Hacker Defender Source Code Released |
Willkommen, Gast ( Anmelden | Registrierung )
Hacker Defender Source Code Released |
Gast_Nautilus_* |
02.01.2004, 23:56
Beitrag
#1
|
Gäste |
Dann kann der Spass mit den für AV Scanner unsichtbaren Trojanern ja jetzt richtig beginnen ...
EDITED: Für die, die nicht wissen, worum es geht. Hacker Defender ist ein sog. Rootkit, dass Trojaner usw. "unsichtbar" machen kann, mit der Folge, dass AV Scanner nicht mehr nach ihnen scannen können. Ob der Rootkit Detector von http://3wdesign.es/security/principal.html?u=82pxv20n auch bei Version 1.00 funktioniert, habe ich noch nicht ausprobiert. Der Beitrag wurde von Nautilus bearbeitet: 02.01.2004, 23:59 |
|
|
Gast_Nautilus_* |
27.02.2004, 16:29
Beitrag
#2
|
Gäste |
Die von Dir genannten Tools kenne ich. Sie laufen aber nur unter W2K bzw. helfen Dir nicht besonders gut NACHDEM eine Infektion stattgefunden hat.
Die von Dir genannte Seite ist eine bekannte Malware-Seite, sofern man heutzutage überhaupt noch zwischen Security und Insecurity unterscheiden möchte ... ;-) EDITED: @Gladi Ausserdem will Hoglund jetzt wohl eine Idee von Dir wahr machen ;-) "I have an idea for a new rootkit - if anyone has some skills that would help? The kit lives in hardware somewhere, or it at least stores a crypto key in hardware somewhere. It decrypts a payload using this key and places the resultant code somewhere to be executed by the processor on the video card. From the video card, the kit has full access to system memory and can perform direct kernel object manipulations. This would raise the bar for forensics: 1. the subversive code is crypted 2. the key to decrypt subversive code is _not_ stored on HD 3. the subversive code execs on auxillary CPU, not main CPU 4. the subversive code is not x86 machine code 5. illustrates how peripheral hardware can be exploited 6. if possible, the crypted subversive code is stored in Flash 7. if possible, the decryptor for the subversive code is also on Flash 8. finally, if possible, the decryptor is activated w/o the use of a driver The target peripheral hardware does not need to be the video card, it could be a hard drive controller or something.. but I want to push the envelope. User mode rootkits are tired, kernel mode rootkits are coming of age - we need to take this to the next step. If the VideoCardKit could survive system re-installs it would be even better. All this would take is to identify some part of the system that is executed from a flash-RAM chip. A simple subversive code would search memory on a periodic basis and just patch memory. It could be loaded with just enough data to be able to patch SeAccessCheck on all windows service packs. Then, you see - you could wipe the hard drive and re-install and this damn rootkit would still be there, patching your security mechanisms. Simple yet powerful. Before you say it, I already know that making such a kit generic is a big challenge. I am just looking to get it to work on one specific machine of your choosing. Getting it to work on multiple hardware platforms is not likely - it would need to be tailored for each target I think... -Hoglund" Der Beitrag wurde von Nautilus bearbeitet: 27.02.2004, 16:43 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 20.06.2024, 23:05 |