 |
|
|
|
|
|
|
|
Windows内核调试
帖子发起人: 王宇 发起时间: 2008-10-15 00:36 上午 回复: 14
  
|
|
帖子排序:
|
|
|
|
 2008-10-15, 00:36 上午
|
王宇
注册: 2007-05-08
发 贴: 306
|
|
|
|
http://xcon.xfocus.net/
2008-11-18 第一天 14:30 - 15:30
郑文彬
安全研究员,Windows驱动工程师,Rootkit/Anti-Rootkit爱好者,网络昵称:MJ0011
高级Bootkit-Tophet
本文揭示了一种新型的Bootkit技术Tophet,以及其第一代范本Tophet.a使用的一些新颖的技术。Tophet.a并非病毒或木马,只用来演示高级的穿透与隐身技术。
Bootkit是更高级的Rootkit,该概念最早于2005年被eEye Digital公司在他们的“BootRoot"项目中提及,该项目通过感染MBR(磁盘主引记录)的方式,实现绕过内核检查和启动隐身。可以认为,所有在开机时比Windows内核更早加载,实现内核劫持的技术,都可以称之为Bootkit,例如后来的BIOS Rootkit , VBootkit,SMM Rootkit等。
在现在MBR\Boot Sector\Nt Os loader都被各种HIPS监视软件、检查软件严防死守,而BIOS, SMM, ROM firmware 之类的启动位置又存在被锁定或通用性不够好的时候,如何简单、通用,又有效地进行Windows内核启动劫持呢?Tophet.a使用了一种新的方式:NtBootdd.sys。 同时,Tophet.a揭示了一些磁盘级的穿透、隐藏技术,可以穿透目前所有防御软件,进行安装,同时在目前任何Rootkit文件检测技术下隐身。
MJ0011
Security Researcher, Windows drivers Engineer, Interest in Rootkit/Anti-Rootkit, nickname:MJ0011
Advanced Bootkit-Tophet
This presentation has revealed a new type of bootkit techonology - Tophet, and some of new technology used at itsfirst-generation model Tophet. Tophet.a is not a virus or Trojan Horse, only be demonstrated as advanced penetration and stealth technology.
Bootkit is more advanced Rootkit, the concept mentioned as early as "BootRoot" project by eEye Digital company at 2005. The project used to infected MBR(master boot record) way to achieve bypass the kernel and start-up check. All the boot stuffs is booted earlier than the windows kernel load, to achieve kernel hijacked, all can be called Bootkit, for example, BIOS Rootkit, VBootkit, SMM Rootkit and so on.
MBR \ Boot Sector \ Nt Os loader are all be monitored and defended by HIPS security software as so far, and like the start-up location as BIOS, SMM, ROM firmware is locked or lack of commonness. so how to hijack the windows kernel more effective, easier, common? Tophet.a use a new way: NtBootdd.sys. At the same time, Tophet.a explored several disk-level penetration,stealth technology, can penetrate all the current active defense software and to install, and also could be hidden under any current anti-Rootkit software's dectection.
同时也期待着 Alert7 以及 Flashsky 等前辈的演讲!
明天报名~ 今年一定要去感受一下。
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-10-15, 03:57 上午
|
MJ0011
注册: 2008-04-24
发 贴: 112
|
|
|
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-10-15, 05:29 上午
|
MJ0011
注册: 2008-04-24
发 贴: 112
|
|
|
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-10-15, 11:01 上午
|
sudami
注册: 2008-09-24
发 贴: 17
|
|
|
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-10-15, 16:51 下午
|
nightxie
注册: 2008-06-09
发 贴: 43
|
|
|
|
MJ0011 原来叫 郑文彬 我一直以为叫马甲。。。囧~~~>_<
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-10-18, 18:57 下午
|
ayarei
注册: 2008-10-18
发 贴: 1
|
|
|
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-10-20, 18:19 下午
|
王宇
注册: 2007-05-08
发 贴: 306
|
|
|
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-10-23, 09:52 上午
|
holly
注册: 2008-07-14
发 贴: 22
|
|
|
|
看到流口水,虽然我很老可是我很新面孔。
现在的工作暂时又没有足够的薪水支撑此项费用,又在最远的珠海,望洋兴叹... ...
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-10-23, 18:39 下午
|
王宇
注册: 2007-05-08
发 贴: 306
|
|
|
|
XCON 还“玩花样”呢
呵呵
连开四天会...
WOW 周董 会准假吗?
http://www.xkungfoo.org/
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-10-26, 21:15 下午
|
onlyrainbow
注册: 2008-10-11
发 贴: 3
|
|
|
|
<BLOCKQUOTE><table width="85%"><tr><td class="txt4"><img src="/Themes/default/images/icon-quote.gif"> <strong>nightxie wrote:</strong></td></tr><tr><td class="quoteTable"><table width="100%"><tr><td width="100%" valign="top" class="txt4">MJ0011 原来叫 郑文彬 我一直以为叫马甲。。。囧~~~>_<</td></tr></table></td></tr></table></BLOCKQUOTE>
你认为会有人叫这个名字迈...
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-10-27, 11:13 上午
|
nuaapjy
注册: 2008-10-14
发 贴: 1
|
|
|
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-11-04, 01:47 上午
|
Aleaxander
注册: 2008-10-11
发 贴: 1
|
|
|
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-11-04, 12:36 下午
|
Da Vinci
注册: 2008-11-03
发 贴: 38
|
|
|
|
ls的说的不错, 北京老是有这些好活动, 上海就TM没有! 以后跳北京去得了.
上海研究Rootkit的人都死那去了?
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-11-04, 18:28 下午
|
MJ0011
注册: 2008-04-24
发 贴: 112
|
|
|
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
2008-11-05, 09:10 上午
|
Da Vinci
注册: 2008-11-03
发 贴: 38
|
|
|
|
上海帮是在哪里呢? 盛大的?
我以为都在Intel的
|
|
|
|
IP 地址: 已记录
|
报告
|
|
|
|
|
高端调试 » 软件调试 » Windows内核调试 » Re: 期待马甲同学精彩的演讲
|
|
|
|
|
|