タグ
ntdll.dllの書き換えとCRCチェックの回避 - KENJI’S BLOG
2 users
ntdll.dllはシステムディレクトリに格納されており、WFP(Windows File Protection)で守られているわけですが、これを、sfc_os.dllがエクスポートしている、エクスポート序数が「5」の関数とか、sfc.dllのエクスポート序数「2」の関数を使うことで、WFPを無効に... 続きを読む
Flashアニメでrootkitに感染、チベット騒乱便乗攻撃止まず - ITmedia エンタープライズ
8 users
Flashアニメでrootkitに感染、チベット騒乱便乗攻撃止まず 中国人選手の名演技やチベット関連写真が表示されている陰で、PCは多数のrootkitに感染している。 [ITmedia] 北京五輪とチベット騒乱に便乗したマルウェアが相次いで出現している。セキュリティ企業の... 続きを読む
マスターブートレコードに感染するrootkit攻撃が発生 - ITmedia News
11 users
速報 マスターブートレコードに感染するrootkit攻撃が発生 PCを起動すると最初に読み込まれるHDDのマスターブートレコードを狙ったrootkit攻撃が発生している。 2008年01月10日 08時27分 更新 PCのHDDのマスターブートレコード(MBR)に潜むrootkitが出回ってい... 続きを読む
第7回 メモリー上のデータを見えなくする(後編):ITpro
12 users
セキュリティ・コンサルタント 村上 純一 さて,前編では仮想アドレスの仕組みを解説した。これでメモリー上のデータを隠ぺいするツール「Shadow Walker」を説明するための土台は整ったことになる。 ではShadow Walkerについて述べよう。Shadow WalkerはOSやプ... 続きを読む
キャッシュ構造とTLB
23 users
セキュリティ・コンサルタント 村上 純一 前回に引き続いてルートキットで利用される技術について紹介したい。今回紹介するのは,「Shadow Walker」という技術だ。前回ルートキットの技術を二つに分類したが,これはそのうちの実行パスの改ざんに当たる技術とい... 続きを読む
第1回 ルートキットの進化を追う:ITpro
36 users
セキュリティ・コンサルタント 村上 純一 昨今,ボットやスパイウエアなどのマルウエアによる被害が増加している。こうした最近のマルウエアには,ユーザーから自身の姿を隠すために,ルートキットと呼ぶソフトウエアが併用されていることが多い。ところが,ル... 続きを読む
ホワット・ア・ワンダフル・ワールド WARNING: "sys_call_table" undefined!
2 users
Linux Kernel Hacking LKMによるシステムコールのフック を見て,テキトーに #include <linux/module.h> #include <linux/kernel.h> #include <linux/init.h> #include <linux/utsname.h> /* struct old_utsname */ #include <asm/unistd.h> /* __NR_uname */ e... 続きを読む
