Поделиться:

О знаменитости

Йоанна Рутковская: биография


Йоанна впервые заметила подобное странное поведение SIDT-инструкции за несколько лет до этого, когда тестировала Suckit-руткит на VMWare. Данный руткит вполне корректно работал на реальной ОС, но выдавал ошибку при запуске на виртуальной машине. Йоанна потратила несколько часов на выяснение того факта, что проблема заключалась в SIDT, которую использовал Suckit чтобы получить адрес IDT-таблицы.

При этом сама Йоанна не отрицает, что подобные исследования проводились и до нее. Так, например, она ссылается на документ, опубликованный в 2000 году в USENIX, который посвящен проблеме реализации виртуальных машин на процессорах фирмы Intel. В числе обсуждаемых проблем как раз и была проблема с SIDT.

В итоге, 14 ноября 2004 года Йоанна выложила Red Pill в виде исходного кода небольшой программы, написанной на Си. Этот код необходимо было скомпилировать на Windows, работающей на процессоре Intel.

Но, к сожалению, у этой программы были недостатки, причем главным недостатком программы оказалась ее неспособность определять аппаратную виртуализацию:

NUSHU

В декабре 2004 года Йоанна на 21-м Chaos Communication Congress в Берлине выступила с докладом по скрытым каналам в ядре Linux версии 2.4. К этой презентации ею была подготовлена концепт-программа, способная продемонстрировать возможную опасность от скрытых каналов в корпоративных сетях и тем самым предоставить исследователям данные по этим каналам для анализа.

(118) Девушки-компьютерщицы



Все видео

Согласно сопроводительной заметке, написанной самой Йоанной, программа широко не тестировалась и является лишь демонстрацией концепции самой идеи.

2 января 2005 года Йоанна на своем сайте объявила об открытии материалов и кода NUSHU.

FLISTER

FLISTER — концепт-код для демонстрации возможности обнаружения файлов, скрытых Windows-руткитами сразу в обоих режимах пользователя и ядра. Программа основана на использовании ошибок (как правило, сделанных авторами руткитов) обработки вызова функции ZwQueryDirectoryFile() с методом ReturnSingleEntry, установленным как TRUE.

Программа была написана в начале 2005 года. 24 января 2005 года Йоанна опубликовала исходный код программы.

Тесты, проведенные в начале 2007 года, показали, что данная программа не только нестабильна, но и «обнаружение руткитов при помощи этой программы практически невозможно».

modGREPER

modGREPER — детектор скрытых модулей для Windows 2000/XP/2003. Программа просматривает всю память, используемую ядром (адреса 0x80000000 — 0xffffffff), в поисках структур, похожих на корректные объекты описания модулей. Пока что программа распознает лишь два наиболее важных типа объектов: довольно известный _DRIVER_OBJECT и _MODULE_DESCRIPTION. modGREPER обладает неким подобием встроенного искусственного интеллекта (точнее, несколько наборов логических правил, описывающих возможные поля структуры), что позволяет ему определять, действительно ли данные байты описывают объект модуля.

Затем modGREPER строит список найденных объектов, сравнивает их друг с другом, и в итоге сравнивает полученный список со списком модулей ядра, полученного при помощи документированных функций API (EnumDeviceDrivers).

Подразумевалось, что modGREPER был в состоянии обнаруживать все виды сокрытия модулей, используемые на момент выхода программы. Кроме того, некоторые из модулей могут помечаться как «SUSPECTED» («рус. Подозрительные»). Это применяется к нескрытым модулям, чьи соответствующие файлы образов или отсутствуют или расположены в скрытых каталогах (скрытых руткитом, а не системой). Данное поведение было добавлено из-за того, что большинство руткитов даже не пытаются скрыть свои модули ядра от API.

Программа также может обнаруживать и выводить список незагруженных модулей ядра. Это иногда позволяет более продвинутые (бездрайверные) руткиты ядра. Однако этот список имеет некоторые ограничения: у него ограниченный объем и он содержит лишь основное (базовое) имя модуля (без указания пути).

Однако, сама же Йоанна признала, что вполне возможно писать руткиты, не поддающиеся подобной проверке. Причем, в качестве основной цели выпуска такой программы она сама же указала на стремление простимулировать хакеров на написание более изощренных руткитов.

Комментарии

Комментарии

Добавить комментарий
Комментарий
Отправить

Чарльз Роберт Дарвин Чарльз Роберт Дарвин

создатель теории эволюции живых организмов, английский натуралист, естествоиспытатель и путешественник

Вячеслав Евгеньевич Якушкин Вячеслав Евгеньевич Якушкин

исследователь русской истории и истории русской литературы

Николай Михайлович Ядринцев Николай Михайлович Ядринцев

сибирский публицист и общественный деятель, исследователь Сибири и Центральной Азии, один из основоположников сибирского областничества, первооткрыватель древнетюркских памятников на реке Орхон, столицы Чингисхана Каракорума и Орду-Балыка — столицы Уйгурского каганата в Монголии

Линкольн Эллсворт Линкольн Эллсворт

бизнесмен и полярный исследователь из Соединённых Штатов Америки

Эдвард Джон Эйр Эдвард Джон Эйр

английский исследователь Австралии, губернатор Ямайки

Леопольд Эйартц Леопольд Эйартц

французский астронавт-исследователь CNES

Райнхольд Эвальд Райнхольд Эвальд

немецкий астронавт-исследователь DLR

Исаак Шёнберг Исаак Шёнберг

румынский и американский математик, известный, прежде всего, открытием сплайнов

Олег Белай – жизненный путь основателя Инвестиционной группы ТРИНФИКО

Олег Белай – жизненный путь основателя Инвестиционной группы ТРИНФИКО
Дума ТВ

Дума ТВ
Евтушенков Владимир вкладывает в высокотехнологичное развитие агросектора

Евтушенков Владимир вкладывает в высокотехнологичное развитие агросектора