Доброго времени суток! Хотелось-бы покурить на тему сабжа Хотелось бы услышать ваши комментарии, может кто-то уже подобное реализовывал? Итак, нелегкий путь - написать руткит, который бы невозможно было бы выгрузить при его активности, детектировать тоже невозможно, лишь догадываться о его существовании по незначительным тормозам при выполнении привелигированных инструкций. А что? Вроде бы архитектура защищенного режима процессоров 80386 это позволяет. Понимаю, что африку открыл, но. Руткит получает привилегии 0-кольца. Модифицирует GDT, IDT под себя, только он (руткит) имеет доступ к нему. Привилегии ntoskrnl и всего остального искусственно понижаются до 1-го кольца, все обращения к регистрам отладки и системным регистрам, портам ввода-вывода жесткого диска, DMA, и пр. не выполняются, но тщательно эмулируются, примерно как в хорошей виртуальной машине. Если нужно вызвать функции операционной системы, типа winsock и проч. - создать отдельный (второй) стек операционной системы, невидимый для пользователя. Для входящий подключений порт не слушать. Просто ждать первого пакета пришедшего на любой (заведомо открытый) порт с уникальным ид. и паролем. P.S. Интересно, сколько человеко-дней нужно чтобы реализвать такой руткит? Лично мне он нафик не нужен. Просто, интересно )
Folk Acid vmware называется, делает всё что ты говоришь, только детектировать его особого труда не составляет
