Az ESET NOD32 program 2.7 verzió bemutatása a FU rootkit felismerése közben. Sicontact Kft. 2007.

Hasonló dokumentumok
Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatása az AFX rootkit program segítségével. Sicontact Kft, 2007.

Bemutató vázlat. Kikapcsoljuk a valósidejű védelmet, majd feltelepítünk egy rootkitet, melynek segítségével különféle állományokat rejtünk el.

Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatása a Vanquish rootkit program segítségével. Sicontact Kft, 2007.

Az Evolut Főkönyv program telepítési és beállítási útmutatója v2.0

CIB Internet Bank asztali alkalmazás Hasznos tippek a telepítéshez és a használathoz Windows operációs rendszer esetén

A Novitax ügyviteli programrendszer első telepítése

WIN-TAX programrendszer frissítése

SZERVIZ 7. a kreatív rendszerprogram. Telepítési dokumentáció Szerviz7 DEMO alkalmazásokhoz. Verzió: 08/ 2010

Selling Platform Telepítési útmutató Gyakori hibák és megoldások

2. lépés A Visszaállítási pont leírása: mezőbe gépeld be: Új alkalmazás telepítése!

Teljes vírusirtás a NOD32 Antivirus System segítségével. vírusirtási útmutató

ETR Kliens installálás

Az operációs rendszer fogalma

Távolléti díj kezelése a Novitax programban

Image Processor BarCode Service. Felhasználói és üzemeltetői kézikönyv

Iroda DEMO telepítési útmutató

Útmutató a LOGSYS fejlesztői kábel eszközmeghajtó programjainak telepítéséhez

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05 Geodéziai Feldolgozó Program

CIG Pannónia Életbiztosító PROFe eltávolítása gépről

A Telepítés hajlékonylemezről panelen kattintson az OK gombra.

KIRA. KIRA rendszer. Telepítési útmutató v1

Selling Platform Telepítési útmutató Gyakori hibák és megoldások

CIG Pannónia Életbiztosító PROFe eltávolítása gépről

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre

Szia Ferikém! Készítek neked egy leírást mert bánt, hogy nem sikerült személyesen megoldani a youtube problémát. Bízom benne, hogy segít majd.

MÉRY Android Alkalmazás

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

Dropbox - online fájltárolás és megosztás

A Windows az összetartozó adatokat (fájlokat) mappákban (könyvtárakban) tárolja. A mappák egymásba ágyazottak.

Diva 852 ISDN T/A. Gyorstelepítési útmutató.

A VPN telepítése és használata

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05+ Geodéziai Feldolgozó Program

Telepítési útmutató. 1.1 lépés : Telepítés típusa - ablak :

Általános soros sín (USB) Felhasználói útmutató Rendszerigény Nyomtatója beépített USB portja az alábbi minimális rendszerkonfiguráció mellett használ

5.6.3 Laborgyakorlat: Windows rendszerleíró adatbázis biztonsági mentése és visszaállítása

eszemélyi Kliens Szoftvercsomag Telepítési Útmutató

Java telepítése és beállítása

FRISSÍTÉSI LEÍRÁS A WINIKSZ PROGRAMCSOMAGHOZ

DIGITÁLIS ALÁÍRÁS HASZNÁLATA A MICROSOFT OFFICE2000-BEN A MAKRÓK VÉDELMÉRE

Digitális fényképezőgép Szoftver útmutató

Java telepítése és beállítása

ÁNYK53. Az Általános nyomtatványkitöltő (ÁNYK), a személyi jövedelemadó (SZJA) bevallás és kitöltési útmutató együttes telepítése

WINDOWS TELEPÍTÉSI ÉS AKTIVÁLÁSI ÚTMUTATÓ A FOTOBETYAR.HU - PHOTOSHOP PLUGINJEIHEZ

Az MA-660 eszközillesztő program telepítése

Bérprogram vásárlásakor az Ügyfélnek ben és levélben is megküldjük a termék letöltéséhez és aktiválásához szükséges termékszámot.

Telepítési útmutató. web:

Sharpdesk Információs útmutató

Tisztelt Ügyfelünk! Tájékoztató az átállásról

Mobil vírusirtók. leírása. i-store.hu Szoftver webáruház

Digitális aláíró program telepítése az ERA rendszeren

Sony Ericsson P910i BlackBerry Connect telepítési segédlet

BioAdmin 4.1 könnyű telepítés csak Kliens használatra

Java-s Nyomtatványkitöltő Program Súgó

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Rövid útmutató

A nyomtatókkal kapcsolatos beállításokat a Vezérlőpulton, a Nyomtatók mappában végezhetjük el. Nyomtató telepítését a Nyomtató hozzáadása ikonra

Windows 8.1 frissítés, részletes útmutató

A Cobra Sprint telepítése CobraContoLight felhasználók számára

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

1. Origin telepítése. A telepítő első képernyőjén kattintson a Next gombra:

BlackBerry Professional Server szoftver

eszemélyi Kliens Szoftvercsomag

Ablak és ablakműveletek

Telepítési Kézikönyv

K&H token tanúsítvány megújítás

eszemélyi Kliens Szoftvercsomag

TERKA Törvényességi Ellenőrzési Rendszer Kiegészítő Alkalmazás

lizengo használati utasítás A Windows egy USB stick-re való másolása

telepítési útmutató K&H Bank Zrt.

3Sz-s Kft. Tisztelt Felhasználó!

ÜGYVÉDI IRODA Telepítési útmutató

Oralce kliens installálása Windows Server 2003-ra

BaBér bérügyviteli rendszer telepítési segédlete év

Védené értékes adatait, de még nem tudja hogyan?

ESET NOD32 Antivirus. telepítési útmutató. we protect your digital worlds

A VÉDELMI SZOFTVER TÁVTELEPÍTÉSE

Gemalto Classic Client Toolbox telepítési és használati útmutató

G Data MobileSecurity 2 telepíte si u tmutato

3Sz-s Kft. Tisztelt Felhasználó!

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre. Windows 7, Windows 8, Windows 8.1 és Windows 10-es operációs rendszeren 1(9)

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

ClusterGrid for Windows

Médiatár. Rövid felhasználói kézikönyv

A CAPICOM ActiveX komponens telepítésének és használatának leírása Windows7 operációs rendszer és Internet Explorer 8-es verziójú böngésző esetén

Telenor Webiroda. Kezdő lépések

KATRO-FL rendszer 4CH MOBIL DVR. PC-s visszatekintő program használati utasítása

ESET NOD32 ANTIVIRUS 7

Gyors Indítási Útmutató

2. modul - Operációs rendszerek

EDUROAM wifi beállítás

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

1.2. NFS kliens telepítése és beállítása

Telepítés, újratelepítés több számítógépre, hálózatos telepítés Kulcs-Bér program

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Rövid útmutató

Tanúsítvány és hozzá tartozó kulcsok feltöltése Gemalto TPC IM CC és ID Classic 340 kártyára

Rövid útmutató. Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / Home Server Ide kattintva letöltheti a dokumentum legújabb verzióját

Hálózatos beállítás. A Novitax ügyviteli programrendszerek hálózatos beállítása a következők alapján történhet:

ACTUAL Ügyviteli Rendszer FRISSÍTÉSI ÚTMUTATÓ. Felhasználói kézikönyv - kivonat

Hardver és szoftver követelmények

Átírás:

Az ESET NOD32 program 2.7 verzió bemutatása a FU rootkit felismerése közben Sicontact Kft. 2007.

Előadás vázlat Telepítjük a NOD32 2.7-es változatát Normál körülmények között a valósidejű védelem már a 2.5-ös verzió óta képes észlelni a rootkiteket, még mielőtt azok települhetnének. Ezért kikapcsoljuk a valósidejű védelmet, majd feltelepítünk egy rootkitet, melynek segítségével különféle állományokat rejtünk el. Elindítunk egy kézi víruskeresést a rendszeren. A NOD32 megtalálja a rootkitet, és komponenseit, és sikeresen képes tőlük megtisztítani a rendszert.

Fontos megjegyzések Amit ebben a bemutatóban láthatunk, az a NOD32 2.7 verziójában debütáló új Anti-Stealth technológia. Demonstrálni szeretnénk, hogy a NOD32 már aktív rootkitek ellen is hatékony védelmet nyújt. Rootkitnek az Interneten szabadon elérhető FU Rootkit v:2.0 nevű csomagot töltöttük le, és azzel végeztük a kísérletet. A FU igen elterjedt rootkit - még kereskedelmi verzió is létezik belőle. A FU a DKM (Direct Kernel Object Manipulation), azaz a kernel objektum közvetlen módosításával manipulálja a rendszert. Ezt a tesztet egy biztonsági szakértő hajtotta végre, szigorúan ellenőrzött körülmények között. Bár hiszünk benne, hogy a NOD32 2.7 a lehetséges legjobb védelmet kínálja a különféle digitális fenyegetések ellen, mégis határozattan azt tanácsoljuk, hogy a kísérletet semmiképpen ne próbálják ki otthoni körülmények között! A használt állományok: "fu.exe - A FU főprogramja "msdirectx.sys - A FU rootkit egy módosított példánya A rootkiteket leggyakrabban pontosan arra használják, hogy segítségükkel különféle eljárásokat, program állományokat álcázzanak.

Feltelepítettük a NOD32 2.7-es változatát egy Windows XP operációs rendszert futtató számítógépre.

A program telepítés után automatikusan frissíti a vírusdefinciókat.

Létrehozunk egy rejtett nevű mappát, ide fogjuk bemásolni a FU rootkitet.

Indítsunk el a parancssorból egy DOS ablakot!

A rootkitek többségét ismerik a víruskeresők, emiatt már a rootkit másolásának vagy telepítésének puszta kísérletekor riasztást kapunk. Másoljuk be a FU rootkit állományait a "rejtett" nevű mappába!

Az AMON modul haladéktalanul közbelép, riaszt és töröl, illetve karanténba helyez, ha ezt kérjük tőle.

Jól vizsgázott a NOD32, már a bemásolás is meghiúsult.

Ezért most ki fogjuk kapcsolni az állandó védelmet ahhoz, hogy bemásolhassuk és telepíteni tudjuk a rootkitet. Ezt a lépést nem ajánljuk senkinek!

Miután kikerül a pipa az "AMON engedélyezése" jelölőnégyzet mellől, az AMON modul addig kék ikonja pirosra változik át. Emellett a Windows Biztonsági Központ is azonnal figyelmeztet, hogy nincs állandó vírusvédelmünk.

A letölthető csomagban Jamie Butler fejlesztő mellékelte a rootkit forráskódját is...

Egyelőre csak bemásoltuk a rootkitet, de még nem futtattuk le azt.

A telepítendő rootkit komponenseit megvizsgáltattuk a www.virustotal.com weboldalon is. A "fu.exe" esetében jól láthatóan szinte minden vírusvédelmi eszköz kimutatta a fertőzést.

A Sunbelt leírása arról tájékoztat minket, hogy a trójai kártevő akár az AIM csevegő kliensen is érkezhet, mint egy képre mutató link.

A FU rootkit leírásából tudjuk, hogy a rendszerleíró adatbázisban (Registry) is elhelyez egy kulcsot a manipulációjához.

Most leellenőrizzük ezt a bizonyos helyet: HKLM\SYSTEM\CurrentControlSet\Services\msdirectx Mivel még nem indítottuk el a FU rootkitet, a bejegyzés nem létezik.

A rootkit elindítása után a beépített súgóban számos lehetőséget láthatunk: futó folyamatok kilistázása, folyamatok elrejtése, megadott eszközmeghajtó elrejtése, jogosultságok megváltoztatása, stb.

Kezdjük a futó folyamatok kilistázásával.

A szemléletesség kedvéért elindítjuk a Windows Feladatkezelőt (Task Manager) és a látható oszlopok közé kiválasztjuk az egyedi folyamat azonosítót (Process ID) is.

Minden futó folyamathoz tartozik egy egyedi azonosító. Míg a Feladatkezelőben csak a folyamat leállításaára van módunk, mi most láthatatlanná tesszük a már futó folyamatokat. Elsőként az 1776 egyedi ID kerül sorra.

Jól látható, hogy a Feladatkezelőben a 26-ról 25-re csökkent a kijelzett folyamatok száma, és az 1776-os sorszámú folyamat eltűnt.

A 0-ás azonosító kivételével akár az összes folyamat elrejthető. Jól látható azonban, hogy ezek nem leállítva, hanem csak elrejtve lettek: például a NOD32 és Feladatkezelő továbbra is működik.

A FU rootkittel adott eszközmeghajtó elrejtésére is van lehetőségünk.

Ellenőrizzük le ismét a rendszerleíró adatbázist!

Nézzük meg a korábban ismertetett helyet: HKLM\SYSTEM\CurrentControlSet\Services\msdirectx Mivel már elindítottuk a FU rootkitet, a bejegyzést ezúttal már megtaláljuk.

A 0-ás azonosító kivételével semmilyen futó folyamat nem látszik.

Futtassuk most le a NOD32 kézi indítású víruskeresőjét!

A teljes C: meghajtó tartalmát meg fogjuk vizsgálni.

Mivel alapos ellenőrzést szeretnénk, kapcsoljunk be mindent!

Ez maga a FU rootkit főprogram. Töröljük ki!

Ez pedig a rootkit módosított másolata. Szintén törölhető.

Mindkét rootkit komponenst sikeresen észlelte a NOD32 és ezek eltávolításra is kerültek.

A rejtett folyamatok azonban még mindig nem látszanak. Ehhez újra kell indítanunk a számítógépet.

Tegyünk hát így, és indítsuk újra gépünket!

Láthatjuk, hogy a rejtett mappánkból az összes kártékony állomány ("fu.exe", "msdirectx.sys") sikeresen törlődött.

Az újraindítás után ismét látszanak a futó folyamatok, ez határozottan jó jel.

Mindenkinek azt tanácsoljuk, hogy fertőzés gyanús esetekben azonnal futtasson le egy alapos és az összes fizikai meghajtóra kiterjedő keresést, hiszen a hasonló kártevők gyakran telepítenek további rosszindulatú kódokat is a rendszerben. Indítsunk ellenőrzésképpen egy komplett vizsgálatot!

Az alapos ellenőrzéshez kiválasztunk minden opciót. Emlékezzünk, az Anti-Stealth technológia már alaphelyzetben is bekapcsolt állapotban van.

A gép újraindítása után elvégzett teljes keresés is tisztának jelzi a gépet.

A rendszer ismét tiszta és tökéletesen működik, a NOD32 2.7 új verziójának köszönhetően.

Az ESET NOD32 program 2.7 verzió rootkit mentesítési bemutatóját látták.

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés