点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 Rootkit Unhooker 3.8.341.552新增MBR rootkit检测原理
Rootkit Unhooker 3.8.341.552测试下载:
http://rs336.rapidshare.com/files/136965760/RkU3.8.341.552.rar
MJ0011 2008-08-18 14:17
Rootkit Unhooker 3.8.341.552新增了一个Main Boot Record Verification (Check MBR for mismatchs at program start(SCSI Level))功能
功能实现是在sybex38.sys中sub_10E7A,使用该函数读出磁盘数据后,和正常方式读取的磁盘扇区做对比,来检查MBR Rootkit(或其他BOOTKIT)
该函数的实现是直接向DISK发送SCSI_REQUEST_BLOCK(IRP_MJ_SCSI),用以读写磁盘扇区
和机器狗II代的代码非常相似:D 不过还是无法检测tophet的隐藏的
【mj0011】"tophet" A new invisible bootkit is on the way
http://hi.baidu.com/micropoint/b ... d74f044c088def.html
13 匿名网友 2008-08-22 15:35 不感染硬盘的bootkit国外已有,大牛透漏下tophet与现有bootkit还有icelord相比哪里更先进
14 网友:MJ0011 2008-08-22 15:37 并非是不感染硬盘,TOPHET仍与硬盘相关
另外不要拿TOPHET同通用性极差的东东相比
[ Last edited by 点饭的百度空间 on 2008-8-22 at 18:27 ]
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
