Pamięć mam dobrą, acz nader krótką. Choć pamiętam słowa kluczowe i wciąż udaje mi się odnaleźć to, czego potrzebuję, to postanowiłem w końcu zrobić jakąś listę. Jeśli ktoś jest zainteresowany, lista dostępna jest na wiki.
Ciąg dalszy "Kilku narzędzi lista krótka" »Tuesday, January 27. 2009
Sunday, January 25. 2009
Wstrzyknięty kod II: debugger
Przykład jakie dodatkowe informacje na temat wstrzykniętego kodu można uzyskać analizując zrzut pamięci przy pomocy debuggera. Konkretnie to jest to przykład innego podejścia wyszukiwania wstrzykniętego kodu poprzez analizę wątków działających w procesach oraz przykład na to, że takie podejście może pominąć całkiem ciekawe rzeczy. Treść na wiki, bo akurat zrzuty z debuggera lepiej tam się prezentują.
Ciąg dalszy "Wstrzyknięty kod II: debugger" »Saturday, January 24. 2009
Znajdowanie wstrzykniętego kodu
Znalezienie wstrzykniętego kodu nie jest zadaniem trywialnym. Według mnie to skuteczniejsza metoda "ukrycia się", niż tworzenie usług lub sterowników. Można znaleźć sterowniki, można znaleźć usługi, natomiast wykrycie jakiegoś procesu, który prócz zamierzonych wykonuje dodatkowe operacje - jest nietrywialne. Oczywiście można wyeliminować problem usuwając program, który ten kod wstrzykuje (przypominam - mowa o wstrzykiwaniu kodu w trakcie działania programu, oryginalny plik wykonywalny nie zostaje zmodyfikowany, po każdym restarcie systemu "infekcja" musi nastąpić ponownie).
Ciąg dalszy "Znajdowanie wstrzykniętego kodu" »Friday, January 23. 2009
Obcych procesów nie musi być
Lista procesów aktywnych w systemie jest jednym z podstawowych źródeł informacji o tym, czy przypadkiem nie działa jakiś "wrogi kod". Problem w tym, że ów wrogi kod wcale na liście procesów pojawić się nie musi, co jednak wcale nie musi być równoznaczne z wykorzystaniem rootkita.
Ciąg dalszy "Obcych procesów nie musi być" »Wednesday, January 21. 2009
Ratunku! Wirus mi nie działa...
Podobnież szaleje epidemia Downadup, o ogromnym rozmiarze... Postanowiłem wystawić sobie "ofiarę", czyli Windows XP SP3 (bez łatek). Niestety - wciąż nie udało mi się nic złapać. Kilka ataków miałem, ale kończyły się one błędem procesu svchost.exe, w kontekście którego pracuje atakowana usługa. W opcjach recovery ustawiłem restart po awarii usługi i wciąż czekam, aż jakaś działająca wersja na mnie trafi... Gdzie można się zgłosić po support dla wirusów? Mam logi z Dr Watson :)
Ciąg dalszy "Ratunku! Wirus mi nie działa..." »