Pod pojmem SSDT (System Service Descriptor/Dispatch Table) si většina z lidí znalých jádra Windows představí datové struktury, které zajišťují správné fungování mechanismu systémových volání. Jejich modifikací lze monitorovat a ovlivňovat nejen chování aplikací.

Protože mě obsah těchto tabulek odjakživa zajímal a různé bezpečnostní aplikace jej nezobrazovaly příliš podrobně, rozhodl jsem se napsat utilitu SSDTInfo, která najde a zobrazí všechny dostupné informace.

Cílem tohoto článku je popsat techniku útoku na moduly proaktivní ochrany a monitorování chování aplikací, které se nachází v mnoha bezpečnostních aplikacích patřících do kategorie osobních firewallů a systémů detekce útoku na počítač (Host Intrusion Detecton System – HIPS). Technika se česky nazývá útok záměnou argumentu a je prakticky použitelná.

V několika minulých dnech jsem se intenzivně zabýval zjišťováním, jakže to funguje ochrana jednoho nejmenovaného bezpečnostního produktu. Tato činnost často obnáší použití disassembleru a debuggeru a tento případ nebyl výjimkou. Během práce jsem si všiml přítomnosti zvláštní instrukce REP RET. Kdybych ji neviděl na vlastní oči, pokládal bych ji za neplatnou. Ale protože ji zřejmě procesor "sežere", udělal jsem malé pátrání, abych se dozvěděl, co tato instrukce provádí.

Dnešný článok je venovaný hlavne začiatočníkom v obore malware analýzy. Jeho hlavná časť sa zaoberá problematikou packerov používaných malware autormi. Podrobne si popíšeme ako fungujú a aký postup zvoliť pri ich odstraňovaní. Teóriu si potom prakticky vyskúšame. Nakoniec si pozrieme správanie vzorky v systéme a postup pri jeho čistení. Pracovať budeme so vzorkou banker trojanu Zeus (Zbot/Wsnpoem), ktorý som vybral zámerne, pretože sa jedná o veľmi aktívnu hrozbu s obrovským počtom infikovaných PC po celom svete.

V tomto článku sa zameriame na riziká a útoky, ktoré môžu hroziť v rámci lokálnej siete (LAN). Oblasť lokálnej siete netreba mylne považovať za bezpečnú, ani vo firemnom, ani v domácom prostredí. Niektorí odborníci považujú hrozby rôznych útokov v rámci LAN za omnoho vážnejšie a častejšie ako hrozby z WAN resp. internetu. Za pravdu im dávajú aj niektoré štatistiky. Vo firemnom prostredí môže ísť potencionálnym útočníkom o získanie pre nich nedostupných, zaujímavých, či zneužiteľných informácií.

Ačkoliv už uplynulo mnoho vody od doby, kdy se na scénu škodlivých programů opět vrátily boot viry a havěť napadající hlavní zaváděcí sektor (Master Boot Record), občas nám někdo napíše, že má problém s bootováním svých Windows XP, nebo že má v počítači MBR rootkit a neví, jak se jej zbavit.