Comments on: L’SSDT hooking sta diventando obsoleto?

By: MaschioneDelSud

MaschioneDelSud — Sat, 21 Jul 2007 09:58:21 +0000

anche io voglio la foto.

By: juninho85

juninho85 — Sun, 15 Jul 2007 09:44:06 +0000

vogliamo marco giuliani col due pezzi tigrato!:D

By: juninho85

juninho85 — Sun, 15 Jul 2007 09:43:48 +0000

vogliamo marco giuliano col due pezzi tigrato!:D

By: m4v3rick

m4v3rick — Sun, 15 Jul 2007 00:57:46 +0000

cavolo ma siete pazzi? adesso tutti i viruswriter del mondo sapranno come ricattare marco. Questi sono peggio di corona. Niente tool di rimozione malware altrimenti foto
di marco nudo per la gioa delle fanciulle che popolano il cyberspazio.

By: nV 25

nV 25 — Sat, 14 Jul 2007 21:01:47 +0000

eraser, non è mica che ti interessa il mio “vecchio” Pc per continuare i tuoi studi &/o le tue ricerche?

Ti assicuro che riusciresti a comprartelo anche con il salario che ti passa la PrevX!!! )

Per tornare a noi, nudo no, per cortesia!
Molto meglio puntare su nV 25 per ‘sto genere di cose..!
)))))

By: Marco

Marco — Sat, 14 Jul 2007 13:23:02 +0000

Non è mica un bello spettacolo

By: Lucass

Lucass — Sat, 14 Jul 2007 13:21:23 +0000

Come no, 2 settimane fa, era in giro la foto di marco completamente nudo, da quello che so, qualcuno ha pagato è la foto è stata ritirata!!!!!

Ciao

By: gnocca senza testa

gnocca senza testa — Sat, 14 Jul 2007 09:45:43 +0000

E’ possibile vedere Marco Giuliani in costume da bagno? Grazie

By: Marco

Marco — Thu, 12 Jul 2007 18:57:57 +0000

Sul fatto che sia individuabile sono d’accordo con te, ma se fai un controllo con scanner antirootkit molti sbagliano l’individuazione (parlo di quelli che controllano l’SSDT).

Come dicevo nell’articolo – e come risottolinei tu – tecnicamente parlando non fanno nulla di nuovo anzi, sono tecniche conosciute gia da tempo. Apropos era molto carino da questo punto di vista: causava un’eccezione gestita poi dall’IDT. Ovviamente l’IDT era già stato modificato per puntare al proprio driver.

C’è un però: le tecniche sviluppate come proof of concepts non vanno di pari passo con quelle utilizzate in the wild.

Basta vedere un rootkit come Unreal, che non utilizzava nessuna tecnica particolarmente nuova – tutto era conosciuto, ma non era mai stato applicato nella forma quale poi fu quella di Unreal.

Un rootkit come Unreal, ma anche a suo tempo Rustock, mostrarono quanto fossero indietro gli scanner antirootkit esistenti all’epoca.

Almanahe e Srizbi non utilizzano niente di nuovo, ma quello che utilizzano l’hanno portato in-the-wild, segnando di conseguenza il pensionamento degli scanner nell’articolo illustrati.

Ciao!

By: ste4lth

ste4lth — Thu, 12 Jul 2007 16:39:14 +0000

Questo tipo di inline hooking e’ vecchio e facilmente individuabile.
Molto tempo fa (primi mesi del 2006) alcuni ricercatori si erano sfidati nella sfida di realizzare il “1-byte hook” senza alcuna jump e bugcheck di Rootkit.com ci e’ riuscito abilmente (costringendo Rutkowska ad aggiornare il suo tool SVV).

http://rootkit.com/blog.php?newsid=451&user=bugcheck
http://invisiblethings.org/papers/rutkowska_bheurope2006.ppt

E naturalmente qualsiasi persona abbia visto in azione
il rootkit di Apropos un paio di anni fa potra’ raccontare della
tecnica di hook polimorfico ibrido SDT/IDT veramente avanzata.

In sostanza, questi due rootkit non fanno nulla di nuovo…