MoneyMaker - здесь делают деньги! MoneyMaker - здесь делают деньги!

Пробив, взлом
Форум Darkmoney Форум Дубликат
Дроп-сервис
Электронные кошельки, карты, идентификация
Пробив, детализация
probivbiz
Курсы по анонимности и безопасности Чат Манимейкера
Благотворительный фонд
SkyCash
Гарант-сервис, безопасные покупки


Вернуться   MoneyMaker - здесь делают деньги! > Анонимность и безопасность > Теория и практика АиБ


Теория и практика АиБ Раздел для обсуждений вопросом по анонимности и безопасности. Статьи, книжки, вопросы и ответы.

garant
Like Tree1Likes
  • 1 Post By hackdays

Ответ
 
LinkBack Опции темы Опции просмотра
Старый 17.11.2013, 10:00   #1
Забанен
 
Регистрация: 19.03.2013
Сообщений: 1,401
Депозит: 0 р.
Сделок через ГАРАНТ: 0
Покупок через ГАРАНТ:
По умолчанию Все о ботнетах, трои, крипт и т.д

Анализ Sality руткит
Sality является хорошо известным семейством файлов Infectors (или PE-infectors или просто вирусы). И как вредоносные программы он имеет очень длинную историю эволюции с 2003 года. Последние версии содержат это руткит на борту, чтобы усложнить обнаружение со стороны Антивирусных сканеров.

Драйвер имеет следующие характеристики:
Процессы прекращения через NtTerminateProcess ;
Блокировке доступа к некоторым веб Антивирусным ресурсам через IP-фильтрацию ;
Малый размер ~ 5 Кб.
Согласно анализу, Руткит предназначен для Windows, начиная с NT4 и заканчивая Vista, . Надо сказать заранее, что этот руткит не новый и не содержит некоторые особенности, которые имеют современные руткиты или буткиты. Исследования версией руткитов начилось с начала 2010 года.

Rootkit создает устройство с именем:
\ Device \ amsint32
\ DosDevices \ amsint32 и это сигнал к инфекции.



Rootkit содержит обычный самый известный способ убийства процесса, который используется почти во всех руткитов.



Sality использует старую модель IP-фильтрации для блокирования доступа к веб-ресурсам, которые принадлежат Анивирисным поставщикам. Эта техника называется IP-фильтрация. Дополнительная информация: Windows 2000 Filter-Hook Driver например [Ссылки могут видеть только зарегистрированные пользователи. ] и MSDN [Ссылки могут видеть только зарегистрированные пользователи. ]

Перечень затрагиваемых производителей:



Эта функция требует от драйвера регистрацию функций обратного вызова, которая будет вызываться для IP-пакетов. Эта функция будет решать, что делать с этим пакетом: направить его или удалить.

hackdays вне форума   Ответить с цитированием
Старый 17.11.2013, 10:01   #2
Забанен
 
Регистрация: 19.03.2013
Сообщений: 1,401
Депозит: 0 р.
Сделок через ГАРАНТ: 0
Покупок через ГАРАНТ:
По умолчанию

Зарегистрированный - fnFilterHookIP будет искать присутствие Антивирусных-вендоров строки в данных пакетах. В случае обнаружения он заставляет IP-драйвера выкинуть этот пакет.



Зашифрованные строки антивирусов в его теле:



Обнаружение отношение:



Размер: 5157 байт
mathbonus likes this.
hackdays вне форума   Ответить с цитированием
Старый 17.11.2013, 13:05   #3
Забанен
 
Регистрация: 19.03.2013
Сообщений: 1,401
Депозит: 0 р.
Сделок через ГАРАНТ: 0
Покупок через ГАРАНТ:
По умолчанию

ZeroAccess обнаружения с инструментом Xuetr
Xuetr является мощным инструментом для hide_code / обнаружения руткитов (доступна для загрузки с [Ссылки могут видеть только зарегистрированные пользователи. ] ).
Запустите ее на машине, которая была инфицирована последним ZeroAccess руткитом.
После запуска , мы получаем предупреждение

Далее, посмотрим на "Модуль ядра" на вкладке

Xuetr нашли два драйвера ZeroAccess, мы можем сделать дамп
Далее проверяется ядро на подозрительные действия - Kernel->Object Hijack

Посмотрите, что системный драйвер - ipsec.sys был угнан, а также некоторые указатели в устройстве объектом жесткого диска были похищены.
hackdays вне форума   Ответить с цитированием
Старый 17.11.2013, 13:06   #4
Забанен
 
Регистрация: 19.03.2013
Сообщений: 1,401
Депозит: 0 р.
Сделок через ГАРАНТ: 0
Покупок через ГАРАНТ:
По умолчанию

IPsec службы в реестре
hackdays вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 15:21. Часовой пояс GMT.

Bes73 Bes73
garant
garant

Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2019, vBulletin Solutions, Inc. Перевод:
Search Engine Optimization by vBSEOzCarot
MoneyMaker.hk