Rootkity: skrytí přítomnosti v systému

Takové hříšné prachy jsem dal za Váš systém ...

a tím myslím informace kdo je firma First 4 Internet, kde sídlí a co se s ní stalo po odhalení jejich rootkitů.

Na zadost efbijaj ji koupil Mrkvosoft.

Veta "Filter driver je přidán do existujícího ovládače, přičemž zachytává žádosti na zařízení. Většinou slouží k přidání funkcionality, a to bez nutnosti kompletního přepsání ovládače." - neni pravdiva, protoze filtr driver nijak nemeni existující "ovládač" a nic se v nem nikde neprepisuje.
Filtr driver se instaluje nad nebo pod "standardni" (function) driver daneho zarizeni, tzn. dostava IRP pakety pred nebo po "standardnim" driveru. Filter driver muze napr. zajistovat kompresi/sifrovani dat pri zapisu na HDD s NTFS, jako filtry se instaluji drivery antiviru apod.
"Standardni" driver o filtru normalne nic nevi, protoze ten muze byt nainstalovan kdykoli pozdeji a vi o nem plug-and-play manager (podle zapisu v registrech). Filtr driver nemusi jen rozsirovat, ale muze i omezovat "standardni" driver, pripadne i opravovat nejake chyby v nem atd. Ale to jsou uz prilis podrobne technicke informace.
Rada informaci v clanku neni zcela pravdiva a chtelo by to jeste trochu studovat. Priznavam, studovani dokumentace a psani driveru je drsny programatorsky vopruz :)
Presto si tohoto clanku cenim, protoze v .cz je clanku s podobnymi informacemi jen pomalu a verim, ze to nebude posledni takovy clanek. I kdyz zrovna rootkity jsou chapany trochu hystericky. Prumernemu uzivateli asi rootkity (dle meho nazoru, napr. ve srovnani s ad/spywarem) moc nehrozi...
PS: Ano, vyse uvedena informace plati jen pro Windows, ale on je v podstate cely clanek jen o rootkitech ve Windows, takze me linuxaci nekamenujte :)

Docela dobry clanek!

Dobrý článek.
Snad by bylo nejsnažší mít nějaké live-boot-CD (třeba s WinXp nebo Linuxem)
a z něho pak po nabootování skenovat kontrolované PC na viry, spyware i rootkity
Snad to umí například Avast-bart ci AVG-live CD...??
A nebo si ůze rootagem toto čisté live-cd vytvořit a přidat skenery rootkitů...

Take neni spatne jako 1. kontrolu scanovat podezrela PC po siti, vetsina souboru/procesu je skrytych jen lokalne.

MP

Obcas se i na Zive objevi dobre napsany a uzitecny clanek.
Diky. jen tak dal
P.S.:sem tam hrubka zamrzi, ale az tak mi nevadi, pokud clanek stoji za to i tak...

...

Dobry clanek!

...používat personální firewall. Pro běžné použití postačí i ten integrovaný ve Windows (XP SP2, Vista)...

Pokud uživatel na Windows XP s právy administrátora nevědomky nainstaluje rootkit (například ten od Sony), nikdy se s firewallem integrovaným v systému nedozví o odesílaných datech. Proto považuji tento firewall jako nedostačující.

ked rootkit ziska plnu kontrolu nad systemom tak uz ziadny firewall nepomoze

Dobry firewall vzdy vi, co jde pres sitovku. Rootkit muze byt tak dobry a obejit firewall, ale nepredpokladam ze se mu to bude bezne darit. Napr. kdyz dobry firewall odstrelite, tak uz zadny paket nikam neposlete. Jo, jde to znovu rozbehnout, ale chce to praci ...

vsetko zalezi na sposobe implementacie rootkitu, v prvom rade treba riesit pricinu nie dosledky, pretoze rootkit moze byt vyuzity na N sposobov a nie len na odosielanie dat ako v medializovanom pripade SONY

Ahoj. Vypadá to, že jsem si to CD od SONY nedavno do mechaniky strčil, jak sem viděl okénko, tak jsem ho zavřel, ale revealer mi tam našel divný položky v registrech (regedit teda tvrdil, že klíč neexistuje, ale vy výpisu ho měl...), pak nějaký delší soubory, ale rootkit revealer se zasekl při zkoumání tohoto klíče a dále nepokračoval a úplně vytuhnul...

Nevíte někdo prosím, jak tento rootkit odstranit (ten program, co vydalo sony prý jen přetstírá, že rootkit odstraní a může to po něm být ještě horší...)

NOD32 je vosk? A určitě jsou i další. Rozšíření AV právě o tuto ochranu je jasný a logický krok, nikdo snad netouží používat na každý typ ohrožení PC jiný software a o všechen se starat. Proto je kombinovaná ochrana proti všemu malwaru velmi vhodná.

Som rad, ze niekto pise aj na zive taketo clanky, ktore maju vyssiu informacnu hodnotu, nez fotky hostesiek na vystave, alebo info o zaplatach os na tento mesiac. Budem sa tesit na dalsie podobne clanky, v domku "viry a bezpecnost" take (zaial) ojedinele.

Článek je napsán dost chaoticky a na mnoha místech mírně řečeno nepřesně. Přitom neobsahuje tu nejdůležitější informaci -- aby útočník mohl rootkit úspěšně do systému nasadit, musí už mít právo roota.

to presne ma napadlo, bez práva root sa rootkit nenainštaluje, takže:
1. nebežať pod rootom
2. neinštalovať pochybný software resp software u ktorého nie je 100 % istota, že je OK
3. bezpečnostné záplaty -to keby sa vyskytla chyba ktorá umožňuje získať práva roota

A abyste měli práci s počítačem JEŠTĚ příjemnější, pracujte s ním v plynové masce, gumových rukavicích v rozlišení 640x480x60Hz.

P.S. Stačí mít aktualizováno (aji antivir)... a trochu, trošičku přemýšlet před klikáním na OK a můžete fpoho instalit víceméně cokoliv. B-)

Astore, jsi neuveritelne naivni. Ja chapu, ze frikulin s logem MS, vypalenym do mozku jak do epromky, jako ty bere jako potupu, pokud musi cokoliv dodrzovat ci se obtezovat nejakou znalosti, ale s tvym pristupem je nejlepe, pokud te nikdo nesveruje dulezita ci snad dokonce duverna data.
Instalovat "fpoho" cokoliv, to muze delat opravdu jen clovek, ktereho nikdo nepoucil ci naprosty ignorant. Tedy pokud mu na tech datech se kterymi pracuje, aspon trochu zalezi.
Co takhle trojan, ktery se pri prvotni instalaci nijak neprojevuje, jen tak obcas se podiva po Internetu, zda se neobjevila nova dira pro ziskani administratora, stahne si odpovidajici kod a treba po pul roce spokojeneho zivota ve tvych barevnych blikacich okynkach ziska prava a zautoci ? Ke komunikaci treba pouzije bezny HTTP protokol, takze ani beznemu firewallu na tom nebude pripadat nic divneho...

Cos nepochopil na tom "přemejšlet" ? Chápu že tukoň s tučňáčím shitem místo mozku má nadefinováno co se MUSÍ dělat a neuvažuje o tom. Je to klasický jehovistický přístup - "prostě já tučňák říkám jak se co MÁ dělat a neuvažujte o tom proč."

Opakuji, že jedinou věc kterou je při práci s kompem na netu NUTNO dodržovat je používat hlavu, trošku přemejšlet. Potom se člověk nemusí, ne-mu-sí trapošit s neustálým cvakáním hesla a zkoušet instalit může defacto cokoliv - protože když zapřemejšlí tak se třeba to "cokoliv" rozhodne ne-in-sta-lo-vat. Když chcete instalovat dablklikem exáče co vám chodí majlem, můžete ! Pročby ne ? Když jste trošku zapřemýšleli a máte dobrej antivir a zapřemýšlíte než na to kliknete. Když chcete můžete lozit po warezích a jorno stránkách a nenakazit se ikdyž pracujete jako root. Pročby ne ? Když jste zapřemýšleli a máte aktualizovanej prohlížeč.


Nadruhéstraně, když budete poslouchat tuhle ředitele zeměkoule tak vám ani práce pod uživatelem ani sebelepší ochrany v kompu nezabrání naletět na PHISHING a vyžvanit své přihlašovací údaje do banky, nebo poslat peníze do tramtárie a čekat na viagru.

Je zvláštní, jak ten blb začne okamžitě mlít o tukoních i když v předchozích příspěvcích nebyla o linuxu ani zmínka.
Astorku, asi je pro tebe děsně potupné číst o bezpečnostních rizicích v tvém zbožňovaném, dokonalém a nedotknutelném "systému" ...?

Ale ty už jsi dostatečně profláknutá tragická postavička, takže kromě úplných nováčků na Živě tě tu znají úplně všichni (a pozor, to není sláva, spíš naopak).

Je to opravdu blb. Vice se k tomu rici neda.

Konečně teplé, lidské slovo !

Nadávat do "tukoňů" jsi tu, opět jako vždy, začal a to zcela bezdůvodně ty. V celé diskusi před tím snad není jediná zmínka o linuxu.
To jenom ty nesneseš, když se píše - a hlavně diskutuje - o bezpečnostních slabinách tebou zbožňovaných a nedotknutelných widlí.
(Mimochodem - nad Vistami panuje poměrně značné zděšení. A navíc padá jeden z tvých silných argumentů proti linuxu: "Proč by se lidi učili něco jiného?" Nezbyde-li těm chudákům, než přejít na Visty, budou se muset učit...)


Blábolíš tu o nesmyslné lásce k linuxu (zaměňuješ ji s oceněním jeho dobrých vlastností svými uživateli) a sám jsi přitom fanatik, který div že (a kdoví zdali ne) nemasturbuje nad logem MS WIDLE.

Rozhodně se tu pouze ukájíš nesmyslným napadáním lidí, kteří se s tebou ani nechtějí bavit a chtějí si řešit své problémy a sdělovat své zkušenosti.
Jsi úchylný blb.

(konečně teplé lidské slovo, že?)

To zděšení nad bezpečností Visty panuje i např. v článku v březnovém Chipu. Nejenže Microsoft nevyřešil základní bezpečnostní problémy, ale přibyly k tomu ještě další, jako možnost obejít povinnou registraci apod.

Zděšení nepanuje nikde. Než se Vista skutečně dostane k většině uživatelů, potrvá to leta. MS to ví, já to vím, Ty to víš, všichni to vědí, dokonce MS kašle na obcházení povinných registrací. Bodejť ! To jen trapoši pořvávají že sou zděšeni.

Cos nepochopil na tom že "tukoň" je můj výraz který popisuje fanatika nezávisle na tom jestli to je nebo není linuxáč ? O pár příspěvků níže sem to vysvětloval že "tukoň" nemá apriori nic společného s linuxem, ačkoli mezi linuxáky je zřejmě tukoň každý druhý, ještě to neznamená, že každý tukoň = linuxák. Prostě je vás víc než mezi uživateli windows.

Pěkně sis zařval, potrefená hňuso.

Jsi trapný a úchylný blb k politování.

Pokud je tvým smyslem života ukájet se vyvoláváním flamů na Živě a provokováním lidí, kteří o tvé příspěvky a "rozumy" ani trochu nestojí, nelze než konstatovat výše uvedené.

Pravidelně a neomylně se objevuješ ve všech diskusích o linuxu a provokuješ. Asi ti to dělá dobře - a v tom jsi úchylný.

Tvé zbožňování widlí působí trapně. Chlubit se a vynášet na odiv produkt, který nevznikl tvou zásluhou ani za tvého přispění je jako vytahování se nedorostlých výrostků, komu z nich tatínek koupil lepší mobil (džíny, boty apod...)

K politování je, že to ani neumíš pochopit.

A blb jsi rozhodně. To tu ani nemusím vysvětlovat, to tu ví každý.

Jediné co dělám je že říkám linuxáčům do očí pravdu - že tu sračkoidní šitůvku lidi neberou, protože je nezajímá a kompy je v zásadě nebaví. A to tě sere, viď ?


Jardo, nejhorší je to, že neumíš číst. Zatvrzele tvrdíš že "tukoň" nějak přímo indikuje linux. Zatvrzele mě obviňuješ z toho že fanaticky miluji widle... přitom obojí prostě není pravda ikdyby ses posral vzteky. Ty seš taková vzteklá mrdka která kolem sebe plive nadávky ... hehe, jen se dál vztekej, nemůžeš proti mně NIC udělat, nejsi nic, jen hovňousek. Hov-ňou-sek. Pchá !


A chlubení se cizím peřím ? Dyk to je to co linuxáče spojuje v jejich lásce k milovanému OS ! Tipuju že ani jeden z vás linuxáčů co tu imrvére SMRDÍ pod článkama od windows ničím pořádným skutečně nepřispěl. Nikdo z vás neudělal žádnou podstatnou opravu kterou by zařadili. Drtivou většinu kódu psali, píšou a budou psát lidi kteří byli placeni z komerčních peněz Novellu a RedHatu a Dellu a IBM a podobně.

...že tu sračkoidní šitůvku lidi neberou...

myslis Windows Vista? To je pravda, sere na ni pes.

Astore, ne vsichni jsou programatori to jen ty mas zkreslenou predstavu o beznych lidech, ja osobne bych se stydel byt Windows programatorem

Nikdo z vás neudělal žádnou podstatnou opravu kterou by zařadili. >
Tak například já (laik) jsem napsal do Mozilly, že bych měl rád export adresáře kontaktů. Byl jen import. Záloha kontaktů se dělala jinak a složitěji. Odepsali mi, že mi děkují za příspěvek a zařadí do svého plánu. Asi za dva měsíce export vyšel. Nevím, zda moji zásluhou (asi ne), ale účel to splnilo. Programovat neumím (kromě jednodušších aplikací), ale napsat poznatky z praktického života dokážu. A vývojáři k tomu nejsou slepí ani hluší. Něco ti chybí? Tak napiš! I to je zajímavé na open source ..

On tam nebyl export ? HA hahahahaha aha nojo vlastně

tu sračkoidní šitůvku
ikdyby ses posral vzteky. Ty seš taková vzteklá mrdka která kolem sebe plive nadávky ... hehe, jen se dál vztekej, nemůžeš proti mně NIC udělat, nejsi nic, jen hovňousek. Hov-ňou-sek. Pchá !
inuxáčů co tu imrvére SMRDÍ pod článkama od windows
AstorLights ©

...

Vždyť říkám, že jsi ÚCHYLNÝ blb !
(Jo, a to © je copyright na blbost?)

no yasne, to's krasne vykouminkal; vsak taky kdyz tady nekdo pise, ze widle'sou xindl, tak tim
preci nemysli operacti system ms windows(tm), ale jakykoli spatny distro to, ze ms windows(tm)'sou
spatny distro jeste preci neznamena widle=ms windows(tm) ;->

ps: chodis nekam do hospody?

Ono pozor, "tukoň s tučňáčím shitem místo mozku" NENÍ opakem frikulína s logem MS vypáleným kdovíkde. Protože takoví lidé co milují MS neexistují. Jak známo, (svůj) operační systém miluje pouze a jen banda tučňáků. Nikdo jiný to nedělá. No a tak si tučňáčí magoři představují že na druhé straně barikády to je "taky tak jako u nich". Takže tím označením se dotyčný velmi přesně identifikoval - ano, je to tučňák.

Můj termínus technikus "tukoň" označuje tupého fanatika který se mj. projevuje tím že
- miluje svůj OS (jakýkoliv)
- myslí si že ví nejlépe jak se věci mají dělat a s oblibou oblibou lidem říká že není jiné cesty
- úmyslně neříká celou pravdu aby se náhodou jeho milovaný OS nedostal do špatného světla.

U "nás" (uživatelů windows) je tukoňů mizivé promile protože všichni a) víme o co u MS go a za b) milujeme svůj OS asi tak jako hrobník miluje svou lopatu.

Ten vztah k OS je daný ještě něčím jiným: Řada uživatelů Linuxu (těch zkušenějších) dává připomínky a návrhy k zlepšení některých aplikací (bugzilla) - a má pocit, že se na tvorbě tohoto OS trochu - i když malou měrou - podílí. A tak to berou trochu jako "společné dílo".
U MS je to jinak - koupím si produkt a uživám si to, co jsem zaplatil. A je to součást pracovního života jako každá jiná věc (tužka, papír, lopata ...) Nic osobního v tom není.

Ano, věřím že sou hrobníci co mají své suprlopaty který si vytuningovali a připomínkováním dosáhli super pro ně nej nej super výsledku - pak svou lopatu mají právo milovat a považovat její design za kolektivní dílo.


Ostatních 99.9% hrobníků považuje tyto jedince za blázny. Volný čas tráví buďto relaxací anebo kšefty - kopou hroby načerno kamarádům. Jejich sen je, aby měli tolik peněz, aby už na tu zkurvenou lopatu dosmrti nemuseli šáhnout.

Jenže lopatou si hrobník nepustí video, nezahraje svoji oblíbenou písničku ani se díky lopatě nedozví, co je nového ve světě
Ale i přesto. Bude-li mít svoji lopatu tak vytuningovanou, že s poloviční námahou udělá dvojnásobek práce, takže si dost vydělá, bude mít tu lopatu rád.

Ale on si ten hrobník ani s Windowsama NEPUSTÍ video a NEZAHRAJE písničku ! Dyk on neví ani neví že si může propojit grafiku v kompu a TV. Místo toho si pustí DVD přehrávač, CD přehrávač, rádio, telku, nebo si přečte noviny, nějaké computerové multimediální centrum, psche, možná za 10, za 15 let.

Jsem přesvědčen, že jedinec obecně NECHCE dělat doma to co dělá v práci. Kompy se dostávají do rukou každému kdo dělá "něco víc" než hází lopatou. Tito lidé pak mají přirozený odpor totéž dělat i doma. Maximálně tak zapařit gamesky, jó, ale na to mají playstation. No a ti co hází lopatou si URČITĚ doma nesednou za kompa a nebudou číst net (protože kdyby uměli s kompem tak nehází z lopatou). Výjimky (umí s kompem a přesto raději hází s lopatou - např. jako v Office space) tak ty jsou ale je jich nula nula nic.

Presne tak a na hru ma PlayStation 3 a na nejake PC s widlema se muze z vysoka......

Kompy se dostávají do rukou každému kdo dělá "něco víc" než hází lopatou.>
Omyl !!! Politika Microsoftu (a to jim nemám za zlé) je taková, aby uměl i ten s lopatou si pustit komp. Myslíš, že to ten člověk nezvládne? Ale ano. A na tom staví MS svůj obchodní úspěch. Jenže to má tu stinnou stránku - bezpečnost. Ten člověk s lopatou NEZVLÁDNE si ten počítač zajistit proti nechěným aktivitám zvenku (a tím pádem i zevnitř . MS tohle dobře ví a nemůže nebo nechce pro to něco udělat. A to jim mám za zlé. Jinak proti Windows jako takovým co do funkčnosti nic nemám. Pokud s tím nejsem na netu nebo neinstaluji různý warez, jsou použitelné relativně dobře.
Nebo: jsem s tím na netu - ale jsem dostatečný expert na to, abych si věci ohlídal.

trochu, trošičku přemýšlet před klikáním na OK a můžete fpoho instalit víceméně cokoliv.>
Aha. Takže tlačítko "OK" obsahuje informaci, zda je ten program bezpečný nebo ne. Tak to jsem nevěděl

Jak už sem napsal, výsledkem takového zapřemýšlení před mačkáním ok je občas nezmáčknutí ok

vysledkem zapřemýšlení je nečíst příspěvky od uživaTELEte AstorLigts (c)

Ano, takže já radím "nebuďte jako stádo, dycky zapřemýšlejte něž něco uděláte", je to špatně. Nadruhé straně když vám tukoni radí "nepřemýšlejte a prostě udělejte tohle" tak je to dobře.

Hehe. No podle toho to taky vypadá - tučňáčí šitůvka zvaná Linux je kde ? Nikde. Protože tučňáci evidentně "vědí" jak ji dostat mezi lidi.

Nejbezpečnější je mačkat tlačítka na dámském hrudníku

1) Souhlasim. Ale nevsadil bych hlavu na to, ze operacni system X (kde X je libovolny operacni system) je natolik neprustrelny, ze se v nem nedaji prava povysit.

2) Neznam ani jeden program, u ktereho je 100% jistota, ze je OK - a to vcetne mych vlastnich.

1) Většinou ale dojde k získání práva roota nikoliv přes privledge escalation chybu (jádra) OS, ale kvůli přetečení zásobníku aplikace, která s právy roota běží.
2) Pokud program neběží s právy roota, tak jeho chyby k získání práv roota nestačí.

S právy roota by proto mělo běžet minimum daemonů či jiných programů, které to z povahy své činnosti skutečně potřebují.

nemas pravdu, takovy program co popisujes spad ado kategorie trojanu ci backdooru, rootkit ja prave o tom ziskat opravneni 'root' bez znalosti hesla a tim ovladnout system. Jde o to, ze ziskate ke stroji nepriviligovany pristup, napr. prilogovanim na SSH pod nejakym userem se slabym heslem co odhalila slovnikova ci brutforce metoda, nebo treba prilogovani na FTP jako anonymous. Tyto procesy vetsinou samy o sobe bezi pod opravnenim root, zneuzitim chyby v programu, pretecenim bufferu, podstrci utocnik vlastni kod a napr. FTP server jej provede a spusti shell samozrejme pod vlastnim opravnenim tedy s pravy roota, v GNU/Linuxu bylo tez casto zneuzivano, tzv. set userid, tedy kdy soubor ma urcita opravneni jako cteni, zapis, spustitelny, tak mezi dalsimi i moznost nastavit, ze kdokolil jej spusti, tak proces nepobezi pod UID uzivatele, ktery jej spustil, ale treba pod UID roota, takovemu programu kdyz se podstrcil spravny kod, hned vykonal sve. A to ze uzivatel bezi pod nepriviligovanym uctem a stehne si z webu kod, ktery nasledne spusti v domneni, ze se nemuze nic stat, protoze on nema dostatcna prava na provedeni paseky v systemu, neznamena, kernel nema nove obsazenou chybu, ktera je zneuzitelna, pro povyseni prav spusteneho procesu. kdyz to shrnu: rootkit je kod, ktery se ruznymi technuikami snazi ziskat opravneni root, bez znalosti hesla, ci, ze by jiz podedil UID po rootovi, ktery by jej spustil. Po ziskani opravneni root, otevira vzdaleny shell, pro prilogovani, odesila soubor s hesly na urcenou mailovou adrsu, stahne, a spusti ruzne backdoory... ci jakekoli techniky ktere vas napadne az po uplne vymazani HD. Jak bylo v clanku zmineno, je dobre mit scaner rootkitu, ale hlavne mit aktualni zaplaty.

vic takych clanku

DDL knihovna?
ovlÁdač?
par hrubek, ale jinak docela zajimavy uvod

Za tu "DDL" knihovnu se omlouvam, co se týká "ovládače", to má na svědomí automatická oprava ve Wordu a coz jsem bohuzel prehledl

jeste bych doplnil 8. bod - pouzivat bezpecnejsi prohlizec:

Bezpečnost Internet Explorer 6, 7.x vs Firefox a Opera
http://jaknatoo.blogspot.com/2007/03/bezpecnost-internet-explorer-6-7-vs.html

a momentalne uplne najucinnejsi 9. bod - pouzivat iny operacny system (no flame)

a momentalne uplne najucinnejsi 10. bod - nepouzivat pocitac (no flame)

a 11. bod - nežít (no falme)

bod 12 spalit vole celou zemi vole at tu nic vole neni neee vole

bod 13 sbalit vole pěknou ženskou (flame)..
Už toho pánové nechte