The stuxnet malware has been making the press recently for two reasons. First it contains two drivers signed with a legitimate (at the time) cert. Second is it’s targeting SCADA systems. The malware is cool for a host of other geeky reasons. Nick Harbour, Stephen Davis, and I started looking at the malware Sunday afternoon. We had hoped to write a blog post about the specifics of the malware before we left for Vegas on Friday. However, in the short term I thought this malware would provide a great opportunity to demonstrate how memory analysis can be leveraged to find malware easily, and how the MANDIANT’s Indicator of Compromise editor (IOCe) tool can be used to describe the malware and what to look for.
|
|||||
|
Июль 22nd, 2010 | Tags: malware, myrtus and guava, rootkit, stuxnet | Category: Без перевода |
 Оставить комментарий | PrintИюль 20th, 2010 | Tags: malware, myrtus and guava, rootkit, stuxnet | Category: Вирусный анализ |
Оставить комментарий | PrintМожет быть вы еще не в курсе, но был найден довольно интересный вредоносный код, заточенный под промышленные системы. Драйверы-руткиты подписаны подписью компании Realtek, а распространяется вредоносная программа через уязвимость нулевого дня. На вопрос «Где деньги?» пока не ответил ни один вендор. На текущий момент в этой истории очень много белых пятен. Почему сэмпл был обнаружен компанией VBA? Почему обнаружен тогда, когда истекла подпись? Собственно говоря, где деньги? Пока мы в ЛК анализируем (я – руткит компоненты), можете прочесть первые 3 записи в блоге: Июль 19th, 2010 | Tags: malware, myrtus and guava, rootkit, stuxnet | Category: Вирусный анализ |
Оставить комментарий | PrintВ отладчике WinDbg существует специальная возможность – мэппинг драйвера. Отладчик может перехватить момент загрузки драйвера на тестовой машине и загрузить в память копию драйвера с машины разработчика. Эта способность избавляет разработчика от проблемы копирования файла драйвера на тестовую машину и, конечно, от забывчивости. Читать дальше «Использование мэппинга драйверов» Руткит TDSS, появившийся еще в 2008 году, со временем стал намного популярнее нашумевшего руткита Rustock, а по своему функционалу и сложности для анализа практически приблизился к буткиту. В бутките использовался механизм заражения загрузочной области диска, приводивший к загрузке вредоносного кода раньше операционной системы. TDSS взял на вооружение функцию заражения драйверов, которые обеспечивают его загрузку и работу на самых ранних этапах работы ОС. Как следствие, идентификация руткита TDSS в системе является нелегкой задачей, а его лечение — серьезной проблемой. Июнь 26th, 2010 | Tags: rootkit, tdl, tdss | Category: Вирусный анализ |
Оставить комментарий | PrintGetting started with Microsoft Windows device drivers can be difficult, even for experienced developers. This paper presents an overview of the debugging and testing tools that developers use to create a device driver for Windows operating systems. In particular, the paper examines ways to find and fix bugs early in development, to help you produce a high-quality device driver. WDK MVP Don Burn shares his experience and insights about the hardware and software you need for driver development, how to get started with the WDK build environments and Build utility, and tips, techniques, and tools for all phases of development. Неплохая статья для начинающих. Рекомендуется к просмотру. Операционная система Windows предоставляет разработчикам возможность использования альтернативного файла ядра. Прежде всего, это необходимо для того, чтобы заменить обычное ядро ОС на checked build. В ОС Windows 2000, Windows XP и Windows 2003 для этого необходимо отредактировать файл boot.ini. Для ОС Windows Vista и Windows 7 необходимо использовать команду bcdedit. Полное описание процедуры находится в MSDN. Читать дальше «Грамотная документация-2″ Май 9th, 2010 | Tags: boot ini, boot loader, msdn | Category: Внутренности Windows |
1 комментарий | PrintPrior to Windows Vista and Windows Server 2008 we had to keep a large page file on the system drive (typically drive C:) in order to properly capture system memory dumps for troubleshooting. This presented problems as systems with very large amounts of RAM became more common, resulting in requirements for very large amounts of free space on the C: drive, or requiring that system visible memory be artificially limited for troubleshooting purposes. This is no longer a requirement thanks to the Dedicated Dump File feature, which is available for use in Windows Vista and later operating systems. Microsoft проделали громадную работу по публикации документации Windows Driver Kit в MSDN. Она доступна онлайн в MSDN в любом месте и в любое время. |
|||||
|
Copyright © 2010 Волчьи IT-мысли - All Rights Reserved |
|||||
Загрузка ...