Wydajność mdd i win32dd
Narzędzia mdd i win32dd służą do zbierania obrazu pamięci fizycznej w celu jej późniejszej analizy. Krótkie porównanie ich wydajności oraz możliwości.
Narzędzia mdd i win32dd służą do zbierania obrazu pamięci fizycznej w celu jej późniejszej analizy. Krótkie porównanie ich wydajności oraz możliwości.
User data stolen from job site Monster. W skrócie dane użytkowników serwisu monster.com (mówi się o 4,5 miliona “ofiar”) “wyciekły”. Można dyskutować na ile ten wyciek jest poważny, wiele zależy od tego, co uzna się za sensitive data , w każdym razie – jest on faktem. Swoja drogą ciekawe jak pod tym względem wyglądają polskie portale tego typu.
Prawie rok temu przeglądając statystyki odwiedzin zauważyłem, że pojawiły się słowa kluczowe wskazujące na “zapotrzebowanie” na łamanie haseł serwisu Nasza Klasa , czego nie omieszkałem skomentować. Obecnie jest to najczęściej odwiedzany wpis na blogu. Niestety, czytający nie są najwyraźniej w stanie zrozumieć treści wpisu, najwyraźniej prawdą jest stwierdzenie o sumie inteligencji i wzroście populacji.
Pamięć mam dobrą, acz nader krótką. Choć pamiętam słowa kluczowe i wciąż udaje mi się odnaleźć to, czego potrzebuję, to postanowiłem w końcu zrobić jakąś listę. Jeśli ktoś jest zainteresowany, lista dostępna jest na wiki.
Przykład jakie dodatkowe informacje na temat wstrzykniętego kodu można uzyskać analizując zrzut pamięci przy pomocy debuggera. Konkretnie to jest to przykład innego podejścia wyszukiwania wstrzykniętego kodu poprzez analizę wątków działających w procesach oraz przykład na to, że takie podejście może pominąć całkiem ciekawe rzeczy. Treść na wiki, bo akurat zrzuty z debuggera lepiej tam się prezentują.
Znalezienie wstrzykniętego kodu nie jest zadaniem trywialnym. Według mnie to skuteczniejsza metoda “ukrycia się”, niż tworzenie usług lub sterowników. Można znaleźć sterowniki, można znaleźć usługi, natomiast wykrycie jakiegoś procesu, który prócz zamierzonych wykonuje dodatkowe operacje – jest nietrywialne. Oczywiście można wyeliminować problem usuwając program, który ten kod wstrzykuje (przypominam – mowa o wstrzykiwaniu kodu w trakcie działania programu, oryginalny plik wykonywalny nie zostaje zmodyfikowany, po każdym restarcie systemu “infekcja” musi nastąpić ponownie).
Lista procesów aktywnych w systemie jest jednym z podstawowych źródeł informacji o tym, czy przypadkiem nie działa jakiś “wrogi kod”. Problem w tym, że ów wrogi kod wcale na liście procesów pojawić się nie musi, co jednak wcale nie musi być równoznaczne z wykorzystaniem rootkita.
Podobnież szaleje epidemia Downadup, o ogromnym rozmiarze... Postanowiłem wystawić sobie “ofiarę”, czyli Windows XP SP3 (bez łatek). Niestety – wciąż nie udało mi się nic złapać. Kilka ataków miałem, ale kończyły się one błędem procesu svchost.exe , w kontekście którego pracuje atakowana usługa. W opcjach recovery ustawiłem restart po awarii usługi i wciąż czekam, aż jakaś działająca wersja na mnie trafi... Gdzie można się zgłosić po support dla wirusów? Mam logi z Dr Watson :)
Posiadanie zarejestrowanej działalności gospodarczej wiąże się z kilkoma irytującymi konsekwencjami.
These are some typical sounds we hear in our data recovery lab: Hard drive sounds.