viernes, 20 de diciembre de 2013

WinDbg.- Interceptar Rutinas A Través De SSDT

Me encanta aprender cada día mas sobre el tema de los Rootkits y su detección. La verdad es que cada vez que me pongo con esta serie de entradas aprendo mucho y la verdad es que me divierto intentándolo entender todo. Hoy entraremos un poco en el mundo de la interceptar de rutinas a través del SSDT. 

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Peleándonos con los RootKits
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////


SSDT (System Service Descriptor Table) es una mesa de atención de servicios del sistema que contiene las direcciones del punto de entrada de los servicios del núcleo NT. De esta manera, un rootkit puede controlar las rutinas del sistema, la filtración de datos "no deseados".

El flujo de código mediante la rutina de escritura de archivo del SSDT puede ser modificado. Esto puede conducir a la activación de rootkit.

Todos los punteros se hace referencia en SSDT deben hacer referencia a las rutinas implementadas en cualquiera "nt" o biblioteca "win32k". Por lo tanto, al comprobar estos punteros para intercepciones, se debe verificar si los punteros SSDT se refieren en realidad a una de esas áreas de memoria. La secuencia de comandos devuelve una lista de todos los punteros SSDT, así como los módulos de memoria que se refieren. Si el script detecta una biblioteca de terceros en lugar de un sistema de una sola, que marcará estos hechos con la palabra "Hook".

Espero que lo hayáis entendido todo y espero ya yo tambien xD Sed Buenos ;) 

No hay comentarios:

Publicar un comentario en la entrada