nV 25
01-09-2006, 10:59
Non sapevo come attrarre l'attenzione senza al contempo scatenare scene di panico (peraltro immotivate...), per questo ho scelto un titolo che fosse il + possibile "soft" e solo apparentemente non coerente con la sezione Antivirus/sicurezza... :)
Se vi avessi detto infatti bruscamente:
oh, c'è un ROOTKIT che che ci portiamo dietro "da mò", bè, immagino le reazioni di molti.... :D
Per cui, con calma, e senza farla troppo lunga, vi spiego brevemente la faccenda. :)
Sicuro di essere "discretamente" protetto, decido di fare (per scrupolo) una passata veloce con un nuovo AntiRootkit sviluppato recentemente da Sophos (Link! (http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html)).
Bè, resto colpito da un fatto:
http://img166.imageshack.us/img166/600/uhmo3.th.jpg (http://img166.imageshack.us/my.php?image=uhmo3.jpg)
Uhhhh? :huh:
O che è questa storia? :mbe:
Cerco di andare un attimino a fondo.
Non è difficile, dopo una banale ricerca su Google, arrivare al sito Sysinternals, precisamente qui: http://www.sysinternals.com/blog/2006/02/using-rootkits-to-defeat-digital.html
Uhhhhhh? :mbe:
Cosa leggo? :eek:
"L'USO DI ROOTKIT PER SCONFIGGERE (aggirare..) IL DRM (Digital Rights Management)"
* qui in realtà ci sarebbe tutta la parte dei moccoli che, per ovvi motivi, salto....
EHM: :stordita:
ebbene si, Alcohol/DT impiegano dei meccanismi poco trasparenti per tutto il discorso dei drive virtuali, ecc...
http://img166.imageshack.us/img166/7849/rifji4.jpg
Eccole qui, in tutta la loro magnificenza, la serie di chiavine incriminate (per Alcohol, che è quello che uso...):
http://img111.imageshack.us/img111/1386/rootkitrevealerfinalemn1.jpg
Ma vieeeeeniiiiiiii.... :stordita: :p
(per vedere meglio l'ultimo screen, http://img166.imageshack.us/img166/3677/rootkitrevealerfinaleaa1.th.jpg (http://img166.imageshack.us/my.php?image=rootkitrevealerfinaleaa1.jpg))
CONCLUSIONI:
per quanto non vi siano prove che questi programmi impieghino rootkit (parole di Mark Russinovich, 2° screen...), l'evidenza parla chiaro come fà giustamente notare lui.....indi, pace, me lo tengo visto che Alcohol mi serve... :ciapet:
Peraltro è li' bono bono da circa 2 anni.... :fiufiu: :D
PS: Per chi "mi legge" un pò di +, dico solo questo:
Process-Guard (o RegDefend...) in realtà non hanno fallito nell'identificazione:
la colpa, infatti, è solo mia in quanto, in fase di set-up di Alcohol, ho avuto la brillante idea (come faccio sempre, poi, peraltro...) di disabilitare i miei HIPS...
Ma questo sarebbe un'altro capitolo a se....
Se vi avessi detto infatti bruscamente:
oh, c'è un ROOTKIT che che ci portiamo dietro "da mò", bè, immagino le reazioni di molti.... :D
Per cui, con calma, e senza farla troppo lunga, vi spiego brevemente la faccenda. :)
Sicuro di essere "discretamente" protetto, decido di fare (per scrupolo) una passata veloce con un nuovo AntiRootkit sviluppato recentemente da Sophos (Link! (http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html)).
Bè, resto colpito da un fatto:
http://img166.imageshack.us/img166/600/uhmo3.th.jpg (http://img166.imageshack.us/my.php?image=uhmo3.jpg)
Uhhhh? :huh:
O che è questa storia? :mbe:
Cerco di andare un attimino a fondo.
Non è difficile, dopo una banale ricerca su Google, arrivare al sito Sysinternals, precisamente qui: http://www.sysinternals.com/blog/2006/02/using-rootkits-to-defeat-digital.html
Uhhhhhh? :mbe:
Cosa leggo? :eek:
"L'USO DI ROOTKIT PER SCONFIGGERE (aggirare..) IL DRM (Digital Rights Management)"
* qui in realtà ci sarebbe tutta la parte dei moccoli che, per ovvi motivi, salto....
EHM: :stordita:
ebbene si, Alcohol/DT impiegano dei meccanismi poco trasparenti per tutto il discorso dei drive virtuali, ecc...
http://img166.imageshack.us/img166/7849/rifji4.jpg
Eccole qui, in tutta la loro magnificenza, la serie di chiavine incriminate (per Alcohol, che è quello che uso...):
http://img111.imageshack.us/img111/1386/rootkitrevealerfinalemn1.jpg
Ma vieeeeeniiiiiiii.... :stordita: :p
(per vedere meglio l'ultimo screen, http://img166.imageshack.us/img166/3677/rootkitrevealerfinaleaa1.th.jpg (http://img166.imageshack.us/my.php?image=rootkitrevealerfinaleaa1.jpg))
CONCLUSIONI:
per quanto non vi siano prove che questi programmi impieghino rootkit (parole di Mark Russinovich, 2° screen...), l'evidenza parla chiaro come fà giustamente notare lui.....indi, pace, me lo tengo visto che Alcohol mi serve... :ciapet:
Peraltro è li' bono bono da circa 2 anni.... :fiufiu: :D
PS: Per chi "mi legge" un pò di +, dico solo questo:
Process-Guard (o RegDefend...) in realtà non hanno fallito nell'identificazione:
la colpa, infatti, è solo mia in quanto, in fase di set-up di Alcohol, ho avuto la brillante idea (come faccio sempre, poi, peraltro...) di disabilitare i miei HIPS...
Ma questo sarebbe un'altro capitolo a se....