понедельник, 26 сентября 2011 г.

Defeating x64: Modern Trends of Kernel-Mode Rootkits

Слайды нашей презентации на Ekoparty:



Это было незабываемо, одна из самых ярких конференций на которых мне доводилось побывать. Чуть позже подготовлю более детальный отчет с эксклюзивными фотками =)

суббота, 17 сентября 2011 г.

Ekoparty и VB2011


Достаточно длительное время мы трудились над исследованием современных буткитов для x64 и прочих техник обхода проверок цифровой подписи для модулей ядра на 64-битных системах. В итоге результаты нашего исследования будут представлены сначала на Ekoparty в Буэнос-Айресе в более хардкорном техническом варианте "Defeating x64: Modern Trends of Kernel-Mode Rootkits". А после этого на VB2011 в Барселоне уже в более концептуальном виде "Modern bootkit trends: bypassing kernel-mode signing policy", адаптированном для АВ-публики :)

В задачи подготовки этих выступлений входило не просто подготовить рассказ о современных техниках загрузки не подписанных модулей ядра на 64-битных системах, а рассказать о концептуальных причинах, которые делают это возможным и почему MS не может выпустить волшебный патч. После конференций слайды обязательно положу здесь ;)

воскресенье, 11 сентября 2011 г.

Win32/Wapomi модифицирует прошивку BIOS

Началось все в начале сентября с опубликованного, китайской антивирусной компанией 360 Security, сообщения в блог о найденной вредоносной программе, которая осуществляет модификацию прошивки  BIOS. Это сообщение не особо было замечено общественностью, быть может, ввиду того, что было опубликовано на китайском или из-за небольшого количества читателей самого блога. Но на прошлой неделе появилось уже сразу две публикации на английском:
Первая мало информативна, т.к. автор в основном рассуждает о былых временах и концептах ушедших лет, разбавляя это не очень интересными картинками. А вот второй пост от Symantec более содержателен и описывает некоторые подробности работы.