Спасибо за статью, отметил для себя несколько полезных моментов.
А подскажите, не накатывались ли бэкапы в период с 19 января 2023 (момента нелегитимного доступа к панели управления) до момента, когда стало известно об инциденте? Вы же ещё не успели их проверить на наличие несанкционированных изменений и есть вероятность, что изменённый бэкап уже раскатан. "Рабочую" среду вы проверили, но все же любопытно.
Спасибо. Я так все примерно и представлял. Задачу никакую не решаю, вопрос задал из чистого любопытства) В голову приходила мысль, что если патчгард проверяет подписи, то возможно существование каких-то функций, которые он дергает.
Здравствуйте. Если бы я хотел написать драйвер, который получает список установленных драйверов и проверяет их подпись, то в какую сторону мне смотреть, чтобы добиться результата с наименьшими усилиями? Иными словами как проще всего проверить подпись исполняемого файла (находясь в пространстве ядра)? Может есть уже готовая функция в ядре? Или какие проекты с открытым кодом, где можно подсмотреть?
Спасибо за статью, отметил для себя несколько полезных моментов.
А подскажите, не накатывались ли бэкапы в период с 19 января 2023 (момента нелегитимного доступа к панели управления) до момента, когда стало известно об инциденте? Вы же ещё не успели их проверить на наличие несанкционированных изменений и есть вероятность, что изменённый бэкап уже раскатан. "Рабочую" среду вы проверили, но все же любопытно.
Спасибо. Я так все примерно и представлял. Задачу никакую не решаю, вопрос задал из чистого любопытства) В голову приходила мысль, что если патчгард проверяет подписи, то возможно существование каких-то функций, которые он дергает.
Здравствуйте. Если бы я хотел написать драйвер, который получает список установленных драйверов и проверяет их подпись, то в какую сторону мне смотреть, чтобы добиться результата с наименьшими усилиями? Иными словами как проще всего проверить подпись исполняемого файла (находясь в пространстве ядра)? Может есть уже готовая функция в ядре? Или какие проекты с открытым кодом, где можно подсмотреть?