Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
1
CZYMJESTROOTKIT:STuDIuM
PRZYPADKuTDL3
Wtymrozdzialewprowadzimypojęciero-
otkita,wykorzystującrodzinęTDL3jako
przykład.TenrootkitsystemuWindowsjest
dobrymprzykłademzaawansowanychtechnik
przechwytywaniakontroliiprzepływudanych,wyko-
rzystującychniższewarstwyarchitekturysystemuope-
racyjnego.Przyjrzymysiętemu,jakTDL3infekuje
systemijakpokonujeokreśloneinterfejsyimechani-
zmyOS,abyprzetrwaćipozostaćniewykrytym.
TDL3wykorzystujemechanizminfekcji,którybezpośrednioładujejego
koddojądraWindows,przezcostałsięnieskutecznypowprowadzeniu
przezMicrosoftśrodkówzapewnianiaintegralnościjądraw64-bitowychsys-
temachWindows.NiemniejtechnikiużywaneprzezTDL3wceluwstrzyk-
nięciakodudojądranadalsąwartościowejakoprzykładtego,jakmożna
niezawodnieiskutecznieprzejąćwykonywaniekodujądra,gdyudasięomi-
nąćtegorodzajumechanizmyzabezpieczające.Podobniejakwprzypadku
