|
|||||
|
This article in our series focused on Microsoft’s free security tools is on a tool called BinScope Binary Analyzer. This tool can be helpful for both developers and IT professionals that are auditing the security of applications that they are developing or deploying/managing.  SWW | Август 16th, 2012 | Tags: binscope, microsoft, security | Category: Без перевода |
 Оставить комментарий | PrintSWW | Август 2nd, 2012 | Tags: драйвер, сертификат | Category: Программирование |
Оставить комментарий | PrintSWW | Июль 4th, 2012 | Tags: android, rootkit | Category: Без перевода |
Оставить комментарий | Print
«Многие считают что самому создать драйвер для Windows это что-то на грани фантастики. Но на самом деле это не так. Конечно, разработка драйвера для какого-то навороченного девайса бывает не простой задачей. Но ведь тоже самое можно сказать про создание сложных программ или игр. В разработке простого драйвера нет ничего сложного и я попытаюсь на примерах это показать. Сперва нам нужно определится в чем мы же будем создавать наш первый драйвер. Поскольку материал ориентирован на новичков, то язык программирования был выбран один из простых, и это не Си или ассемблер, а бейсик. Будем использовать один из диалектов бейсика — PureBasic.» Нууу… Количество буткитов неуклонно растет. Новые буткиты появляются разные — сложные и простые, служащие разным целям (это могут быть и руткиты, и троянцы-вымогатели). Не брезгуют вирусописатели и анализом вредоносного кода конкурентов. Сегодня мало кого из экспертов можно удивить очередным буткитом — тема инфицирования загрузочной записи исследована довольно глубоко, и в интернете достаточно информации на этот счет. Однако на этот раз нам попался довольно интересный экземпляр: файловый инфектор Xpaj, дополненный функционалом буткита, работающего как под Windows x86, так и под Windows x64. Интересен он прежде всего тем, что под Windows x64 при работающем механизме защиты Patch Guard успешно функционирует с установленным сплайсингом в ядре, защищая инфицированную загрузочную запись от чтения и модификации. В данной статье я рассмотрю работу руткита только под Windows 7 x64, работу руткита под Windows x86 рассматривать не имеет смысла, т.к. алгоритм работы руткита в обеих ОС примерно одинаковый. SWW | Июнь 18th, 2012 | Tags: bootkit, Patch Guard, rootkit, x64, XPAJ | Category: Вирусный анализ |
3 комментариев | PrintWe wanted to continue our dialog about data storage by talking about the next generation file system being introduced in Windows 8. Today, NTFS is the most widely used, advanced, and feature rich file system in broad use. But when you’re reimagining Windows, as we are for Windows 8, we don’t rest on past successes, and so with Windows 8 we are also introducing a newly engineered file system. ReFS, (which stands for Resilient File System), is built on the foundations of NTFS, so it maintains crucial compatibility while at the same time it has been architected and engineered for a new generation of storage technologies and scenarios. In Windows 8, ReFS will be introduced only as part of Windows Server 8, which is the same approach we have used for each and every file system introduction. Of course at the application level, ReFS stored data will be accessible from clients just as NTFS data would be. As you read this, let’s not forget that NTFS is by far the industry’s leading technology for file systems on PCs. SWW | Январь 18th, 2012 | Tags: msdn, ReFS, windows 8 | Category: Без перевода |
Оставить комментарий | PrintНи для кого не секрет, что в некоторых легальных продуктах используются руткит-технологии. В антивирусных продуктах различные проактивные механизмы защиты применяют перехваты системных функций в том или ином виде. Вредоносный код также использует подобные алгоритмы, однако, антивирусное ПО, в отличие от вредоносного кода, не пытается скрыть модификации, произведенные в системе. Насколько вообще оправдано использование руткит-технологий в легальном программном обеспечении? Насколько при использовании таких технологий в легальных продуктах велик риск компрометации операционной системы и пользовательских данных? Насколько тонка грань между легальными и киберкриминальными методами? Возможность заражения BIOS существует довольно-таки давно. Одна из лучших, на мой взгляд, статей на эту тему размещена в журнале Phrack, а на ресурсе pinczakko расположено много полезной информации. В данный момент прослеживается очевидная тенденция, которую я бы обозначил как «возвращение к истокам». Заражение MBR, перехваты указателей в различных системных таблицах операционной системы, заражение системных компонентов — все это уже было, и очень давно. Как и в случае с MBR заражение BIOS позволяет вредоносному коду инициализироваться очень рано, сразу после включения компьютера. С этого момента появляется возможность контролировать все этапы загрузки компьютера и операционной системы. Очевидно, что такой метод загрузки привлекателен для вирусописателей, однако очевидны и трудности, с которыми они сталкиваются. Прежде всего — это неунифицированный формат BIOS: создателю вредоносной программы необходимо поддержать BIOS от каждого производителя и разобраться с алгоритмом прошивки в ROM. SWW | Сентябрь 15th, 2011 | Tags: mybios, rootkit | Category: Вирусный анализ |
Оставить комментарий | PrintНиже пойдет речь исключительно об OllyDbg и плагинах к ней, но описанный подход и сами идеи при определенных навыках вы сможете использовать применительно и к другим утилитам такого класса. Если эти строки вы читаете, борясь с желанием закрыть окно браузера оттого, что далеко не уверены, будет ли сказано далее что-то для вас новое и оригинальное, то ответьте для себя на следующие вопросы: Как работает функция IsDebuggerPresent? Если ее не вызывать из kernel32, а реализовать ее функционал в своем коде, то получится ли обмануть анти-антиотладку? Как плагин скрывает процесс отладчика (чтобы его подопытная программа не завершила по имени или не прекратила свою работу)? Если на эти вопросы вы с легкостью отвечаете и еще можете рассуждать на эту тему и рассказать в каком плагине что да как, то статья вряд ли откроет вам на что-то глаза или сможет показать хоть что-то новое, но если прочитать все же хочется или вопросы несколько озадачили, то рекомендую к прочтению. Читать дальше «Свежий взгляд на антиотладку» priv8v | Июнь 2nd, 2011 | Tags: anti-debug, IsDebuggerPresent, анти-отладка | Category: Отладка |
4 комментариев | Print |
Сколько способов загрузки неподписанных драйверов на x64 (vista+) вы знаете?
Total Voters: 112  Loading ... |
||||
|
Copyright © 2013 Волчьи IT-мысли - All Rights Reserved Powered by WordPress & Atahualpa |
|||||