Informacja o plikach, które znajdują się na NTFS umieszczona jest w $Mft. Dodatkowo jednak utrzymywane są indeksy, które pozwalają na bardziej efektywne listowanie plików w katalogach. Rekordy w $Mft (te dotyczące katalogów) mają dwa atrybuty:
$INDEX_ROOT,
$INDEX_ALLOCATION,
Czasami (jeśli zawartość katalogu jest na tyle mała), jest tylko atrybut $INDEX_ROOT. Czasami w (nieużywanej) części indeksu znajduje się informacja o plikach, które kiedyś były w katalogu. Informacja ta jest dość skromna, bo i indeksowanych informacji jest stosunkowo niewiele. Pozwala jednak stwierdzić, że jakiś plik istniał (w danym katalogu), oraz określić mniej więcej, kiedy istniał. Trochę dokładniejsze wytłumaczenie jest tutaj.
Dziś wybraliśmy się na Trzy Korony. Wycieczka byłaby zdecydowanie bardziej udana, gdyby nie te tłumy ludzi... Z ich powodu nie weszliśmy na platformę widokową, zamiast tego zrobiliśmy małe kółko zahaczając między innymi o Zamek Pieniński, niestety też w tłumie ludzi... A Sromowce Niżne się rozrosły od mojej ostatniej tam bytności (chyba w okolicach 1998 roku). Niby to zrozumiałe, postęp i te sprawy, ale tak jakoś pejzaż Trzech Koron stracił na uroku przez cały rząd domów i jakieś druty...
Wiem już, że kilka plików, które były wykorzystywane podczas infekcji, nie jest widocznych w systemie plików. Oznacza to (najprawdopodobniej), że zostały one usunięte...
Firma PayPal poinformowała o załataniu krytycznego błędu typu XSS (Cross-site scripting), który został znaleziony na jej stronie w ubiegłym tygodniu przez Harry'ego “piru” Sintonena, fińskiego specjalistę ds. bezpieczeństwa. Sprawa jest o tyle nietypowa, że luka znajdowała się na stronie opatrzonej certyfikatem EV (Extended Validation) SSL. I dalej: Pewnym zaskoczeniem jest, że w przypadku PayPala luka znajdowała się na stronie opatrzonej certyfikatem EV SSL – stworzonym m.in. po to, by zagwarantować internautom, że odwiedzana przez nich strona jest bezpieczna. EV jest rozwinięciem zwykłego SSL – PayPal był jednym z pierwszych przedsiębiorstw, które zdecydowało się na wdrożenie tego standardu w swoim serwisie. (źródło)
A co ma wspólnego SSL Extended Validation z XSS? SSL wymaga (pomijam egzotyczne przypadki) certyfikatu serwera. Certyfikat ten potwierdza autentyczność/tożsamość serwera. Certyfikaty EV mają ją potwierdzać “jeszcze lepiej” z uwagi na przestrzeganie bardziej rygorystycznych procedur ALE procedury te nie są w żaden sposób związane z bezpieczeństwem aplikacji. Taka sama sensacja, jak przy podpisanym cyfrowo malware.
Badania śladów zostawionych przez moje tamagotchi odcinek kolejny. Tym razem zobaczę co powiedzą o jego działaniu ślady zgromadzone w systemie plików. A konkretnie czego się można dowiedzieć porównując jego snapshot wykonany przed i po infekcji, jak również sprawdzę, czy uda się stworzyć jakiś timeline działań malware w systemie.
Mając ten komfort, że nikt nie będzie mi zarzucał naruszenie stanu obiektu badań, uruchomiłem na zainfekowanym systemie kilka narzędzi, które za zadanie miały zebrać pewne informacje o tym, co się w nim dzieje.