Chap 7 SS 7-5
要抓 rootkit,要先有證據。
針對「AFX Windows Rootkit 2003」這套工具的特徵,可以用 Perl Script 來抓;好的是可以自己再來修改。
==>我認為這個 script 是一個「釣竿」的角色,根據以下作者的說明,事實上這個 script 示範了很多的東西。一來可以認識 Perl 在Windows上的威力,二方面是給了一個「根基」可以在這方面繼續發揮;如果將來從什麼地方得知了新的 signature,可以自己改來偵測。
==>注意,這個script利用很多的外部程式,什麼 tslist.exe, openports 等等。所以之前作者那麼強調
「command line」就可以搞定的工具之重要性;只不過我也沒有想到在Windows當中也可以這樣利用就是了
==>當這個script我可以完全消化的時候,我就可以說自己是大有進步了
tlist.exe和openports.exe 用的API不一樣的
query the Service Control Manager (SCM)
大部分的這種工具都是以這種「歷史資料」開始的;如何擴充是以後的事情了…
==>真好;那就都從遠端來執行吧
==>可以和local tools做配合,一起來調查
==>還有其他的可能性
==>不要忘記,這是一個「基石」,將來有其他rootkit的話,這裡面的東西是可以改的;當然也許只是「增加」而已…
沒有留言:
張貼留言