chkrootkit -- locally checks for signs of a rootkit
chkrootkit is a tool to locally check for signs of a rootkit. It contains: chkrootkit: shell script that checks system binaries for rootkit modification. ifpromisc.c: checks if the interface is in promiscuous mode. chklastlog.c: checks for lastlog deletions. chkwtmp.c: checks for wtmp deletions. check_wtmpx.c: checks for wtmpx deletions. (Solaris only) chkproc.c: checks for signs of LKM trojans. c
Rootkit Hunter
Description Rootkit scannerProject information Rootkit scanner is scanning tool to ensure you for about 99.9%* you're clean of nasty tools. This tool scans for rootkits, backdoors and local exploits by running tests like: - MD5 hash compare - Look for default files used by rootkits - Wrong file permissions for binaries - Look for suspected strings in LKM and KLD modules - Look for hidden files - O
rootkit の動作とその対策についてまとめてみる (HVM rootkit と HVM security software) - a4lg の準技術的日記 (縮小運営中)
rootkit | 06:01HVM とは、Hardware Virtual Machine の略で、特に CPU の仮想化支援機能を使用した仮想マシンのことをいいます。今回は、この HVM を使用した rootkit と、逆に rootkit の検出や阻止、あるいはセキュリティ拡張を行うソフトウェアを紹介します。CPU の仮想化支援機能Intel や AMD の最近の CPU には、x86/x64 のプロテクトモードの仮想化を支援する機能が含まれるようになってきています。リアルモードに関しては仮想 8086 モードで仮想化が可能で、これは 80386 系列の CPU が必ず持っています。 (脇道) CPU の仮想化は必ずしも透過的な方法とは限らない仮想 8086 モードでは、EFLAGS の IOPL ビット (I/O 操作を行うことの可能な権限レベルを指定する) に 3 未満 (0〜2
rootkit の動作とその対策についてまとめてみる (Shadow Walker 編) - a4lg の準技術的日記 (縮小運営中)
NTOS, rootkit | 00:13個人的な興味から。x86 系 CPU におけるページングページングは、論理メモリと物理メモリの分離を実現する機能で、通常のオペレーティングシステムでは、主に次の用途に使用されています。オペレーティングシステムの使用するメモリ領域の保護タスクにおけるメモリ領域の分離このページングというのは、論理メモリ領域を (x86 系 CPU のほとんどでは) 4KB のページに分割し、その単位で物理メモリアドレスの割り当てなどが行えるメモリモデルです。x86 系 CPU では、ページテーブルを使用してこれらの変換を制御します。例:プログラムが、論理アドレス 0x12345678 を参照するCPU が、論理アドレス 0x12345000 (上位20ビット = 4KB 単位のブロック) に対応する物理アドレスをページテーブルより参照する この例では参照したページテー
HugeDomains.com
northsecuritylabs.com is for sale Please prove you're not a robot
第8回 ルートキットの分類を再考
セキュリティ・コンサルタント 村上 純一 本連載の第3回でルートキットをカーネル・モードとユーザー・モードに大別した。また,第4回ではさらにカーネル・モード・ルートキットを「実行パスを変えるもの」と「データを改ざんするもの」に分類した。 今回は,こうした分類とは別の観点で分類し,ルートキットの本質を考えてみたい。 改変されたデータの性質に注目 これまで紹介してきたようにルートキットはシステムの様々なリソースに変更を加えることでその機能を実現している。今回考えてみたい分類は,これらのリソースがOS起動後,通常OSやアプリケーションによって書き換えられるかどうかが大きくかかわっている。そこで回り道になるが,まず,この点を整理しておく。 ルートキットが改ざんする対象となるリソースとしては,以下が挙げられる。 モデル固有レジスタ - IDT(interrupt descriptor table)
第7回 メモリー上のデータを見えなくする(後編)
セキュリティ・コンサルタント 村上 純一 さて,前編では仮想アドレスの仕組みを解説した。これでメモリー上のデータを隠ぺいするツール「Shadow Walker」を説明するための土台は整ったことになる。 ではShadow Walkerについて述べよう。Shadow WalkerはOSやプロセスによるメモリー・アクセスをフィルタして,対象のメモリー上のデータを隠ぺいする。これを実現するために以下の三つ技術を実装している(図1)。 (1)OSやプロセスによるメモリー・アクセスをフィルタする (2)メモリー・アクセスの種類(読み出し・書き込み・実行)を識別する (3)メモリー・アクセスが「読み出し」または「書き込み」の場合は偽のデータにアクセスさせる 具体的には,(1)のためにページ・テーブルのPresentビットを書き換え,必ず例外ハンドラに処理が飛ぶようにする(図1【ポイント1】)。さらに処理
ハードウェアの難攻不落神話が崩壊――「Black Hat」で公開された衝撃のハッキング手法
2月28日に米バージニア州で開催されたBlack Hatでは、ハードウェアをハッキングする2種類の画期的な方法が紹介された。従来からの「神話」を見事に崩壊させてしまったのだ。 バージニア州アーリントン発――2月28日の「Black Hat Briefings」に参加していなければ、システムがrootkitの攻撃を受けても、再イメージングによって被害は防げるはずだと、枕を高くして眠れただろう。PCの揮発性メモリ、すなわちRAMは、PCIカードやFireWireバスを介さなければ調べられないと、高をくくっていたかもしれない。 だが、それは間違いだ。 28日に現地で開催されたBlack Hatでは、ハードウェアをハッキングする2種類の画期的な方法が紹介された。まず聴衆に衝撃を与えたのは、Coseincの上級セキュリティ研究者であるジョアンナ・ルトコウスカ氏が発表した、ソフトウェアを使用するシステ
GMER - Rootkit Detector and Remover
Thanks to: MR Team, CastleCops, ... Version History: This is list of changes for each release of GMER: 2.2 - Added support for Windows 10 - Improved files & disk scanning 2.1 - Added third-party software component scan - Improved services scanning - Improved registry scanning - Fixed Windows 8 x86 lock issue 2.0 - Added support for Windows 8 - Added full support for Windows x64 - Added Trace I/O f
ホワイトハッカー道場:ITpro
組織化された犯罪者たちは,日々,ソフトウエアやシステムのぜい弱性を探し, あの手この手でユーザーやシステムを狙ってくる。ユーザーは犯罪者の手口を見破 り,対策を打つ自己防衛の力を養わなければならない。コンピュータやネットワー クの奥を知り尽くした正義のハッカー「ホワイトハッカー」が,コンピュータ・セ キュリティの深層を解説する。 【ハッカー】 一般に,コンピュータやネットワークに対して深い技術知識 を持ち,技術的な探究心が旺盛な人を指す。 OSの挙動を調べるために,何時間 もかけてソース・コードを読破してプログラミング技術などを磨く。 ボット,スパイウエア,標的型攻撃--。攻撃者の目的が自己顕示欲から金銭を得ることに変わる過程で,ユーザーやウイルス対策ソフトから発見されないようにするテクニックがマルウエアに追加されるようになった。それがルートキットだ。目に見えぬルートキットの恐怖を第一線で
ソニー製USBメモリーのドライバーに問題――セキュリティ会社が指摘
セキュリティベンダーであるフィンランドのエフセキュアは2007年8月27日(現地時間)、ソニーのUSBメモリーに付属しているドライバーソフトには、特定のファイルやフォルダーを隠ぺいする機能が搭載されていることを明らかにした。この機能を悪用すれば、ウイルスなどを隠せる場合があるという。 問題のドライバーソフトは、「Sony MicroVault USM-F」という指紋認証機能付きのUSBメモリーに付属している(図)。このソフトは、Windows APIからは見えないようなフォルダーを「c:\windows」の下の階層に作成し、その中に関連するファイルをコピーする。フォルダー/ファイルを見えなくする技術には、不正アクセスの隠ぺいなどに使われるツールの一種「ルートキット(rootkit)」の手法が使われているという。 このフォルダーに保存されたファイルは、エクスプローラなどでは表示されないが、フ
【レポート】WindowsにおけるRootkitの現状と将来 - VistaのRootkit対策とは (1) Windowsへと対象を広げるRootkit | エンタープライズ | マイコミジャーナル
Rootkitという単語をご存知だろうか? 管理者(root)のためのツールキット(tool-kit)を想像された方は、おしい。Rootkitの利用者は、正規のシステム管理者ではなく、システムに不正に侵入した侵入者である。 元々Rootkitは、SolarisやLinuxといった、いわゆるUNIX系OSの文化圏で頻繁に悪用されてきた。こうしたOSはサーバー用途ということもあり、システムの管理者アカウントと一般ユーザのそれが古くから明確に区別されていたため、侵入者にとっての一つの目標は、管理者アカウントの奪取と維持であった。Rootkitは、奪取した管理者アカウントを維持するために利用され、侵入の痕跡となるシステムの情報を操作・隠蔽するマルウェア(不正プログラム)である。 一見すると、Windowsには縁のないように思えるが、近年、サーバ・クライアント問わずWindowsにおいてもRootk
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Stoned Bootkit
Free Virus Removal | Sophos Scan & Clean Free Tool
Rootkit.com
IT news, careers, business technology, reviews
F-Secure Blacklight Technology � Rootkit Remover/Removal Software
SubVirt: Implementing malware with virtual machines Samuel T. King Peter M. Chen University of Michigan {kingst,pmchen}@umich.edu Yi-Min Wang Chad Verbowski Helen J. Wang Jacob R. Lorch Microsoft Research {ymwang,chadv,helenw,lorch}@microsoft.com Abstrac
http://www.bo2k.com/whatis.html
Rootkit.com