SecuLog

■Windows Rootkit検出ねた

KlisterとかPatchFinder2を作ってるinvisiblethings.orgにFlisterてなものが置いてありますね。

• FLISTER - uncovering files hidden by Windows rootkits

ZwQueryDirectoryFile()関数を使うとRootkitに隠されたファイルが見つけられることがあるらしぃ。PoCとしてソースコードつきで配布されている。リンク先にしてある添付ドキュメントでは、Vanquish 0.2、he4hook 21a、Hacker Defender 1.00、yyt_hac 1.22、Basic8での実験結果が報告されている。

Rootkit検出キットといえば、SysinternalsでもRootkitRevealerなる検出ツールが公開されたのですね。

• RootkitRevealer

最後にコマンドラインバージョンをPsExecでリモート実行する例を載っけているあたりがsysinternalsって感じでいいです。

そうそう、Sysinternalsが最近配ってる実行ファイルにはちゃんとデジタル署名がついているので、検証しましょうね。実行する前に。

3/3追記:

MicrosoftのWindows Rootkit研究なページ。

• Strider GhostBuster Rootkit Detection

関係ありそうなねた。

• More miscreant hiding techniques and some interesting observations on the Hacker Defender rootkit... (Robert Hensing's Incident Response WebLog)

seculogger による 10:18 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)