Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
[NT] Ты прав, но сбит с толку :-))) 24.05.03 21:22 Число просмотров: 2086
Автор: amirul <Serge> Статус: The Elderman
|
> Мой пост носил философско-информативный характер: при
> отлове руткита ты работаешь с диском через интерфейсы ОС. А
> их этот руткит может (и должен!) фильтровать
> соответствующим образом.
Именно этим по определению и занимается руткит, вот только imm0rtal писал про совершенно определенный руткит, который, если не трогать его настройки скрывает файлы, начинающиеся наroot ключи в реестре, начинающиеся так же и процессы с такими именами. Так вот при написании руткита (и вообще любого модуля сокрытия) встает одна проблема, если СОВСЕМ скрывать ключи-файлы, то лучше уж их удалить - эффект тот же - совершенно не видно. Поэтому к некоторым процессам фильтр пропускает неизмененную инфу. И в данном случае это как раз те же самые процессы, которые скрываются, то есть начинаются сroot Вот imm0rtal и предложил попробовать отловить такой руткит в дефолтовых настройках (если ставил какой то ламер-скрипткидди). Самое интересное, что это действительно прокатит :-)
> Так что единственное чему ты
> можешь верить - это (как мне справедливо напомнил amirul)
> софтайс. Но с одним софтайсом очень долго можно провозиться
> :(
Я довольно быстро разобрался. Обычно под руткитом исполняется какое-нить ring3 приложение (меня мониторил мой работодатель на рабочем компе, на котором я даже не был админом, но был девелопером, так что сайс там был :-)) А что мне еще надо :-) ). Просто посчитать количество процессов в сайсе и Task Manager-е и решать стоит ли копать дальше
> Так что я рекомендую ("рекомендую" - то есть хочешь делай,
> хочешь нет) поставить рядом другую ОС с нуля и иследовать
Это да, но быстрее загрузиться например с линуховской дискеты для работы с НТ-ями и пошарить по реестру/файлам.
> диски старой из нее. А вообще - я похоже начал флейм :)
> Сорри.
Гы :-) Ну по-крайней мере истина родится :-)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
