Her om dagen oppdaget jeg til min store forskrekkelse at jeg hadde glemt en server. Den sto så bortgjemt og gjorde ingen verdens ting. Det er nemlig en backupserver som utelukkende står klar til å overta for en annen server dersom den andre serveren av noen grunn skulle finne på å tryne.

Selvfølgelig, etter noen måneder uten vedlikehold er boksen full av drit, inkludert et faktisk veldig lærerikt rootkit, kalt HackerDefender. Det som var artig med rootkit’et var at det faktisk var ganske godt skjult, og for å avsløre det, og for senere å sjekke andre bokser i nettverket, måtte jeg lære meg litt om Kernelmode debugging.

Det jeg har funnet ut er en relativt grei måte å sjekke for akkurat dette rootkit’et er å laste ned og installere Microsoft Debugging Tools for Windows og LiveKD fra mine helter hos SysInternals.com. LiveKD gir deg muligheten til å se, på Kernelnivå, hva som kjører på et system, og kan derfor lure seg rundt Usermode rootkits som HackerDefender.

Det jeg gjør er som følger:
– Installere Debugging tools
– Laste ned LiveKD
– Starte LiveKD
– følge info om nedlasting av symboler
– Ved første prompt i KD (som startes av LiveKD): !process 0 0
(ovennevnte er !process [null][null], ikke bokstaven mellom n og p).

Dette gir deg en liste over alle kjørende prosesser, og det er ingenting Usermode rootkits kan gjøre for å lure deg. Takk til Mark Russinovich for inspirasjon og for tips om KD.

Kernelmode debugging er nyttig i andre scenarier også, så om du er opptatt av hvordan ting funker _litt_ under skallet så ta deg tid til å lese informasjonen som følger med Debugging-tools som nevnt over.

Found this article valuable? Want to show your appreciation? Here are some options:

a) Click on the banners anywhere on the site to visit my blog's sponsors. They are all hand-picked and are selected based on providing great products and services to the SharePoint community.

b) Donate Bitcoins! I love Bitcoins, and you can donate if you'd like by clicking the button below.

c) Spread the word! Below, you should find links to sharing this article on your favorite social media sites. I'm an attention junkie, so sharing is caring in my book!

Pin It

Published by

Bjørn Furuknap

I previously did SharePoint. These days, I try new things to see where I can find the passion. If you have great ideas, cool projects, or is in general an awesome person, get in touch and we might find out together.

Leave a Reply

Your email address will not be published.