кстати, это раздражает. У симантека, например, другая крайность - крайне малое число разновидностей, Trojan.Downloader и все тут)
Если бы это было возможно, то я бы предложил развернутую классификацию:
- метод заражения - файловый, авторан и так далее
- действия - удаляет, троянит, рассылает спам
- распространение - рассылается сервером, заражает файлы
- упакован - тем-то и темто
- и что-то еще
и закодировать както. Типа F1.F2.D3.D4, по группе на пункт. Хотя есть опасность закопаться)
можно. в простейшем случае поднимается файл ntosrknl.exe (или какой там работает) с диска, и сравнивается с его образом в памяти. Кстати, руткит Rustok при таком методе отдает подложные данные, и например GMER (антируткит) ничего не видит )
Также берется таблица системных вызовов и в них ищутся адреса, выходящие за пределы образа ntoskrnl в памяти. Найти модуль, на который они ссылаются, довольно просто.
действительно. в одной статье читал: "в windows уже содержатся компоненты, достаточные для того, чтобы не заразиться вирусом и не дать установиться руткиту. Это ваши руки и голова".
ну, вот давайте возьмем этот руткит. Он патчит IRP_MJ_CREATE в драйвере ntfs. Предположим, что он записал в границы модуля ntfs свою функцию, которая и будет обработчиком. SSDT он не патчит.
нет абсолютно невидимых руткитов, как нет и абсолютной защиты от них. Новые ухищрения с любой стороны противостояния заставляет противника эволюционировать)
1) WriteProcessMemory использует в качестве хэндла -1. Почему сомневаюсь, что перехвачены будут вызовы для всех приложений.
2) Зачем применяется SetWindowsHookEx?
Это на самом деле один вопрос, разбитый на две части.
2 - МСДН: SetWindowsHookEx can be used to inject a DLL into another process. Собственно, это самый распространенный и простой вариант инъекции. Хорошая новость тут в том, что это работает только на активный десктоп. Плохая новость - в винде обычно используют один десктоп (
1 - Раз после вызова SetWindowsHookEx дллка у нас находится во всех нужных процессах, то надо значть только хэндл текущего процесса, -1.
тогда - "народное" название и мд5 хэш :) типа русток или нимда.
Если бы это было возможно, то я бы предложил развернутую классификацию:
- метод заражения - файловый, авторан и так далее
- действия - удаляет, троянит, рассылает спам
- распространение - рассылается сервером, заражает файлы
- упакован - тем-то и темто
- и что-то еще
и закодировать както. Типа F1.F2.D3.D4, по группе на пункт. Хотя есть опасность закопаться)
Также берется таблица системных вызовов и в них ищутся адреса, выходящие за пределы образа ntoskrnl в памяти. Найти модуль, на который они ссылаются, довольно просто.
снять хук - имеется ввиду в рантайме. Поудалять, конечно, можно, правда, надо знать, что удалять.
Какой анализ тут можно провести?
ничего не сделал - ну, да. чем проще - тем лучше.
спасибо
2) Зачем применяется SetWindowsHookEx?
Это на самом деле один вопрос, разбитый на две части.
2 - МСДН: SetWindowsHookEx can be used to inject a DLL into another process. Собственно, это самый распространенный и простой вариант инъекции. Хорошая новость тут в том, что это работает только на активный десктоп. Плохая новость - в винде обычно используют один десктоп (
1 - Раз после вызова SetWindowsHookEx дллка у нас находится во всех нужных процессах, то надо значть только хэндл текущего процесса, -1.
Где-то так.
э.. коллега (как бы:) - попробуйте File - Produce file - Create html file. Вставляет на ура.
но синтаксис gas, да, без содрогания видеть невозможно