Atak KHOBE
- Thread starter strzalkov
- Rozpoczęty
cyber_pl
Użytkownik
- Dołączył
- Wrzesień 30, 2009
- Posty
- 187
a stronie ktora podales masz link:
http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php
nie licz na to ze zrodlo tych informacji bedzie w jezyku polskim, informatyka bazuje na znajomosci jezyka angielskiego a co badz jest to zaawansowana forma ataku na konkretne oprogramowanie wedlug opisywanej metody.
w linku tym masz jakis przykladowy kod nawet, bardzo dobry zasob aby wyszukiwac dalej niezbednych informacji ...
http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php
nie licz na to ze zrodlo tych informacji bedzie w jezyku polskim, informatyka bazuje na znajomosci jezyka angielskiego a co badz jest to zaawansowana forma ataku na konkretne oprogramowanie wedlug opisywanej metody.
w linku tym masz jakis przykladowy kod nawet, bardzo dobry zasob aby wyszukiwac dalej niezbednych informacji ...
swap.context
Użytkownik
- Dołączył
- Październik 10, 2009
- Posty
- 9
Co tu dużo pisać, błąd jest trywialny, tak jak jego wykorzystanie. Jeśli użytkownik korzysta ze zwykłego konta to standardowo nie może wykonać pewnych czynności, jak tworzenie plików, ładowanie sterowników czy zabijanie obcych procesów. Zakładając, że przetestowane oprogramowanie posiadało możliwość blokowania ładowania sterowników a tym samym wykorzystywania różnych podejrzanych usług (PhysicalMemory, SystemDebugControl, LoadAndCallImage, ...) to i tak istnieje kilka metod nie blokowanych przez to oprogramowanie. Po co zatem próbować podmieniać parametr przekazywany np. do NtLoadDriver, który naturalnie powinien zostać skopiowany na stos a nie jest, skoro można wykorzystać którąś z nowych metod w celu całkowitego unieszkodliwienia tego oprogramowania?
swap
swap