WNZ: Rygte: OS X 10.8 introduceres i juniWNZ: Hemmeligt facelift til iPad 2WNZ: Apple overvejede fysisk tastatur til iPhone
Diablo III's Real-Money AH rykkes til "soon"-tidsramme på grund af lanceringsproblemerSquare Enix: Activision må være tossede for at droppe True Crime: Hong KongAnalytiker: Grand Theft Auto 5 sælger mindst 14 millioner eksemplarerMinecraft rammer 9 millioner solgte eksemplarerNy, lang gameplay-trailer til Sleeping DogsNy gameplay-video fra Sniper: Ghost Warrior 2 tager os til BosnienJapansk lanceringstrailer til Anarchy ReignsHvornår har du sidst været til LAN?
17. nov. 2010 14:05Sikkerheden under Windows 7 er rost for at være på et højt niveau, men det afholder ikke cyberkriminelle i at finde huller og udnytte dem. Et af de seneste huller er opdaget i måden, Windows 7 signerer sine drivere.
Rootkittet TDL4, der er seneste generation af de tidligere rootkits TDL1, TDL2 og TDL3, adskiller sig fra forgængerne ved at kunne omgå den stramme sikkerhed omkring signering af drivere.
For at forhindre uvedkommende drivere tjekker systemet via en proces kaldet "kernel mode code signing policy", at en driver er tilladt. Der kigges på værdien for indstillingen "LoadIntegrityCheckPolicy", og er værdien lav, så tillades driveren.
Det udnytter TDL4, der indlæses via MBR'en (Master Boot Record), idet den i hukommelsen sørger for, at værdien for "LoadIntegrityCheckPolicy" har den rette værdi, når der skal indlæses en inficeret fil.
Udover at kunne omgå Windows 7's driversikkerhed, er det også meget svært at finde ud af, hvordan den virker, da den den er lavet, så den er svær at debugge.
17. nov. 2010 14:14
Så vi skal bare upgrade til UEFI.. skal ikke skille os ad :p
I like my beer cold, my TV loud and my homosexuals flaming.
17. nov. 2010 14:30
Hvordan gør man noget svært at debugge? Ved at ændre koden til intet-sigende navne? >.< julemand1, julemand2, JUleMand? Eller hvad? :p
17. nov. 2010 14:36
#2: Jo, det er skrækkeligt at læse sådan noget. Jeg prøver at indsende nogle rettelser.
Umiddelbart lyder det her rootkit som noget man kun kan installere selv og kun med admin-rettigheder.
17. nov. 2010 14:41
#3... ITU?
Witzner? :)
An expert is a person who has made all mistakes in a very narrow profession - Niels Bohr
17. nov. 2010 14:42
#3
det kan man bla ved at skrive en række rutiner der tjekker om softwaren (rootkitten) afvikles under en debugger og hvis dette er tilfældet crashe debuggeren eller på anden måde forhindre debuggeren til at snuse rundt i softwarens hukommelse. :)
What the Hack? O_o
17. nov. 2010 14:42
Hvordan gør man noget svært at debugge? Ved at ændre koden til intet-sigende navne? >.< julemand1, julemand2, JUleMand? Eller hvad? :pTimon5022 (#3)
Variabelnavne er ikke med i binaries. Debugging af binaries fungerer ved at indsætte ting i koden og rootkittet sørger så for (aktivt) at ødelægge det som bliver indsat for at gøre det svært at reverse engineer'e dette rootkit ved at observere opførselen med en debugger.
17. nov. 2010 14:57
#3
det kan man bla ved at skrive en række rutiner der tjekker om softwaren (rootkitten) afvikles under en debugger og hvis dette er tilfældet crashe debuggeren eller på anden måde forhindre debuggeren til at snuse rundt i softwarens hukommelse. :)bitsmurf (#6)
Tja... obfuskere koden med et eller andet åndsvagt tool og indsætte alt muligt lort når du attatcher debuggeren....
Lyder som en plan.
//Hvorfor? Tjooo fordi jeg kan.
17. nov. 2010 15:42
MS hacker.
Hacker cracker hacket.
(MS ansætter en hacker til at cracke cracket af hacket)
MS cracker cracket af hacket.
Hacker cracker cracket.
MS cracker cracket af cracket.
...
17. nov. 2010 15:50
Hvordan gør man noget svært at debugge? Ved at ændre koden til intet-sigende navne? >.< julemand1, julemand2, JUleMand? Eller hvad? :pTimon5022 (#3)
man fjerner console.writeline() linierne ;)
17. nov. 2010 15:55
#3 man bruger et hav af c++ templates (går ud fra lortet er lavet i c++), gør brug af en pokkers masse makroer, og så compiler man skidtet med højeste optimization med en intel compiler... Plejer at gøre skidtet fuldstændigt uoverskueligt :)
17. nov. 2010 16:00
Sikkerheden under Windows 7 er rost for at være på et højt niveau [...]#0
Heh, det har ændret sig. F.eks. har Stuxnet exploits til både XP og 7 for at opnå administratoradgang. Microsoft har udtalt, at de ikke sender nogen rettelser lige foreløbigt (ifl. en pdf fra nyheden om Stuxnet).
You are in control of your breathing, your arms have weight, you are controlling your blinking, and you can feel your tongue in your mouth.
17. nov. 2010 16:03
#5
Præcis!
Da jeg læste denne nyhed, så var det sjovt nok det første jeg kom i tanke om :p
17. nov. 2010 16:14
#11 Når man ikke har koden som rootkittet er compiled fra så er det fuldstændig irrelevant hvordan og hvorvidt koden gør brug af makroer. Når man har kørt det igennem optimeringsfasen i GCC (eller lignende), så ligner den binære fil alligevel ikke koden på nogen som helst fornuftig måde.
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
