Цитата:
Сообщение от KilRoy
|
Нет,по сравнению с настоящими "крутыми" руткитами и буткитами оба говно.
Это SSDT Хуки в 0 Кольце...
Ну нормальный Руткит в 0 кольце реализовать очень трудно,во первых надо писать собственный драйвер,во вторых надо найти метод внедрения драйвера в систему (Обойти Защиту "Driver Sign" )
Что как бы стоит дофига и в паблик выкладывать не будут. Пример - Царбер Буткит (20 000$ основные модули - Буткит неизвестно,около 40к наверное)
Реализация БУТКИТА это вообще...пиз**ц.
1. Надо внедрить 16 битный ASM код в MBR (Master Boot Record)
2. Найти уникальный метод для перехода на следующую стадию (Real Mode Switсh и тд)
3. Затем подгрузка 32 битного ASM кода , который в свою очередь подгружает уникальный драйвер в Ring0 при инициализации ОС Windows.
4. После загрузки Драйвер исполняет основную работу Буткита (Является полностью неуловим)
Фактически Буткит грузится до инициализации операцинной системы. Такая фигня стоит огого. Особенно хорошо написанный.
В Ring0 кольце Малварь может делать ВСЕ что ему пожелается..и даже таким крутым как "Kaspersky" часто поджигают анал. К примеру во время процветания TDL4 , У Кисовцев попки ужасно подгорели над его устранением.
В основном касперский проводит Hook всех API которые используют всякие НЕДО-Боты школоты (WriteProcessMemory, URLDownloadtoFileA (URLMon.DLL) , другие функции kernel32.dll, ntdll.dll )
Обойти каспера и его проактивку очень трудно,если ты сидишь в usermode.
Для средне-статистической малвари хорошего качества достаточно лишь Ring3 Руткита/System WIDE иньекции . Буткиты в основном для банковских троянов и тд,а цены для очень богатых "Кардеров".
так что довольствуйтесь тем что есть. Нубасики
