Programovanie a RE

V několika minulých dnech jsem se intenzivně zabýval zjišťováním, jakže to funguje ochrana jednoho nejmenovaného bezpečnostního produktu. Tato činnost často obnáší použití disassembleru a debuggeru a tento případ nebyl výjimkou. Během práce jsem si všiml přítomnosti zvláštní instrukce REP RET. Kdybych ji neviděl na vlastní oči, pokládal bych ji za neplatnou. Ale protože ji zřejmě procesor "sežere", udělal jsem malé pátrání, abych se dozvěděl, co tato instrukce provádí.

Dnešný článok je venovaný hlavne začiatočníkom v obore malware analýzy. Jeho hlavná časť sa zaoberá problematikou packerov používaných malware autormi. Podrobne si popíšeme ako fungujú a aký postup zvoliť pri ich odstraňovaní. Teóriu si potom prakticky vyskúšame. Nakoniec si pozrieme správanie vzorky v systéme a postup pri jeho čistení. Pracovať budeme so vzorkou banker trojanu Zeus (Zbot/Wsnpoem), ktorý som vybral zámerne, pretože sa jedná o veľmi aktívnu hrozbu s obrovským počtom infikovaných PC po celom svete.

Po velmi dlouhé době vyšlo zase něco málo času, a tak jsem se rozhodl, že napíši o známém tématu, a to o zneužitelné chybě na principu přetečení lokálního zásobníku (buffer overflow – bof).

Možná jste si toho při pohledu do Správce úloh ani nevšimli, ale je to tak. Identifikační čísla procesů (PID) jsou od Windows 2000 vždy dělitelná čtyřmi. Otázka, proč tomu tak je, může mnohým připadat zbytečná, avšak není tomu tak docela. Abychom si na ni odpověděli, musíme lehce nakouknout do jádra operačního systému.

V tomto článku si projdeme absolutně základní principy a fungování rootkitů v kernel mode - podíváme se na to, co je od rootkitů očekáváno a jak těchto očekávání dosáhnout. Rovněž si základní rootkit napíšeme a zaimplementujeme do něj nekteré krycí techniky a bypassneme tak například IceSword, či Eset SysInspector.

WARNING: FOLLOWING DOCUMENT IS INTENDED FOR STUDY PURPOSES ONLY. AUTHOR HAS NO RESPONSIBILITY FOR ANY ABUSE OF THIS DOCUMENT OR ITS PARTS INCLUDING SOURCE CODE. IT IS NOT ALLOWED TO COPY THIS DOCUMENT WITHOUT AUTHORS PERSMISSION.

if you do not agree, please close your eyes and try to close your browser ;)