link もっと前
   2007年 2月 14日 -
      2007年 2月 14日  
link もっと後

link 未来から過去へ表示(*)
link 過去から未来へ表示

日々

link permalink

rootkit

昨日に続き某プロテクトを眺めていたら、もう一つ発見しました。

Windows ではプロセスの構造体を Active List という双方向?リストで繋いでいます。ところが腐れプロテクトはリストを壊して自分の前と後ろを繋いでしまいます。そうすることで自分は居ないかのように見せかけています。

しかしそのままでは OS からも見えないため、実行されなくなります。そのため自分のプロセスが持っているスレッドを、適当なプロセス(恐らく ID:8 の System プロセスだと思います)に押しつけて実行させます(※)。

SSDT に加え、カーネルオブジェクト書き換えと来たもんだ…。このゴミプログラムは何やってくれてるんでしょうね、ほんと最低です。

(※)カーネルオブジェクト書き換えは Fu rootkit という rootkit が使用しているそうです。

[編集者: すずき]
[更新: 2007年 2月 14日 21:07]
link 編集する

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



link もっと前
   2007年 2月 14日 -
      2007年 2月 14日  
link もっと後

管理用メニュー

link 記事を新規作成

合計:  counter total
本日:  counter today

link About www.katsuster.net
RDF ファイル RSS 1.0
QR コード QR コード

最終更新: 8/23 23:38

カレンダー

<2007>
<<<02>>>
----123
45678910
11121314151617
18192021222324
25262728---

最近のコメント 5件

  • link 19年07月18日
    hdk 「あっ、AAMはマニュアルのオペレーション...」
    (更新:07/25 00:02)
  • link 19年07月18日
    すずき 「AAM(ASCII Adjust AX ...」
    (更新:07/24 22:22)
  • link 19年07月18日
    hdk 「加算減算は符号のありなしどちらも命令が同...」
    (更新:07/24 07:25)
  • link 19年07月18日
    すずき 「OFをセットして例外を出したければINT...」
    (更新:07/20 11:02)
  • link 19年07月18日
    すずき 「MUL については、結果が倍のビット幅に...」
    (更新:07/20 10:56)

最近の記事 3件

link もっとみる
  • link 19年08月21日
    すずき 「[RockPro64 と linux-next とヘッドフォン] ...」
    (更新:08/23 23:38)
  • link 19年08月12日
    すずき 「[独自の apt サーバー - その 3 - apt の信頼シ] ...」
    (更新:08/12 12:13)
  • link 19年08月11日
    すずき 「[独自の apt サーバー - その 2 - apt-ftpa] ...」
    (更新:08/12 12:13)

こんてんつ

open/close wiki
open/close Java API

過去の日記

open/close 2002年
open/close 2003年
open/close 2004年
open/close 2005年
open/close 2006年
open/close 2007年
open/close 2008年
open/close 2009年
open/close 2010年
open/close 2011年
open/close 2012年
open/close 2013年
open/close 2014年
open/close 2015年
open/close 2016年
open/close 2017年
open/close 2018年
open/close 2019年
open/close 過去日記について

その他の情報

open/close アクセス統計
open/close サーバ一覧
open/close サイトの情報