detección de rootkits casera

Todo sobre los distintos SSOO de Windows

Moderador: Moderadores

detección de rootkits casera

Notapor Sor_Zitroën » Dom Sep 11, 2011 10:50 pm

Me he leído el libro de Análisis forense digital en entornos Windows y veo que mediante sigcheck se comprueban si ciertos ficheros han sido firmados. Por lo tanto veo que se puede utilizar para comprobar de forma casera si hay algún rootkit en el sistema.

Está muy bien tener un antirootkit que compare la salida de funciones de Windows mediante su API y luego la implementación propia para detectar procesos ocultos, ficheros/directorios, puertos a la escucha, conexiones, etc. Pero ya digo, de lo que se trata aquí es de una solución fácil y medio casera para salir del paso.

Teniendo en cuenta que a partir de Windows Vista los ficheros propios de Windows se firman, se puede mirar con sigcheck los ficheros de system32. Si hay alguno no firmado... pues ya canta a rootkit.

Decidme vuestros opiniones si realmente sería un método fiable o no, y por qué.
Gracias :)
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Re: detección de rootkits casera

Notapor NewLog » Lun Sep 12, 2011 8:39 pm

Pues no conozco la herramienta, ni que los ficheros de Microsoft fueran firmados, así que parece muy buena idea.

También añadiría alguna aplicación que avisara si alguna clave del registro se ha creado o modificado.

Con estas dos cosas imagino que pillarías la mayoría del malware genérico.
Imagen
http://www.overflowedminds.net - Quieres introducirte al exploiting?
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Re: detección de rootkits casera

Notapor Sor_Zitroën » Lun Sep 12, 2011 8:46 pm

Yo tampoco conocía lo que tú comentas hasta que me leí el libro. Aunque hay alguna cosa que ha quedado desfasada (en vez de Win32dd, DumpIt), te recomiendo el libro ;)

Lo de las claves de registro no lo veo, más que nada porque se modifican con mucha frecuencia y los falsos positivos irían que vuelan.

Por cierto, en el primer post me refería a ejecutar sigcheck con las opciones -u -e
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am


Volver a Windows

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados

cron