Bemutató vázlat. Kikapcsoljuk a valósidejű védelmet, majd feltelepítünk egy rootkitet, melynek segítségével különféle állományokat rejtünk el.

Hasonló dokumentumok
Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatása az AFX rootkit program segítségével. Sicontact Kft, 2007.

Az ESET NOD32 program 2.7 verzió bemutatása a FU rootkit felismerése közben. Sicontact Kft

Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatása a Vanquish rootkit program segítségével. Sicontact Kft, 2007.

Teljes vírusirtás a NOD32 Antivirus System segítségével. vírusirtási útmutató

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

15.4.2b Laborgyakorlat: Mappa és nyomtató megosztása, a megosztási jogok beállítása

TERKA Törvényességi Ellenőrzési Rendszer Kiegészítő Alkalmazás

WIN-TAX programrendszer frissítése

Általános soros sín (USB) Felhasználói útmutató Rendszerigény Nyomtatója beépített USB portja az alábbi minimális rendszerkonfiguráció mellett használ

CIB Internet Bank asztali alkalmazás Hasznos tippek a telepítéshez és a használathoz Windows operációs rendszer esetén

SZERVIZ 7. a kreatív rendszerprogram. Telepítési dokumentáció Szerviz7 DEMO alkalmazásokhoz. Verzió: 08/ 2010

Útmutató a LOGSYS fejlesztői kábel eszközmeghajtó programjainak telepítéséhez

Az Evolut Főkönyv program telepítési és beállítási útmutatója v2.0

Dropbox - online fájltárolás és megosztás

ÁNYK53. Az Általános nyomtatványkitöltő (ÁNYK), a személyi jövedelemadó (SZJA) bevallás és kitöltési útmutató együttes telepítése

Az MA-660 eszközillesztő program telepítése

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05 Geodéziai Feldolgozó Program

A Windows az összetartozó adatokat (fájlokat) mappákban (könyvtárakban) tárolja. A mappák egymásba ágyazottak.

Image Processor BarCode Service. Felhasználói és üzemeltetői kézikönyv

Telepítési és indítási útmutató. DataPage+ 2013

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Digitális fényképezőgép Szoftver útmutató

A nyomtatókkal kapcsolatos beállításokat a Vezérlőpulton, a Nyomtatók mappában végezhetjük el. Nyomtató telepítését a Nyomtató hozzáadása ikonra

Vectory telepítési útmutató

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05+ Geodéziai Feldolgozó Program

1. A Windows programok telepítése

A Novitax ügyviteli programrendszer első telepítése

Gyors Indítási Útmutató

1. Origin telepítése. A telepítő első képernyőjén kattintson a Next gombra:

Távolléti díj kezelése a Novitax programban

eszemélyi Kliens Szoftvercsomag Telepítési Útmutató

1. tétel: A kommunikációs folyamat

Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre

A Telepítés hajlékonylemezről panelen kattintson az OK gombra.

CIG Pannónia Életbiztosító PROFe eltávolítása gépről

CIG Pannónia Életbiztosító PROFe eltávolítása gépről

BioAdmin 4.1 könnyű telepítés csak Kliens használatra

Telepítési Kézikönyv

Telepítési útmutató. 1.1 lépés : Telepítés típusa - ablak :

Iroda DEMO telepítési útmutató

Elektronikus aláírás ellenőrzése PDF formátumú e-számlán

F-Secure Anti-Virus for Mac 2015

eszemélyi Kliens Szoftvercsomag

Mobil vírusirtók. leírása. i-store.hu Szoftver webáruház

DIGITÁLIS ALÁÍRÁS HASZNÁLATA A MICROSOFT OFFICE2000-BEN A MAKRÓK VÉDELMÉRE

CareLink Personal telepítési útmutató. Első lépések a CareLink Personal adatfeltöltéshez

eszemélyi Kliens Szoftvercsomag

TELEPÍTÉS UEFI MÓDBAN » ELSŐ RÉSZ: ELŐKÉSZÜLETEK


Nyomtató telepítése. 1. ábra Nyomtatók és faxok Nyomtató hozzáadása

5.6.3 Laborgyakorlat: Windows rendszerleíró adatbázis biztonsági mentése és visszaállítása

1.1. A programok futtatásához szükséges környezeti feltételek és fontos tudnivalók:

KnowledgeTree dokumentumkezelő rendszer

INFORMATIKAI RENDSZERGAZDA SZAKKÉPESÍTÉS TANULÓI SEGÉDLET. Windows áttelepítő használatához

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához

Tisztelt Ügyfelünk! Tájékoztató az átállásról

DSL kapcsolat létrehozása Windows 2000 alatt RasPPPoE tárcsázó segítségével

RapidMiner telepítés i. RapidMiner telepítés

Operációs rendszerek. Tanmenet

PDF. Tartalomjegyzék 1/21

Hálózati kapcsolathoz Windowst használó ügyfeleknek

Hardver és szoftver követelmények

OTOsuite. Telepítési útmutató. Magyar

Memeo Instant Backup Rövid útmutató. 1. lépés: Hozza létre ingyenes Memeo fiókját. 2. lépés: Csatlakoztassa a tárolóeszközt a számítógéphez

SDX Professional 1.0 Telepítési leírás

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

A VPN telepítése és használata

Virtual Call Center kliens program MSI csomag telepítése

HD 1080P Headset-stílusú hordható. kamera. felhasználói kézikönyv

FRISSÍTÉSI LEÍRÁS A WINIKSZ PROGRAMCSOMAGHOZ

Mechatronika segédlet 6. gyakorlat

Telepítési útmutató a SMART Notebook 10 SP1 szoftverhez

Di1611/Di2011. KEZELÉSI ÚTMUTATÓ: Twain

A program menüje. Cserélhető lemezek

Felhasználói leírás a DimNAV Server segédprogramhoz ( )

VBA makrók aláírása Office XP/2002/2003 esetén

Hibabehatárolási útmutató [ß]

QGIS Gyakorló. 1. kép. A vektor réteg (grassland.shp).

Ablak és ablakműveletek

FÁJLOK ÉS MAPPÁK MÁSOLÁSA PENDRIVE-RA ÉS CD-RE A LEGEGYSZERŰBBEN WINDOWS XP-N

Java-s Nyomtatványkitöltő Program Súgó

A mappák használata. Mappa létrehozása

KIRA. KIRA rendszer. Telepítési útmutató v1

ELTE SAP Excellence Center Oktatóanyag 1

Operációs rendszerek. Tanmenet

Sharpdesk Információs útmutató

3Sz-s Kft. Tisztelt Felhasználó!

Google Drive szinkronizálása asztali géppel Linux rendszeren

DLNA- beállítási útmutató

A program telepítése. A letöltés lépései: 1. nyissa meg a WEB-oldalt, majd válassza a Letöltés menüpontot: 2. Kattintson a DbérWIN 2014 hivatkozásra:

Védené értékes adatait, de még nem tudja hogyan?

Történet. Számítógépes vírusok. Mik a vírusok? A vírusok felépítése

BaBér bérügyviteli rendszer telepítési segédlete év

Oktatás. WiFi hálózati kapcsolat beállítása Windows XP és Windows 7-es számítógépeken. SZTE Egyetemi Számítóközpont

Hardverkarbantartó programok

Oralce kliens installálása Windows Server 2003-ra

1. DVNAV letöltése és telepítése

2. lépés A Visszaállítási pont leírása: mezőbe gépeld be: Új alkalmazás telepítése!

M-Files Dokumentumkezelő telepítése

PolyVision illesztőprogram Kibocsátási megjegyzések 2.2. változat

Átírás:

Bemutató vázlat Telepítjük a NOD32 2.7-es változatát Normál körülmények között a valósidejű védelem már a 2.5-ös verzió óta képes észlelni a Rootkiteket, még mielőtt azok települhetnének. Kikapcsoljuk a valósidejű védelmet, majd feltelepítünk egy rootkitet, melynek segítségével különféle állományokat rejtünk el. Lefuttatjuk a NOD32 kézzel indítható víruskeresőjét az Anti-Stealth funkció nélkül, és megnézzük látja-e a rootkitet. A NOD32 nem veszi észre a már feltelepült rootkitet, és az általa elrejtett fájlokat sem látja. Visszakapcsoljuk az Anti-Stealth funkciót az aktív rootkites környezetben. Újból elindítunk egy kézi víruskeresést a rendszeren. A NOD32 most már megtalálja a rootkitet, valamint minden általa elrejtett állományt, és sikeresen képes tőlük megtisztítani a rendszert.

Fontos megjegyzések Amit ebben a bemutatóban láthatunk, az a NOD32 2.7 verziójában debütáló új Anti-Stealth technológia. Demonstrálni szeretnénk, hogy a NOD32 már aktív rootkitek ellen is hatékony védelmet nyújt. Rootkitnek az Interneten szabadon elérhető HackerDefender nevű készlet 1.0.0 revisited csomagját töltöttük le, és azzel végeztük a kísérletet. A HackerDefender az egyik leginkább elterjedt rootkit - köszönhetően a szabadon hozzáférhető nyílt forráskódnak, de már létezik belőle kereskedelmi változat is. A HackerDefender az "NTDLL.DLL" függvénykönyvtár foltozásával (ntdll.dll patching) manipulálja a rendszert. Ezt a tesztet egy biztonsági szakértő hajtotta végre, szigorúan ellenőrzött körülmények között. Bár hiszünk benne, hogy a NOD32 2.7 a lehetséges legjobb védelmet kínálja a különféle digitális fenyegetések ellen, mégis határozattan azt tanácsoljuk, hogy a kísérletet semmiképpen ne próbálják ki otthoni körülmények között! A használt állományok: "bdcli100.exe "hxdef100.exe "hxdofena.exe" "rdrbs100.exe - A HackerDefender hátsó ajtó (backdoor) kliense* - A Hacker Defender főprogramja - A Hacker Defender főprogram módosított változata - A Hacker Defender port átirányító programja* *Példánkban a hátsóajtót és a port átirányítást nem használtuk ki, de ezek a komponensek is automatikusan elrejtésre kerültek a rootkit használata során. A rootkiteket leggyakrabban pontosan arra használják, hogy segítségükkel különféle eljárásokat, program állományokat álcázzanak.

Feltelepítettük a NOD32 2.7-es változatát egy Windows XP operációs rendszert futtató számítógépre.

Ellenőrizzük, hogy az állandó, rezidens védelem (AMON) be van-e kapcsolva, védi-e a rendszert!

Ellenőrizzük az új Anti-Stealth technológiát - ez alapértelmezetten működő, bekapcsolt állapotban van.

Megpróbálunk bemásolni egy jól ismert rootkitet, a HackerDefendert a hackerdefender könyvtárba, illetve létrehozunk egy rejtett nevű mappát is, amelyet majd szeretnénk láthatatlanná tenni. Egyelőre még nem telepítjük a rootkitet.

A telepítendő rootkit komponenseit megvizsgáltattuk a www.virustotal.com weboldalon is, ahol jól láthatóan minden vírusvédelmi eszköz kimutatta a fertőzést.

A letölthető csomagban a fejlesztők mellékelték a rootkit forráskódját is...

A bekapcsolt AMON modullal a NOD32 a rootkitet azonnal észleli, így most még a másolás sem sikerült.

Most ki fogjuk kapcsolni az állandó védelmet ahhoz, hogy bemásolhassuk és telepíteni tudjuk a rootkitet. Ezt a lépést nem ajánljuk senkinek!

Miután kikerült a pipa az "AMON engedélyezése" jelölőnégyzet mellől, az AMON modul kék ikonja pirosra váltott át. Emellett a Windows Biztonsági Központ is azonnal figyelmeztet, hogy nincs állandó vírusvédelmünk.

Miután sikeresen bemásoltuk a fájlokat a "hackerdefender" könyvtárba, megnyitjuk az ott található konfigurációs.ini állományt. Ebben láthatjuk, hogy a "Hidden Table" szekcióban már alaphelyzetben is az elrejtendő objektumok között szerepel minden "hxdf" kezdetű fájl és mappa.

Ezt most kibővítjük a saját elrejteni kívánt "rejtett" nevű mappánkkal.

...és elmentjük a konfigurációs.ini fájl új állapotát.

A parancsorból lefuttatjuk a rootkitet, amely feldolgozza a mögé paraméterként megadott konfigurációs állományt.

Egy szempillantás alatt lefut, és látszólag semmi különöset nem tapasztalunk.

Ha viszont kilistázzuk a könyvtárakat, láthatjuk, hogy a "rejtett" mappa szőrén-szálán eltűnt.

Hasonló a helyzet a rootkit könyvtárában is: minden "hxdef" kezdetű állománynak nyoma veszett.

Nevezzük most át a "hackerdefender" mappát "hxdef"-re!

Alig, hogy végrehajtjuk az átnevezést, máris egy hibaüzenetet kapunk, hiszen mostantól már maga a mappa is rejtett és elérhetetlen.

A frissített tartalomjegyzékben nem látjuk többé a "hxdef" mappánkat, mert a rootkit minden "hxdef" kezdetű állományt és könyvtárat elrejt a szemünk elől.

A trükközés ellenére - ha pontosan tudjuk melyik az elrejtett könyvtár, a CD vagyis Change Directory paranccsal bele tudunk lépni, igaz a rejtett állományok akkor sem látszanak.

Futtassuk most le a NOD32 kézi indítású víruskeresőjét!

Mivel alapos ellenőrzést szeretnénk, kapcsoljunk be mindent - kivéve egyelőre az Anti-Stealth technológiát!

Mivel tudjuk, hol van a rejtett mappánk, időspórolás céljából akár ezt is megadhatnánk a teljes meghajtó ellenőrzése helyett. A valóságban azonban mindig jobb végrehajtani egy teljes ellenőrzést a gyanús rendszeren.

Láthatjuk, hogy kikapcsolt Anti-Stealth opcióval a teljes mappa, és a fertőzött rootkit állományok is rejtve maradtak a NOD32 előtt, az semmilyen fenyegetést nem észlelt.

Eljött az ideje, hogy bekapcsoljuk az Anti-Stealth technológiát. Most ezzel a beállítással ismételjük meg a kézi indítású víruskeresést!

A NOD32 most megtalálta azt a hátsóajtó programot, amit csak odamásoltunk, de nem telepítettünk. Töröljük le!

Ez maga a rootkit főprogram állomány, és bár már betöltődött, ennek ellenére a NOD32 mégis képes törölni.

Ez a rootkit főprogram állomány egy módosított változata (compiled with NtOpenFile hook enabled), töröljük ki ezt is.

Ez az állomány, amit a rootkit hozott létre - egy eszköz-meghajtó, ez csapja be az operációs rendszert. A NOD32 megjelöli, majd a gép újraindítása után fizikailag is törölni fogja.

Újraindítás után ismét látszanak a "hxdef" és "rejtett" nevű mappáink, ez határozottan jó jel.

És azt is láthatjuk, hogy a "hxdef" mappából az összes kártékony állomány ("bdcli100.exe", "hxdef100.exe", "hxdofena.exe, "rdrbs100.exe") eltávolításra került.

Mindenkinek azt tanácsoljuk, hogy fertőzés gyanús esetekben azonnal futtasson le egy alapos és az összes fizikai meghajtóra kiterjedő keresést, hiszen a hasonló kártevők gyakran telepítenek további rosszindulatú kódokat is a rendszerben. Mi most egy alapértelmezett (bekapcsolt Anti-Stealth) keresést indítunk el. Hogy majd részletesen ellenőrizhessük a "hxdef" könyvtár helyzetét, bekapcsoltuk a "Beállítások" fülön az "Összes ellenőrzött fájl felsorolása" opciót,.

A keresés folyamán jól látható, hogy mappánkban már csak ártalmatlan állományok maradtak.

A rendszer ismét tiszta és tökéletesen működik, a NOD32 2.7 új Anti-Stealth technológiájának köszönhetően.

Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatóját látták.

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés