5.1.1 Aplikacijski RootKit alati za Windows operacijske sustave Nepoznat - u razvoju
Sažetak:
RootKit programi posebna su kategorija malicioznih programa koje neovlašteni korisnici postavljaju na sustav nakon što su inicijalno ostvarili pristup. RootKit programi osim što napadaču omogućuju nesmetan pristup sustavu i nakon što je uklonjen sigurnosni propust putem kojeg je inicijalno ostvaren pristup, također se i vrlo vješto prikrivaju na sustavu što znatno otežava njihovu detekciju. Ovisno o načinu rada, RootKit programi mogu se podijeliti u dvije skupine: application- level (oni koji djeluju na aplikacijskom sloju) te kernel-level RootKit programi koji se integriraju u samu jezgru operacijskog sustava. Dokument opisuje osnovne karakteristike i načine rada aplikacijskih RootKit prorama za Windows operacijske sustave te konkretne primjere tehnika i alata koji se koriste u ovom smislu. Također su analizirane osnovne mogućnosti zaštite od ovakvog tipa malicioznih programa te primjeri alata koji se koriste u ovu svrhu.
Opis
Datum objave15.10.2004.
Ključne riječiuser-level # user-mode # kernel-level # kernel-mode # zlonamjerna aplikacija # jezgra # scenarij napada #informacije o ciljnom sustavu # kompromitiranje # instalacija alata # Windows okruženje # Windows File Protection # WFP # umetanje koda # DLL injection # API hooking # tehnika napada # FakeGINA # Code Red II # AFX Windows RootKit #logon process # winlogon"msgina.dll # fakegina.dll # passlist.txt # registry # Dllcache # SFCDisalbe # kernel debugger # integritet datoteka # prevencija # detekcija # hardening system # security template # Windows Security Scoring Tool # FileChechMD5
IDCCERT-PUBDOC-2004-10-94
Pogledati dokumente:
Microsoft Windows
CCERT-PUBDOC-2004-10-94.pdf
Vrh stranice