информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
 Рекордное число уязвимостей в 2021 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
1. Ну начну с того, что статья неактуальна. Заниматься... 15.01.07 19:03  Число просмотров: 2168
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 16.01.07 05:10  Количество правок: 1
<"чистая" ссылка>
1. Ну начну с того, что статья неактуальна. Заниматься поиском hook-овых кейлоггеров это сейчас примерно то же, что заниматься поиском ms-dos вирусов. Встречаются, конечно, но рынок сейчас забит "настоящими" (драйверными) кейлоггерами и там перехват системных сервисов вообще не поможет (большинство из них вообще общаются с user-mode только при просмотре лога).

2. Второе, что резануло глаз: "Привожу вам ее описание прямо из исходников (private\ntos\inc\ke.h)" (ну и второй пункт списка источников). А товарищ вообще знает, что это как бы незаконно (независимо от его личного отношения к этому закону)? Приведенная фраза примерно соответствует выкладыванию в публичный доступ на ресурсе с высокой посещаемостью видео со своим преступлением и при этом сообщив свои личные данные (насколько я помню подобные идиоты встречаются).

3. Технические огрехи: нежелание хардкодить номер сервиса, но при этом захардкоженное смещение на "теневую" таблицу дескрипторов. Зачем то для патча сессионной памяти используются APC (хотя достаточно просто приаттачиться к адресному пространству того же winlogon-а KeAttachProcess), да и вообще вся эта возня с хуками, когда можно просто генерировать нажатия при помощи keybd_event (SendInput).

4. Предложенная схема обнаружения кейлоггеров работать не будет. Мало того, что будет просто невероятное количество false positives (работаем в Word-е - произошло автосохранение; работаем в Instant Messenger-е - произошла запись в лог - они ведь ведут логи разговоров; да мало ли еще примеров), но все эти жертвы будут напрасными, ибо схема страдает от false negatives: достаточно сжать лог (а большинство кейлоггеров еще и шифруют) и/или писать в него не только клавиши (а например еще и скриншоты) и содержимое не будет ни пропорционально по размеру ни похожим по содержимому.

5. Patch guard. Ну это смешно. Честно говоря, исходя из технического уровня основной статьи фразы типа "зайусь Patch Guard-ом на досуге" вызывают умиление. Ничего не выйдет. Почитать как там все устроено можно например в статье более чем годичной давности http://www.uninformed.org/?v=3&a=3
Вряд ли у автора хватило бы квалификации провести подобный анализ (сомневаюсь, что квалификации хватило бы у меня, хотя смею предположить, что у меня ее поболе будет).

В общем статья - пустое сотрясание воздуха по неактуальной проблеме. И сколько ставить такой статье?

А вот статья про пароли мне понравилось и как раз тем, что она: 1) Актуальна 2) Я считаю себя достаточно искушенным в вопросах безопасности (и в частности в вопросах выбора и управления паролями), но я таки нашел одну новую для себя утилиту - apg. Просто генераторов паролей я знал с десяток, возможно потому и прекратил поиск, но вот эта утилита реально удобна. Если бы еще где нибудь найти анализ того, насколько "произносимость" пароля влияет на его стойкость. Естественно пространство ключей сокращается, вопрос в том, достаточно ли большим оно остается (хотя если верить сопровождающей документации, то на авторитет NIST-а вполне можно положиться).
<site updates> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach