Йоанна Рутковська: биография

У середині листопада 2005 року Євген Тумоян і Максим Аникеев з Таганрозького державного університету опублікували документ «Network Based Detection of Passive Covert Channels in TCP / IP» («рос.Мережеве виявлення пасивних прихованих каналів в TCP / IP»), що описує новий спосіб виявлення прихованих каналів (у тому числі і каналів, створених програмою NUSHU) на основі використання ISN-нумерації в стеку протоколів TCP / IP. Через місяць даний документ був викладений і для безкоштовного ознайомлення.

Виступаючи на 22-му Chaos Communication Congress в кінці грудня 2005 року Стівен Мердок під час своєї презентації спеціально приділив увагу технічних подробиць про роботу програми NUSHU. Сама Йоанна порахувала цю презентацію «дуже кльовою».

FLISTER

FLISTER - концепт-код для демонстрації можливості виявлення файлів, прихованих Windows-руткитами відразу в обох режимах користувача і ядра. Програма заснована на використанні помилок (як правило, зроблених авторами руткітів) обробки виклику функціїZwQueryDirectoryFile ()з методомReturnSingleEntry, встановленим як TRUE.

Програма була написана на початку 2005 року. 24 січня 2005 Йоанна опублікувала початковий код програми.

Тести, проведені на початку 2007 року, показали, що дана програма не тільки нестабільна, а й «виявлення руткітів за допомогою цієї програми практично неможливо».

modGREPER

modGREPER - детектор прихованих модулів для Windows 2000/XP/2003. Програма переглядає всю пам'ять, що використовується ядром (адреси0x80000000 - 0xffffffff), у пошуках структур, схожих на коректні об'єкти опису модулів. Поки що програма розпізнає лише два найбільш важливих типу об'єктів: досить відомий_DRIVER_OBJECTта_MODULE_DESCRIPTION. modGREPER володіє якоюсь подобою вбудованого штучного інтелекту (точніше, кілька наборів логічних правил, що описують можливі поля структури), що дозволяє йому визначати, чи дійсно дані байти описують об'єкт модуля.

Потім modGREPER будує список знайдених об'єктів, порівнює їх один з одним, і в підсумку порівнює отриманий список зі списком модулів ядра, отриманого за допомогою документованих функцій API (EnumDeviceDrivers).

Малося на увазі, що modGREPER був в змозі виявляти всі види способи приховування модулів, використовувані на момент виходу програми. Крім того, деякі з модулів можуть позначатися як «SUSPECTED» («рос.Підозрілі»). Це застосовується до нескритим модулям, чиї відповідні файли образів або відсутні або розташовані у прихованих каталогах (прихованих руткітам, а не системою). Корпорація Майкрософт було додано через те, що більшість руткітів навіть не намагаються приховати свої модулі ядра від API.

Програма також може виявляти і виводити список незавантажених модулів ядра. Це іноді дозволяє більш просунуті (бездрайверние) руткіти ядра. Однак цей список має деякі обмеження: у нього обмежений обсяг і він містить лише основне (базове) ім'я модуля (без вказівки шляху).

Однак, сама ж Йоанна визнала, що цілком можливо писати руткіти, що не піддаються подібної перевірці. Причому, в якості основної мети випуску такої програми вона сама ж вказала на прагнення простимулювати хакерів на написання більш витончених руткітів.

Перша версія програми (0.1) була випущена 6 червня 2005 року, друга і остання на даний момент ( 0.2) - 14 червня 2005 року.

Тести, проведені на початку 2007, показали, що дана програма не тільки нестабільна, а й «виявлення руткітів за допомогою цієї програми практично неможливо».

System Virginity Verifier

Програма являє собою невелику консольну утиліту, що запускається з командного рядка. Ідея, що лежить в основі SVV, полягає в перевірці основних системних компонентів Windows, які різні шкідливі програми прагнуть змінити. Перевірка дозволяє гарантувати цілісність системи і виявляти потенційне зараження системи.