[ Sundance @ 25.02.2005. 12:32 ] @
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml

Jedan od najvećih NT kernel haxora jest opet sam sebe nadmašio :)

Alatka jest fantastična....jedini problemi koje sam ja dosad vidio jest sa nekim ADS datotekama i datotekama koje NTFS koristi za housekeeping poput C:\$LogFile. NTFS je samodeskriptivan filesystem, pa namjerno skriva neke datoteke koje interno koristi, a njihov popis možete naći ovdje.

I što je najkulerskija stvar od svih, ima nativnu podršku za NTFS direktorije, tj. otvara logičku particiju sa CreateFile("\\.\C:", ...) te procesira razliku outputa Win32/Nt* API-ja i onoga što vraća sam izgled filesystema, kako bi detektirao stealth mogućnosti rootkita.

Već sad detektira sve poznatije rootkite, ukljućujući poznati hxdef sa kojima je dosta ljudi na ovom forumu imalo problema :>

Kul!

Ajd postajte komentare, kako radi (i ne radi :), kasnije ću se ja kad mi se bude dalo raspisati o NT rootkitima, kako zaobići ovaj revealer i što nam budućnost donosi, jer znam da malo tko ovdje zna šta su oni i šta sve mogu :p)
[ Goran Mijailovic @ 26.02.2005. 14:11 ] @
Ja sam pokrenuo i cekao 15 min... samo ako bi neko hteo da mi kaze sta treba da se desi jer nemam pojma o tome:)
samo je prijavio neke kljuceve u registriju koji su kriptovani i koje ne moze da otvori?
[ Vojislav Milunovic @ 26.02.2005. 14:49 ] @
Goran : U nacelu on proverava sta vracaju Windows API i sistemski pozivi ako sam ja to dobro razumeo.
Dakle ako je neki fijl hiddent from Windows API, moze, ali i ne mora biti, rootkit jer ga ne mozes videti preko obicnih windows APIja koji su hookovani, vec samo preko NativeAPIja i direktnog pristupa kernelu... To je koliko sam ja shvatio citajuci sa njegovog site.
[ Sundance @ 01.03.2005. 22:57 ] @
Citat:
Vojislav Milunovic: vec samo preko NativeAPIja i direktnog pristupa kernelu... To je koliko sam ja shvatio citajuci sa njegovog site.


Ne baš, RR razumije NTFS te čita raw bajtove sa fizičkog diska, i uspoređuje takav layout sa onim koji vraća win32 filesystem query API. rootkiti koji su stealth preko KeServiceDescriptorTable hookova su opet detektirani, jedino ako se nekako instaliraju u disk kontroler ili i sami hookiraju "\\.\C" objekt i naprave restrikciju "nepoćudnih" parametara za njega.
[ Vojislav Milunovic @ 02.03.2005. 01:37 ] @
Completely delete your hard drive :))))

Ovo je jedan lol :)
[ Sundance @ 04.03.2005. 06:41 ] @
Citat:
Vojislav Milunovic: Completely delete your hard drive :))))

Ovo je jedan lol :)


Pa nije baš. Dečki i cure sa rootkit.com zadnjih par mjeseci aktivno raspravljaju o mogućnostima sakrivanja koda rootikita na EEPROM čipu na matičnoj ploči, ili u bad sektorima na disku. Tako bi rootkit preživio i formatiranje diska, mada ne bi bio aktivan, ali 1000# je lakše preko nekog vektora napada aktivirati već instaliran rooktit nego ga opet instalirat.

Moglo bi biti vrlo veselo ubrzo :o)
[ Vojislav Milunovic @ 05.03.2005. 01:58 ] @
o boze sta lude ideje cine :)
[ mrkidivx @ 05.03.2005. 05:18 ] @
Citat:
Dečki i cure sa rootkit.com zadnjih par mjeseci aktivno raspravljaju o mogućnostima sakrivanja koda rootikita na EEPROM čipu na matičnoj ploči, ili u bad sektorima na disku


Dečki i cure sa rootkit.com bi mogli međusobno nešto pametnije da "rade"...
[ mrkidivx @ 05.03.2005. 11:15 ] @
Ma zezam se Sundance, ne shvataj sve lično.
Jel si vido smajlija
[ deroko @ 05.03.2005. 14:56 ] @
O jebem ti Odo ja da sljakam za AV kompanije
[ Sundance @ 10.03.2005. 21:41 ] @
Izgleda da Rusinovič laže kad kaže da je ovo prvi alat koji uspoređuje direktan izgled filesystema sa onim što vraćaju sistemski API-ji. Philippe Bourgeois i Wang Jian [1] već neko vrijeme imaju sličan alatić za EXT2. Jedina je razlika što Rusinovič skenira raw disk image unutar OS-a, a ne izvan njega.



[1] - http://www.securityfocus.com/a...268102/2005-01-26/2005-02-01/1