csrss를 이용한 프로세스 감지
2008/10/27 03:00
rootkit에 csrss를 이용해서 프로세서 목록을 탐지하는 기법이 올라왔다.
csrss의 unexported symbol 인 CsrRootProcess의 정보를 가지고, 프로세서의 목록을 탐지하는 것인데, 보통의 알려진 방법의 탐지기법이 아니라서, 탐지기법을 우회하는 왠만한 rootkit들은 거의 탐지가 될 것으로 보인다.
시험삼아 내 놋북(vista x32)에서 국내의 N모 프로그램을 키고 돌려보았더니 pid를 잘 감지해 내었다.
rootkit의 필자는 델파이 코드를 첨부해 놓았는데 코멘트에 보면 그걸 c 코드로 바꿔서 올려준 사람이 있다.
그리고 sysinternals 포럼에서는 이미 저 방식을 bypass하는 코드도 작성이 끝난 듯 보임.
참고 :
http://www.rootkit.com/newsread.php?newsid=908
http://forum.sysinternals.com/forum_posts.asp?TID=15457&KW /// 댓글에 bypass 코드 담겨있음.
http://lucid7.egloos.com/2079525 // lucid7님의 번역문
Category: 컴퓨터/Windows
Trackback Address:http://blog.ly.lv/devk/trackback/323
sysinternals포럼에 우회한 코드가 누군가 벌써 올려놓았군요.
감사합니다 :)
여튼 csrss좀 좋은듯..