[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00497] Re: NTrootkit

To: port139@xxxxxxxxxxxxx
Subject: [port139:00497] Re: NTrootkit
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Fri, 10 Aug 2001 21:37:47 +0900

こんばんは、伊原です。

Yasuyuki Horikoshi さんは書きました:
>> うーん、でもこれもきっと理論上は消すことできますよね？
>
>クしてやってモノホンの API が返す関数の中に _root_ を見つけたら表示しな
>いという NewNtQuerySystemInfomation を用意すれば消せちゃう、ってことです

なーるほどぉ、やっぱり隠せますよねぇ・・・
まぁ今は”頭かくして尻隠さず”というところでしょうか(^^;;

でもデバイスドライバ関連も _root_ を持つ場合には表示しないとなると、
例えばパケットキャプチャドライバ(_root_packet.sys みたいなの）の存在
がわからなくなるので怖いですねぇ。

さすがに回復コンソールでも表示されないようにするのは難しいんでしょう
けど・・・


---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

References:
- [port139:00494] Re: NTrootkit
  - From: Yasuyuki Horikoshi

Prev by Date: [port139:00496] Re: port139 呑み会
Next by Date: [port139:00498] Re: port139 呑み会
Previous by thread: [port139:00494] Re: NTrootkit
Next by thread: [port139:00510] LKM rootkit の検知方法
Index(es):
- Date
- Thread