w rzeczy samej hooking SSDT jako sposob na ukrycie juz sie nieco oklepal. technika jest jednak stylistycznie poprawna i co najwazniejsze skuteczna. niestety nie daje takiego poziomu niewidocznosci jakiego wymaga rootkit. co nie przeszkada zeby byla dalej uzywana przez niektore antyviry.
technologia DKOM wykorzystana w FU rootkicie, jest o ile dobrze wykorzystana trudna do wykrycia, jednak z oczywistych powodow nie daje pelenej gamy mozliwosci jakich potrzebuje tworca rootkita. narazie mozemy ukryc process, driver oraz zwiekszyc swoje przywileje.
trzeba zauwazyc ze projekt rootkita zalezy bardzo od miejsca w ktorym ma zostac zainstalowany. jezeli jest to workstation to trzeba sie liczyc z tym ze rootkit nie posiedzi w pamieci wiecej niz 12h. w przypadku servera czas ten bedzie wielokrotnie dluzszy.
chodzi o to czy rootkit bedzie potrzebowal funkcji ukrywanie plikow czy nie. w przypadku servera raz odpalony rootkit, spelni prawdopodobnie swoja misje bez potrzeby zachowywania na dysku zadnych plikow. zwieksza tym samym swoje bezpieczenstwo.
jezeli atakujacemu udalo raz dostac sie do systemu i zainstalowac rootkita to istnieje duza szansa ze nie byl to raz ostatni.
w przypadku workstacji czesto mamy do czynienia z mniejszymi zabezpieczeniami , ale za to rootkit bez wlasnych plikow oraz wpisow umozliwiajacych uruchomienie po restarcie nie pozyje dlugo.
im wiecej modyfikujemy system tym wieksza szansa ze ktos/cos to zauwazy.
czasami trzeba wiec isc na kompromis. no chyba ze nie zalezy nam na wykryciu rootkita.
dobra technika wydaje sie byc detour patching. wsparte hookowaniem tablicy GDT moze byc bardzo trudne do wykrycia.
nie wypowiadam sie o ring3, bo ... przeciez nie ma sensu
