[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00494] Re: NTrootkit

To: port139@xxxxxxxxxxxxx
Subject: [port139:00494] Re: NTrootkit
From: Yasuyuki Horikoshi <holly@xxxxxxxxxxxxxxxxx>
Date: Fri, 10 Aug 2001 19:03:16 +0900

堀越です。

On Fri, 10 Aug 2001 16:45:33 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:

> winmsd やリソースキットの drivers.exe を利用すると _root_.sys の存在
> がわかりますので、システムでロードされているドライバを winmsd でファ
> イルなどへ出力していれば、名前が変更されていても検知できると思います。
> 
> うーん、でもこれもきっと理論上は消すことできますよね？

winmsd は良くわかりませんが、リソースキットの drivers.exe(NT4.0のやつ) 
は ntdll.dll の NtQuerySystemInformation という API を使用して情報を取得
しています。
NtQuerySystemInformation は SYSTEM_PROCESS_INFORMATION という構造体のメ
ンバにモジュール名を入れて返しますが、これは単なる UNICODE 文字列なので
簡単に書きかえられます。
ということは ntrootkit のお得意パターンで NtQuerySystemInformation をフッ
クしてやってモノホンの API が返す関数の中に _root_ を見つけたら表示しな
いという NewNtQuerySystemInfomation を用意すれば消せちゃう、ってことです
ね。
何故、現時点で NtQuerySystemInformation を乗っ取っていないのかは不明。

rootkit の開発っていうのはプログラミング技術よりもシステムに対する深い理
解が必要ですね。(その分解析する方も勉強になるが)


On Thu, 09 Aug 2001 13:28:56 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:

> 昔の 31 のならソース持ってますけど、いります？

ありがとうございます。
良く探したら ntrootkit の 31 のソースは持ってました(HDD の肥やしになって
いた)。
まだソースは見てないですが、いはらさんの POSIX サブシステムからのファイ
ルアクセス実験で私の推測(ntrootkit がWin32サブシステムとカーネルモードの
間で動作するという)が間違っていたことが証明されていますね。スンマセン。


 -----
 堀越<holly@xxxxxxxxxxxxxxxxx>

Follow-Ups:
- [port139:00497] Re: NTrootkit
  - From: Hideaki Ihara

References:
- [port139:00486] NTrootkit
  - From: Hideaki Ihara
- [port139:00488] Re: NTrootkit
  - From: Hideaki Ihara

Prev by Date: [port139:00493] Re: port139 呑み会
Next by Date: [port139:00495] Re: [port139:00441] オフラインでの整合性チ�ェック
Previous by thread: [port139:00488] Re: NTrootkit
Next by thread: [port139:00497] Re: NTrootkit
Index(es):
- Date
- Thread