TDL3, Windows 64 đầu tiên tương thích với chế độ rootkit rootkit nhiễm trùng trong tự nhiên, là ở đây!

TDL3, Windows 64 đầu tiên tương thích với chế độ rootkit rootkit nhiễm trùng trong tự nhiên, là ở đây!
TDL3, Windows 64 đầu tiên tương thích với chế độ rootkit rootkit nhiễm trùng trong tự nhiên, là ở đây!

Video: TDL3, Windows 64 đầu tiên tương thích với chế độ rootkit rootkit nhiễm trùng trong tự nhiên, là ở đây!

Video: TDL3, Windows 64 đầu tiên tương thích với chế độ rootkit rootkit nhiễm trùng trong tự nhiên, là ở đây!
Video: 🔴 TRỰC TIẾP BẢN TIN THỜI SỰ HTV 20G | 07/6/2023 | HTV TIN TỨC - YouTube 2024, Tháng Ba
Anonim

Bộ rễ TDL3 là một trong những rootkit tiên tiến nhất từng thấy trong tự nhiên. Rootkit ổn định và có thể lây nhiễm sang hệ điều hành Windows 32 bit; mặc dù quyền quản trị viên là cần thiết để cài đặt nhiễm trùng trong hệ thống.

TDL3 hiện đã được cập nhật và lần này là bản cập nhật lớn; rootkit hiện có thể lây nhiễm các phiên bản 64 bit của hệ điều hành Microsoft Windows!
TDL3 hiện đã được cập nhật và lần này là bản cập nhật lớn; rootkit hiện có thể lây nhiễm các phiên bản 64 bit của hệ điều hành Microsoft Windows!

Phiên bản x64 của Windows được coi là an toàn hơn nhiều so với phiên bản 32 bit tương ứng của chúng vì một số tính năng bảo mật nâng cao nhằm làm cho việc chuyển sang chế độ hạt nhân trở nên khó khăn hơn và hooking hạt nhân Windows.

Windows Vista 64 bit và Windows 7 64 không cho phép mọi trình điều khiển truy cập vào vùng bộ nhớ hạt nhân do kiểm tra chữ ký số rất nghiêm ngặt. Nếu trình điều khiển chưa được ký điện tử, Windows sẽ không cho phép trình điều khiển được tải. Kỹ thuật đầu tiên này cho phép Windows chặn mọi rootkit của chế độ hạt nhân khỏi bị tải, bởi vì các phần mềm độc hại thường không được ký - ít nhất, chúng không được.

Kỹ thuật thứ hai được Microsoft Windows sử dụng để ngăn các trình điều khiển chế độ hạt nhân thay đổi hành vi hạt nhân của Windows là Bảo vệ Patch Kernel khét tiếng, còn được gọi là PatchGuard. Quy trình bảo mật này chặn mọi trình điều khiển chế độ hạt nhân khỏi việc thay đổi các vùng nhạy cảm của nhân Windows - ví dụ: SSDT, IDT, mã hạt nhân.

Hai kỹ thuật này kết hợp với nhau cho phép các phiên bản x64 của Microsoft Windows được bảo vệ tốt hơn nhiều so với rootkit của chế độ hạt nhân.

Những nỗ lực đầu tiên của việc phá vỡ bảo mật Windows này đã được điều hành bởi Bộ khởi động Whistler, một bộ khởi động khung được bán ở dưới lòng đất và có thể lây nhiễm cả hai phiên bản x86 và x64 của Microsoft Windows.

Nhưng bản phát hành TDL3 này có thể được coi là nhiễm rootkit rootkit x64 tương thích đầu tiên trong môi trường hoang dã.

Các giọt nhỏ đang được giảm xuống bởi các trang web crack và khiêu dâm thông thường, nhưng chúng tôi sớm mong đợi để xem nó giảm bằng cách khai thác bộ dụng cụ quá, như đã xảy ra với nhiễm trùng hiện tại TDL3.

Đọc thêm tại Prevx.

Đề xuất: