Tuesday, January 12, 2010

Zemana AntiLogger Bill Mullins’ Weblog’da

Teknoloji meraklılarının takip ettiği ve dünyaca ünlü Bill Mullins blog editöru, Zemana AntiLogger’ı incelemis ve çok etkileyici bir inceleme yazisina yer verdi. Orijinal haberi buradan okuyabilirsiniz.



Thanks Bill !



4 comments:

  1. en kısa zamanda, x64 desteğini de görebilmek üzere...

    Çalışmalarınızda başarılar diliyorum.

    Emre

    ReplyDelete
  2. Destegin ve ilgin icin cok tesekkur ederiz,

    x64 ile calismalar cok olumlu gidiyor, Microsoft'tan edindigimiz yeni SDK ve API'ler sayesinden bircok seyi PatchGuard'i kizdirmadan halledebiliyoruz ancak, RPC,LPC ve benzeri IPC koruma gibi bir cok konu icin henuz global bir cozum malesef yok (Ornegin 64bit bir process'in explorer.exe'ye code parcasi inject etmesi ve buradan sistem gibi davranmasini algilayacak bir koruma yok tabi PatchGuard bypass edilmeden) bir cok firewall ve sandbox programi x64 icin surum yapiyorlar ancak bu su anlama gelmiyorki; bu bolgeleri proactive olarak koruyorlar hatta bunu kullanicilari ile paylasmiyorlar ve tuketici, x86 da oldugu gibi korundugunu dusunuyor.

    NOTE: Leak testlerin hepsi 32bit oldugundan, x64 sistemde denendiginde wow64 emulasyon altinda calisiyor ve tum sistem cagrilari tespit edeilebiliyor, ancak eger Leak test native x64 binary olsa idi ve API cagrilarini user-hook'a yakalamadan SYSENTER mekanizmasi uzerinden yaparsa, su anda piyasadaki tum cakma 64bit destekli hips,sandbox,firewall vs'i bypass edecektir. Zaten yakinda native x64 leak testler cikacaktir cikmassa bir tane biz yazariz :)
    Leak test yok ancak az da olsa native x64 rootkit ve malware'ler mevcut.

    Ancak ilerleyen zamanlarda microsoft bazi cozumler sunacak ve bizde hemen bu cozumleri uygulamaya calisacagiz.

    Konuyu bilmeyenler icin; AntiLogger 64 bitlik işletim sistemlerinde çalışmama nedeni : AntiLogger gerçek zamanlı koruma mantığı ile çalışmaktadır ve gerçek zamanlı koruma yapabilmek için, Windows çekirdekte, bazı değişiklikler yapmak zorundadır. Ancak, MS Windows, 64 bit’li sistemlerde çekirdekte işlem yapılmasına izin vermemektedir. Bu nedenden dolayı, AntiLogger 64 bit'lik sistemlerde çalışmamaktadır.

    ReplyDelete
  3. Merhabalar Erkan,

    Uzun zamandır yazamıyorum. Mesai öyle yoğun ki, elimdeki kitaplardan bir tanesini bile bitiremedim.

    PatchGuard konusunda bahsettiğin gibi, MSR, Hal.dll, ntoskrnl.exe, IDT, SDT vb. gibi bölümler korunuyor.
    Fakat Windows'un işlemci desteği almadan tam bir koruma sağlaması hiç bir şekilde mümkün olmayacak. Donanım destekli bir sistem olmadan, aynı güçteki iki componentin birbirini kontrolü zor gibi görünüyor.

    KPP bypass edilmeden, işin büyük kısmı UserHook'larla da halledilebilir fakat tam korumanın sağlanabileceğini düşünmüyorum.

    Henüz Microsoft'un KPP için önerdiği Registry Filter Notifications ve File System Minifilters, Object Manager Filtering ve Process Notifications tekniklerine göz atmadım, inşallah en kısa zamanda çalışmaya başlayacağım.

    1 Şubat'tan itibaren görüşmek üzere...

    Saygılar

    ReplyDelete
  4. Evet blogununuzu takip ediyorum, parometre programini heyecan ile bekliyoruz. Beta'da haber vermeyi unutmassin umariz.

    64bit'e gelince evet seninde dedigin gibi donanim destegi olmadigi icin PatchGuard cok basit bypass ediliyor ,bu durumda malware gelistiriciler icin sorun olmuyor cunku bir windows guncellemesinde malware'in yuklu oldugu sistemin cokmesi bunu yazanin pek umurunda degil ancak bu turde bir bypass'i, biz guvenlik yazilimcilari yaparsa ve bir guncellemede kullanicilarin sistemi bsod vermeye baslarsa felaket olur. Bu durumda PatchGuard hernekadar rootkit'ler icin yapilmis olsada asil engelledigi sesgisel koruma yapan guvenlikciler oldu malesef. Su an 64bit'in pazar payi %7 gibi ama 2-3 yil sonra bu pay %40'lara gelebilir o yuzden Microsoft umariz bu konu icin en kisa zamanda yeterli bir SDK gelistirir.

    ReplyDelete