порекомендуйте bootkit для изучения

Discussion in 'WASM.OS.DEVEL' started by sn0w, Mar 24, 2011.

  1. sn0w

    sn0w Active Member

    Blog Posts:
    0
    чтонибудь несложное (/неизощренное), как был NtRoot в классе rootkit

    ап не уточнил - под винду
     
  2. MisHel64

    MisHel64 Member

    Blog Posts:
    0
    Visual Basic?
     
  3. Babyshamble

    Babyshamble New Member

    Blog Posts:
    0
    tdl, сорцы в паблике
     
  4. felize

    felize New Member

    Blog Posts:
    0
    http://thepiratebay.org/torrent/5440245/Stoned_Bootkit_Framework_1.0c
     
  5. Babyshamble

    Babyshamble New Member

    Blog Posts:
    0
    Stoned это фигня, bootmgr пакованый везде.
     
  6. ohne

    ohne New Member

    Blog Posts:
    0
    в том файле что есть нет ничего связанного с буткитом
     
  7. XshStasX

    XshStasX New Member

    Blog Posts:
    0
    Babyshamble
    То есть, можешь подробней ? Это в win 7 ??
     
  8. Babyshamble

    Babyshamble New Member

    Blog Posts:
    0
    Ну судя по тому что написанно в pdf stoned они патчат bootmgr winload и т.п. для того чтобы последовательно обойти все проверки, но PE который зашит в bootmgr везде запакован. Как пропатчить запакованный файл на лету ?
     
  9. XshStasX

    XshStasX New Member

    Blog Posts:
    0
    Babyshamble
    спасибо, я это читал но с англ. плохо( не смог это понять.
    я так понимаю все системные длл тоже проверяются ?..
     
  10. XshStasX

    XshStasX New Member

    Blog Posts:
    0
    еще есть vbootkit2 для win 7 x64
     
  11. Cr4sh

    Cr4sh New Member

    Blog Posts:
    0
    Запакован только bootmgr, однако, буткиту нет необходимости его патчить, т.к. на новых системах этот bootmgr представляет собой, по сути, заглушку для систем без поддержки EFI, которая нужна для только для запуска winload.exe
    Именно winload.exe осуществляет основную работу по загрузке ядра и boot-драйверов, и именно его нужно патчить для отключения code integrity checks и прочих вещей. Технически - это совершенно тривиальная задача, поскольку сам winload никак не защищён и не запакован.
     
  12. M0rg0t

    M0rg0t Well-Known Member

    Blog Posts:
    0
    _http://fyyre.ivory-tower.de/ - вот здесь есть какой-то буткит на фасме
    Насколько он актуален - мне сложно судить, ибо не разбираюсь в таких технологиях.
     
  13. Babyshamble

    Babyshamble New Member

    Blog Posts:
    0
    Bootmgr проверяет интегрити winload.exe, так что его нужно патчить. А про статьи забудьте, это все фигня, рабочий способ вам никто не даст, тем более тот который можно использывать, а не такой что руками распакуйте, пропачте и запакуйте, у вас на все про все 8 секторов патчинга на лету.
     
  14. Aids

    Aids New Member

    Blog Posts:
    0
  15. alexkug

    alexkug New Member

    Blog Posts:
    0
    а не можешь подсказать ссылку или как найти?