Friday, November 7. 2008
Kilka dni temu natrafiłem na artykuł PIN pamiętany pozycyjnie, a w nim na pojęcie personal identification pattern (swoją drogą ten wpis jest przykładem słabości Wikipedii, przecież to właściwie reklama firmy). Zaciekawiło mnie zdanie
(...)Consequently there is nothing for a ‘keylogger’ to reverse-engineer and since the numbers are repeated several times in the grid-square, it is extremely difficult for a ‘shoulder-surfer’ to ascertain the pattern by observing the keystrokes and the gridsquare.(...).
No dobrze, to zobaczmy jak się to sprawdza w praktyce.
Ciąg dalszy "Personal Identification Pattern" »
Thursday, November 6. 2008
Pojawiła się nowa wersja win32dd. Jedną z nowych cech jest kompatybilność z WinDbg, czyli (przynajmniej w teorii) za pomocą tego narzędzia można utworzyć zrzut pamięci taki, jak tworzy system podczas BSOD. Niestety, u mnie jakoś nie działa. To znaczy zrzut jest tworzony, ale WinDbg jednak nie do końca go rozumie. Nie za bardzo działa również konwersja zrzutu za pomocą Volatility. Konwersja jest co prawda wykonywana, ale przy próbie jej załadowania, następuje błąd WinDbg.
Ciąg dalszy "Nowa wersja win32dd" »
Wednesday, November 5. 2008
Przykład na to, dlaczego narzędzia wykorzystywane do badania systemu nie powinny (zbytnio) modyfikować jego stanu.
Ciąg dalszy "Jak szukałem rootkita i znalazłem..." »
Ostatnio w ramach zabijania długich wieczorów postanowiłem przyjrzeć się jakiemuś malware. Tym razem wybór padł na coś z rodziny Trojan:Win32/Alureon. Jest to (przynajmniej częściowo) rootkit, który dla przedłużenia swojej bytności w systemie, ukrywa się. Jeśli zrobi to dobrze, nie będzie widać podejrzanych procesów, plików, kluczy w rejestrze, tak więc ofiara może nie zauważyć gościa w systemie.
Ciąg dalszy "Prawie schowany rootkit" »
Tuesday, November 4. 2008
Co prawda już nieco po czasie, ale jeśli ktoś chce się zmierzyć z analizą malware, to ma okazję: Malware Challenge. Dużo próbek można znaleźć też na Offensive Computing.
Ciąg dalszy "Malware Challenge" »