MyCity » Zaštita od zlonamernih programa » Vest: 64-bitni rootkitovi

64-bitni rootkitovi

Napisano na dan: 26.8.2010

Strana:
1
2

64-bitni rootkitovi

Pagination

Prethodna strana

Odgovori

Strana:
1
2

higuy Poslao: 28 Avg 2010 19:56 Idi na vrh
offline higuy Legendarni građanin penzionisani tabijatlija crni hronicar Pridružio: 21 Apr 2010 Poruke: 8565 Gde živiš: Dubocica	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Da li je poznato u cemu se ogleda promena u MBR, tj. zbog cega nije moguce koriscenje postojecih alata.

Profil
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.

dr_Bora Poslao: 28 Avg 2010 21:47 Idi na vrh
offline dr_Bora Anti Malware Fighter Rank 2 Pridružio: 24 Jul 2007 Poruke: 12280 Gde živiš: Höganäs, SE	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Ne radi se toliko o promeni u MBR-u, već o samom načinu rada rootkita. Prosto, malware je nov, pa programi još nisu ažurirani da znaju kako zaobići blokadu od strane malicioznog drivera / rootkita (a šta to tačno rootkit radi, to, najblaže rečeno, prevazilazi okvire ove diskusije). Ništa preterano neobično, samo "zanimljivije" no obično zbog x64 kompatibilnosti.

Profil

higuy Poslao: 30 Avg 2010 11:34 Idi na vrh
offline higuy Legendarni građanin penzionisani tabijatlija crni hronicar Pridružio: 21 Apr 2010 Poruke: 8565 Gde živiš: Dubocica	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Napisano: 30 Avg 2010 11:26 Ovde sam nasao nesto o delovanju na MBR. Izgleda da koristi IOCTL_SCSI_PASS_THROUGH_DIRECT kontrolni kod. http://msdn.microsoft.com/en-us/library/ff560521%28v=VS.85%29.aspx http://www.prevx.com/blog/155/x-TDL-rootkit--follow-up.html Dopuna: 30 Avg 2010 11:29 Citat:"The main Tidserv components are stored in unused space at the end of the hard drive in encrypted form," http://www.symantec.com/connect/fr/blogs/tidserv-64-bit-goes-hiding Dopuna: 30 Avg 2010 11:34 Da li bi pomoglo da se fix-uje MBR nekim Linux Live distribucijom. Ovako nesto, http://www.arsgeek.com/2008/01/15/how-to-fix-your-.....tu-livecd/

Profil

1l padr1n0 Poslao: 30 Avg 2010 12:06 Idi na vrh
offline 1l padr1n0 Anti Malware Fighter Rank 2 Pridružio: 02 Feb 2008 Poruke: 14018 Gde živiš: Nish	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Citat:MBR code is filtered by the advanced rootkit disk I/O filtering engine. This is the only real MBR code self-defense at the moment. http://www.informacija.rs/Vesti/Rootkit-ozloglasen.....4-bit.html Citat:Glavni delovi ovog rootkit-a se nalaze na nekorišćenom prostoru na kraju hard diska u šifrovanom obliku pa ih je, kada je kompjuter zaražen, teško otkriti i ukloniti.

Profil

Aleks Maletic Poslao: 30 Avg 2010 12:43 Idi na vrh
offline Aleks Maletic Ugledni građanin System administrator Pridružio: 19 Jul 2010 Poruke: 367 Gde živiš: Golubinci	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Sta ustvari moze da pomogne prilikom stupanja na scenu ovog rootkit-a? Da li ovaj rootkit poput recimo nekih polimorfnih virusa tipa Win32/Sality prezivi reinstall sistema zbog skladistenja u MBR sektoru? Pomaze li Low Level Format?

Profil

1l padr1n0 Poslao: 30 Avg 2010 13:27 Idi na vrh
offline 1l padr1n0 Anti Malware Fighter Rank 2 Pridružio: 02 Feb 2008 Poruke: 14018 Gde živiš: Nish	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! @dr Bora ce strucnije objasniti, no do tada... Bacite pogled na sledeci text - Stealth MBR rootkit (2007 godina): Citat:"Good points" of being MBR rootkit: * full control of machine boot process-code is executed before the OS starts * rootkit does not need a file - code could exists in some sectors of the disk and it cannot be deleted as a usual file * rootkit does not need any registry entry because it is loaded by MBR code * to hide itself, rootkit needs to control only a few sectors of the disk http://www2.gmer.net/mbr/ ...takodje i: Citat:The MBR is not located in a partition, it is located at a main boot record area in front of (with a lower LBA sector number than) the first partition. http://en.wikipedia.org/wiki/Master_boot_record

Profil

dr_Bora Poslao: 30 Avg 2010 17:09 Idi na vrh
offline dr_Bora Anti Malware Fighter Rank 2 Pridružio: 24 Jul 2007 Poruke: 12280 Gde živiš: Höganäs, SE	3Ovo se svidja korisnicima: ThePhilosopher, oblak, mcrule Registruj se da bi pohvalio/la poruku! FIXMBR iz Recovery Console odrađuje posao (bootrec /FixMBR na Vista/7); lako je van aktivnog Windowsa. Naravno, prvo treba dijagnostikovati infekciju.

Profil

higuy Poslao: 01 Sep 2010 08:38 Idi na vrh
offline higuy Legendarni građanin penzionisani tabijatlija crni hronicar Pridružio: 21 Apr 2010 Poruke: 8565 Gde živiš: Dubocica	1Ovo se svidja korisniku: mcrule Registruj se da bi pohvalio/la poruku! Mogla bi dijagnostika mozda da se odradi nekim disk editorom (HxD, WinHex). I MBR ce morati u penziju zbog ogranicenja (four primary partition table, capacity limitation 2 TiB) http://en.wikipedia.org/wiki/Master_boot_record http://en.wikipedia.org/wiki/GUID_Partition_Table http://www.microsoft.com/whdc/device/storage/gpt_faq.mspx http://en.wikipedia.org/wiki/Extensible_Firmware_Interface http://en.wikipedia.org/wiki/EFI_System_partition

Profil

NIx Car Poslao: 03 Sep 2010 15:40 Idi na vrh
offline NIx Car Legendarni građanin Més que un club Glavni vokal @ Harpun Pridružio: 27 Feb 2009 Poruke: 3898 Gde živiš: Novi Sad,Klisa	2Ovo se svidja korisnicima: oblak, mcrule Registruj se da bi pohvalio/la poruku! izgleda da je kasper uspeo da nadje nesto sto ce ga ubiti download: http://support.kaspersky.com/viruses/solutions?qid=208280684

Profil

1l padr1n0 Poslao: 31 Maj 2011 14:17 Idi na vrh
offline 1l padr1n0 Anti Malware Fighter Rank 2 Pridružio: 02 Feb 2008 Poruke: 14018 Gde živiš: Nish	2Ovo se svidja korisnicima: mcrule, nemanja_066 Registruj se da bi pohvalio/la poruku! Napisano: 19 Maj 2011 14:24 BUMP! (cisto da malo ozivimo ovu staru temu, novim malware-om) Novi rootkit ugrožava 64-bitne Windows sisteme Citat:Kaspersky Lab otkrila je novi višenamenski rootkit koji ugrožava i 32-bitne i 64-bitne Windows sisteme. Glavna karakteristika 64-bitnog rootkita je da on ne pokušava da zaobiđe PatchGuard zaštitu za kernel Windows-a, već umesto toga koristi poseban digitalni potpis za programere softvera. Rootkit se distribuira pomoću Trojanca downloader-a, koji pored toga pokušava da instalira i druge štetne programe. Stručnjaci Kaspersky Lab otkrili su jedan takav downloader koji između ostalog pokušava da preuzme i instalira lažni antivirusni program za Mac OS X operativni sistem. Naravno, ovakav program ne može da radi u Windows okruženju, on ukazuje na rastuće interesovanje sajber-kriminalaca i za druge platforme osim za Windows. Vise na: http://www.informacija.rs/Virus/Novi-rootkit-ugroz.....steme.html Dopuna: 31 Maj 2011 14:17 . MAX++: ZeroAccess Rootkit za x64 platforme Citat:Poslednji u nizu malicioznih programa iz grupe rootkit-ova dizajniranih za 64-bitne sisteme je ZeroAccess rootkit koji cirkuliše već izvesno vreme i koji ima brojne zanimljive kapacitete, uključujući i anti-forenzični mehanizam i monitoring na nivou kernela. Nastavak na: http://www.informacija.rs/Virus/MAX-ZeroAccess-Rootkit-za-x64-platforme.html

Profil

MyCity » Zaštita od zlonamernih programa » Vest: 64-bitni rootkitovi

Ko je trenutno na forumu

Ukupno su 837 korisnika na forumu :: 5 registrovanih, 1 sakriven i 831 gosta :: [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:: Korisnici trenutno na forumu: Koridor, naki011, Srle993, voja64, zziko

Svaki korisnik ovog sajta je odgovoran za sadržaj svoje poruke koju objavi na sajtu. Sajt se odriče svake odgovornosti za sadržaj tih poruka.
Postavljanjem vaše poruke ili vašeg autorskog dela na ovaj sajt, saglasni ste da ovaj sajt postaje distributer vašeg dela, i odričete se mogućnosti njegovog povlačenja ili brisanja, bez saglasnosti uprave sajta.
Distribucija sadržaja sa ovog sajta je dozvoljena samo u nekomercijalne svrhe, uz obaveznu napomenu da je sadržaj preuzet sa ovog sajta, i uz obavezno navođenje adrese MyCity sajta. Za sve ostale vidove distribucije obavezni ste da prethodno zatražite odobrenje od vlasnika MyCity sajta.
MyCity pokrenuo, administrira i razvija Predrag Damnjanović, a o uređenju sajta se brine MyCity Tim.
Ukoliko želite da nas kontaktirate kliknite ovde.
Naši sajtovi:
Vesti, Vojni forum, Zaštita od virusa, TekstPesme.rs

This content is licensed under a Creative Commons License.
Based on phpBB 2, translated by Simke, designed by