Ponoc nie kazdy wiem czym sa rootkity! I nic dziwnego poniewaz media nie przywiazuja wagi do kategoryzacji zlosliwego oprogramowania. Poczawszy od podzialu na wirusy, robaki i inne pierdoly po podzial na oprogramowanie user mode ktore zdaniem wiekszosci specjalistow nie powinno nosic miana rootkitow. Mowa naturalnie o wszelkich aplikacjach stosujacych api hooking. Skoro nikt nie dba o prawidlowa kategoryzacje to nie dawno moglismy uslyszec o "wirusach" wykorzystujacych techniki "rootkitow", o trojanach posiadajacych funkcje rootkitow i wielu innych rzeczach.
Natrafilem na kilka ciekawych news'ow. Dla mnie one sa smieszne i bezcelowe poniewaz prawda jest zabarwiona medialna sensacja. News'y o zlosliwym oprogramowaniu oprogramowaniu to jedno a fakt ze nikt czegos takiego nie podsumuje fachowo to co innego. Czy zatem ludki maja znac prawde i kpic z wynalaskow odchylencow informatycznych czy bac sie ich siegajac po super zestawy obronne?
Kilka news'ow:
- Darmowe narzędzie do walki z rootkitami
- Rootkit na co dzień
- Trojan.Satiloler.D
- Rootkit.Win32.Agent.*
Musze bardziej poszukac materialow zeby nie bylo ze zmyslam! Na deser przedstawie fragment Rootkit.Win32.Agent.*. Czy tak powinien wygladac rootkit (jest to niby driver...)?
Szukajac informacji o robakach wykorzystujacych "rootkity" - mydoom i inne znalazlem opis drivera podpietego pod mydoom'a - m_hook.sys. Wykorzystuje on zwykly SSDT hooking co widac w opisie z Gmer'a - m_hook.sys. ZwQuerySystemInformation hook'ujac ta usluge zapewnia sobie niewidocznosc procesu robaka. Hehe to nawet moj marny PoC UM pokaze taki proces
Natrafilem na kilka ciekawych news'ow. Dla mnie one sa smieszne i bezcelowe poniewaz prawda jest zabarwiona medialna sensacja. News'y o zlosliwym oprogramowaniu oprogramowaniu to jedno a fakt ze nikt czegos takiego nie podsumuje fachowo to co innego. Czy zatem ludki maja znac prawde i kpic z wynalaskow odchylencow informatycznych czy bac sie ich siegajac po super zestawy obronne?
Kilka news'ow:
- Darmowe narzędzie do walki z rootkitami
- Rootkit na co dzień
- Trojan.Satiloler.D
- Rootkit.Win32.Agent.*
Musze bardziej poszukac materialow zeby nie bylo ze zmyslam! Na deser przedstawie fragment Rootkit.Win32.Agent.*. Czy tak powinien wygladac rootkit (jest to niby driver...)?
Kod:
.text:0001177B loc_1177B: ; CODE XREF: sub_1170E+58j
.text:0001177B push ebx
.text:0001177C mov ebx, [ebp+arg_0]
.text:0001177F push esi
.text:00011780 push edi
.text:00011781 mov ecx, eax
.text:00011783 mov edx, ecx
.text:00011785 shr ecx, 2
.text:00011788 lea esi, [ebp+var_22C]
.text:0001178E lea edi, [ebx+8]
.text:00011791 rep movsd
.text:00011793 push 4
.text:00011795 mov ecx, edx
.text:00011797 and ecx, 3
.text:0001179A rep movsb
.text:0001179C mov esi, ds:ZwQueryVolumeInformationFile
.text:000117A2 pop edi
.text:000117A3 shr eax, 1
.text:000117A5 and word ptr [ebx+eax*2+8], 0
.text:000117AB push edi ; VolumeInformationClass
.text:000117AC push 8 ; VolumeInformationLength
.text:000117AE lea eax, [ebp+var_28]
.text:000117B1 push eax ; VolumeInformation
.text:000117B2 lea eax, [ebp+IoStatusBlock]
.text:000117B5 push eax ; IoStatusBlock
.text:000117B6 push Handle ; FileHandle
.text:000117BC call esi; ZwQueryVolumeInformationFile
.text:000117BE test eax, eax
.text:000117C0 jge short loc_117CA
.text:00011518 aDosdevicesC: ; DATA XREF: sub_11538+19o
.text:00011518 unicode 0, <DosDevices%c:>,0
.text:00011084 aFVssvdCodebase db 'F:vssvdcodebase_projectsproducts_BranchesUWFX5(1.0.16.'
.text:00011084 db '0)_Releasedf_kmd.pdb',0Szukajac informacji o robakach wykorzystujacych "rootkity" - mydoom i inne znalazlem opis drivera podpietego pod mydoom'a - m_hook.sys. Wykorzystuje on zwykly SSDT hooking co widac w opisie z Gmer'a - m_hook.sys. ZwQuerySystemInformation hook'ujac ta usluge zapewnia sobie niewidocznosc procesu robaka. Hehe to nawet moj marny PoC UM pokaze taki proces
