LINUX.ORG.RU
ФорумTalks

Руткит через отладку


0

0

http://www.opennet.ru/opennews/art.shtml?num=17753

>Вместо классического перехвата обработки системных вызовов или таблицы прерываний (IDT), которые легко обнаруживается утилитами для анализа системы на предмет наличия скрытого ПО, в рутките DR Linux использованы возможности трассировки и отладки в современных процессоров (IA32). DR получает управление, через установку на обработчики системных вызовов аппаратных точек останова (breakpoint), а на определенные области памяти ядра - ловушек (trap).

Отсюда нетривиальный вывод, x86 говно! Ас ервера нужно держать на спарках.

★★☆
Поддержка 945GME в intelfb (для владельцев hp 530, eee 901 etc)
[возможно баян][вещества]LOR на китайском

А на спарках нельзя ставить аппаратные бряки?

Legioner ★★★★★
()

> Отсюда нетривиальный вывод, x86 говно! Ас ервера нужно держать на спарках.

1) кто-то раскопал кладбище баянов и открыл для себя наконец-то отладочные регистры 2) возможность аппаратной бкировки записи в отладочные регистры лет 15 существует. Бит GD в CR0 если не ошибаюсь. Возможность сброса этого бита также можно заблокировать аппаратно. Учите матчасть.

anonymous
()

>Отсюда нетривиальный вывод, x86 говно!

Поддерживаю, но альтернатив нормальных, доступных и дишовых пока нет;)

hse
()

Спарки тоже гамно. И паверы гамно. Рулят только многоядерные армы.

Gharik
()

AMD Phenom(tm) 8650 Triple-Core Processor. система 64-х битная, без 32-х битных либ и эмуляции ia32, ядро монолит.
%make
make -C /lib/modules/`uname -r`/build M=`pwd` modules
make: *** /lib/modules/2.6.27-rc5/build: Нет такого файла или каталога. Останов.
make: *** [all] Ошибка 2
%lsmod
Opening /proc/modules: No such file or directory

saahriktu ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Поддержка 945GME в intelfb (для владельцев hp 530, eee 901 etc)
Talks
[возможно баян][вещества]LOR на китайском