Your SlideShare is downloading. ×
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
X64 rootkits risspa
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

X64 rootkits risspa

1,828

Published on

Published in: Technology, Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,828
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Руткиты для платформы x64: миф или реальность
    Александр Матросов
    Евгений Родионов
  • 2. Кто мы такие?
    • Центр вирусных исследований и аналитикиESET
    - анализ современных руткит угроз
    - разработка средств лечения и защиты
    - мониторинг новых вредоносных технологий
    - анализ активности киберкриминальных групп
    http://www.joineset.com/
  • 3. О чем сегодня поговорим
    • Эволюция руктит-программ
    • 4. Какиеруткит угрозы известны для x64
    • 5. Какие методы используются для обхода проверки цифровой подписи модулей ядра
    • 6. Как отлаживать буткит часть при помощиBochs
    • 7. TdlFsReaderкак инструмент криминалистической экспертизы
  • Эволюция руткит-программ
  • 8. Эволюция руткиттехнологий
    x86
    x64
    Dropper
    Rootkit
    Rootkit
    Rootkit
    bypassing HIPS/AV
    self-defense
    self-defense
    privilege escalation
    surviving reboot
    surviving reboot
    bypassing signature check
    installing rootkit driver
    injecting payload
    bypassing
    MS PatchGuard
    injecting payload
    Kernel mode
    User mode
  • 9. Проблемы разработки х64руткитов
    • Kernel-Mode Code Signing Policy
    • 10. Проблемы с загрузкой неподписанных модулей ядра
    • 11. Kernel-Mode Patch Protection (Patch Guard):
    • 12. SSDT (System Service Dispatch Table)
    • 13. IDT (Interrupt Descriptor Table)
    • 14. GDT ( Global Descriptor Table)
    • 15. MSRs (Model Specific Registers)
  • Эволюция TDL
  • 16. Эволюция TDL
  • 17. Установка наx86 vs. x64
  • 18.
  • 19. Этапы установки руткита
    exploit
    payload
    dropper
    rootkit
  • 20. Устанавливаемые модули
  • 21. Installation on x86
  • 22. Installation on x64
  • 23. TDL буткитиликак обойти проверку цифровой подписи
  • 24. Types of integrity checks
    • PnP устройства должны иметь цифровую подпись
    • 25. Kernel-Mode Code Signing Policy
    • 26. работает нах64версияхWindows Vista и более поздних
  • Boot process of Windows OS
  • 27. Code integrity check
  • 28. Boot Configuration Data (BCD)
  • 29. BCD Elements determining KMCSP
    (before KB2506014)
  • 30. Abusing Win PE mode: workflow
  • 31. TDL file system
  • 32. TDL4 Device Stack
  • 33. TDL4 File System Layout
  • 34. Debugging bootkit with WinDbg
  • 35. WinDbg and kdcom.dll
    WinDbg
    KDCOM.DLL
    NTOSKRNL
    KdDebuggerInitialize
    RETURN_STATUS
    Data packet
    KdSendPacket
    RETURN_CONTROL
    Data Packet
    KdReceivePacket
    KD_RECV_CODE_OK
  • 36. TDL4 and kdcom.dll
    original routine
    modified routine
  • 37. TDL4 and kdcom.dll
    original export table
    modified export table
  • 38. TdlFsReader as a forensic tool
  • 39. TdlFsReader as a forensic tool
    hееp://eset.ru/tools/TdlFsReader.exe
  • 40. TdlFsReader architecture
    TdlFileReader
    TdlFsRecognizer
    TdlFsDecryptor
    User mode
    Kernel mode
    TdlSelfDefenceDisabler
    LowLevelHddReader
  • 41. TdlFsReader architecture
    TdlFsRecognizer
    TdlFsDecryptor
    FsCheckVersion
    TdlCheckVersion
    FsStructureParser
    TdlDecryptor
    TdlSelfDefenceDisabler
    TdlUnHooker
    HddBlockReader
  • 42. References
    • “The Evolution of TDL: Conquering x64”
    http://www.eset.com/us/resources/white-papers/The_Evolution_of_TDL.pdf
    • “Rooting about in TDSS”
    http://www.eset.com/us/resources/white-papers/Rooting-about-in-TDSS.pdf
    • “TDL3: The Rootkit of All Evil?”
    http://www.eset.com/us/resources/white-papers/TDL3-Analysis.pdf
    • Follow ESET Threat Blog
    http://blog.eset.com
  • 43. Questions
  • 44. Thank you for your attention ;)
    AleksandrMatrosov
    matrosov@eset.sk
    @matrosov
    Eugene Rodionov
    rodionov@eset.sk
    @vxradius

×