ログインしてさらにmixiを楽しもう

コメントを投稿して情報交換!
更新通知を受け取って、最新情報をゲット!

RootkitコミュのRootkit Technology

  • mixiチェック
  • このエントリーをはてなブックマークに追加
30日以上、トピックが0個だとコミュニティが削除されるらしいので、
とりあえず現状のRootkit Technologyについて考えて見ましょう。

コメント(4)

Black Hat 2006 USAのJamie Butler, Nick Petroni & William Arbaughのプレゼン資料。
これまでの内容が全体的に纏まっていて良い感じ。

http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Butler.pdf

10pから引用
---
One way to hide is to gain control of execution
- Replace system programs
- Hooks
- Callbacks
- Specialized registers
- Layered drivers
- Others

Another way to hide is to manipulate kernel data itself
- List of processes, drivers, etc.
- Handle tables
- Others

Virtualization
---
ルトコウスカセンセーの新作。

http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf

Part1「再起動せずに署名されていないコードをカーネルにロードする方法」、
Part2「SVMを利用した検出不能なmalware」の2部構成。

Part1の内容をザックリまとめると、

1. ユーザーモードのアプリケーションが故意に大量のメモリを確保する

2. 1.によりシステム上のページ化可能なコードがページ化(スワップアウト)する

3. ユーザーモードのアプリケーションは、"\\.\PHYSICALDRIVE0"(="\\.\C:")等の
パスを用いてディスク上の任意のセクタに対して読書きが可能なため
ページ化されたカーネルドライバのコード(open等のディスパッチルーチン)を
シェルコードで上書きする

4. ユーザモードのアプリケーションから上書きしたドライバに対して
上書きしたディスパッチルーチンが実行される要求を行う

5. 4.により上書きされたドライバがスワップインし、
実行されるため自動的にシェルコードが実行される

というわけでイメージ的には、/dev/kmemや\\Device\\PhysicalMemory等を
経由したInline function Hookingと同じだと思います。

また、対策としては、下記の3つを挙げています。

- Forbid raw disk access from usermode.
- Encrypt pagefile!
- Disable kernel memory paging!


Part2は、いかんせんSVMの詳細を把握していないので後ほど、、、

ログインすると、みんなのコメントがもっと見れるよ

mixiユーザー
ログインしてコメントしよう!

Rootkit 更新情報

  • 最新のトピック

  • 最新のイベント

    • まだ何もありません

  • 最新のアンケート

    • まだ何もありません

Rootkitのメンバーはこんなコミュニティにも参加しています

星印の数は、共通して参加しているメンバーが多いほど増えます。

人気コミュニティランキング