Patch-Guard API

Тема в разделе "WASM.X64", создана пользователем kl, 11 июл 2010.

  1. kl

    kl New Member

    Публикаций:
    0
    Регистрация:
    8 июл 2010
    Сообщения:
    20
    Всем привет. Кто знает, где читать про эти апишки? Если не сложно, подкиньте линки. Есть мнение, что 64 битные оси _намного_ менее защищены по сравнению с 32 битными, потому что интеграция защитных программ в ядро практически невозможна. Что скажете?
     
  2. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
  3. x64

    x64 New Member

    Публикаций:
    0
    Регистрация:
    29 июл 2008
    Сообщения:
    1.370
    Адрес:
    Россия
    Не совсем так, потому что 64-битные Windows препятствуют проникновению в ядро, а значит обнаружить malware там проще, т.к. она уже не может скрыть себя так, как это было возможно раньше.
     
  4. kl

    kl New Member

    Публикаций:
    0
    Регистрация:
    8 июл 2010
    Сообщения:
    20
    Clerk

    Спасибо за линк. Интересная инфа.

    x64

    Можно подробнее в плане обнаружения ядерной 64 битной малвари? В 32 битах было все просто - RkU или XueTr в руки - и все видно, а под 64 я что то нормальных антируткитов не видел пока.
     
  5. x64

    x64 New Member

    Публикаций:
    0
    Регистрация:
    29 июл 2008
    Сообщения:
    1.370
    Адрес:
    Россия
    Что именно ты собрался там обнаруживать?

    Ну не всё, конечно.

    Я тоже.
     
  6. kl

    kl New Member

    Публикаций:
    0
    Регистрация:
    8 июл 2010
    Сообщения:
    20
    x64

    Понял, ладно, поставим вопрос чуть по другому: как обнаружить ядерный руткит средней руки в х64(инструменты, методы)?
     
  7. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    kl
    так для общего развития http://nobunkum.ru/issue001/rootkits-windbg.html
     
  8. kl

    kl New Member

    Публикаций:
    0
    Регистрация:
    8 июл 2010
    Сообщения:
    20
    О, спс!
     
  9. x64

    x64 New Member

    Публикаций:
    0
    Регистрация:
    29 июл 2008
    Сообщения:
    1.370
    Адрес:
    Россия
    Я тебя ещё раз спрашиваю: что именно ты собрался обнаруживать? Я тебе объяснить пытаюсь, что попасть и закрепиться в ядре на 64-битной системе - это не просто, и прежде всего руткитописателю придётся решить именно эту задачу. Вот с этого и надо начинать, а потом уже думать, как обнаруживать это. Я лично надёжных способов не знаю, все, что в паблике были, сейчас устарели. PG постоянно развивается и рано или поздно он придёт к такому виду, при котором руткит не сможет сделать вообще ничего. Именно поэтому я поднял вопрос о целесообразности обнаружения - что обнаруживать-то будем?

    Если руткит таки сумел обойти PG, то методы обнаружения будут практически все те же самые, что и для x86, но если нет, то - см. выше.
     
  10. kl

    kl New Member

    Публикаций:
    0
    Регистрация:
    8 июл 2010
    Сообщения:
    20
    x64

    Т е ты хочешь сказать, что PG - весьма неплохая идея? Просто PG обсирали все: хакеры - потому что он дырявый(Крис, например), Avеры и фаервольщики - потому что мешает встроиться в систему...
     
  11. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    kl
    Имелось ввиду реализация в 32битах видимо. А вообще покурите маны, про то, как оно работает в 64 битной системе. А то ваше суждение основано тока на мнении хакеров, а не на собственном опыте и знаниях.
     
  12. x64

    x64 New Member

    Публикаций:
    0
    Регистрация:
    29 июл 2008
    Сообщения:
    1.370
    Адрес:
    Россия
    Я лично обеими руками "за". Вкупе с проверкой подписей драйверов и некоторыми другими механизмами это делает современные Windows весьма защищёнными системами.

    Ну конечно он дырявый, но рано или поздно всё это будет исправлено.
     
  13. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    На одинаковом уровне привилегий понятие защиты не имеет смысла.
     
  14. TSS

    TSS New Member

    Публикаций:
    0
    Регистрация:
    13 апр 2009
    Сообщения:
    494
    Имеет, если время затраченное на вскрытие защиты многократно превышает время затраченное на её написание.
     
  15. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    TSS
    В данном случае не имеет. Пропатчим код выполняющий проверки и всё на этом(просто пример).
     
  16. Satsura

    Satsura S4(uR4 __r00tw0rm__

    Публикаций:
    0
    Регистрация:
    22 апр 2010
    Сообщения:
    374
    Адрес:
    Узбекистон, бляать!!11 :D
    Предупреждение
     
  17. zicker

    zicker Member

    Публикаций:
    0
    Регистрация:
    23 дек 2008
    Сообщения:
    132
    Никакая защита не поможет при "правильной" прокладке между монитором и креслом (99% пользователей, как минимум).

    Чем сложнее защищаемая система, тем сложнее ее защищать и тем проще она ломается, хотя это проще далеко не на поверхности.
     
  18. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    Спокойнее, а то опять последует цепочка банов. Будьте терпимее друг к другу.
     
  19. zicker

    zicker Member

    Публикаций:
    0
    Регистрация:
    23 дек 2008
    Сообщения:
    132
    Просто неприятно мат читать, да еще на транслите.
     
  20. green

    green New Member

    Публикаций:
    0
    Регистрация:
    15 июл 2003
    Сообщения:
    1.217
    Адрес:
    Ukraine
    Clerk
    +1.
    И PG, и подписывание драйверов - это защита от ошибочного, а не злонамеренного кода.
    МС теперь огребает за то, что в погоне за простотой для юзера способствовала практике выполнять обычную работу под админом. Вот и городит всяческие надстройки для защиты админа от админа.