows 7.

Některé techniky užívané rootkity

Jak jste si asi už všimli, o rootkity a jejich metody se zajímám již velmi dlouho. Tento koníček jsem začal pěstovat na začátku čtvrtého ročníku střední školy, kdy jsem si koupil knížku Rootkits: Subverting the Windows Kernel od Grega Hoglunda a Jamese Butlera.

Není tedy divu, že se obsah mé maturitní práce z programování točil kolem rootkitů. V tomto článku bych rád zveřejnil text jedné z příloh, která popisuje několik technik, kterých programátoři malware a rootkitů využívají i dnes.

Stránky


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info