また、ルートキットの新しいバージョンの研究を掘り下げました。以前のバージョンとは根本的に異なっていたからです。 しばらくして、TdlFsReaderの内部バージョンが更新されました。 そして先月、クラクフで開催された素晴らしいCONFidence'2011カンファレンスで講演する機会がありました。そこでは、レポート「 Defeating x64:The Evolution of the TDL Rootkit 」が発表され、その中で新しいバージョンのTdlFsReaderが発表されました(hxxp://eset.ru/tools /TdlFsReader.exe)。
それでは、ツール自体について詳しく説明します。 実際、新しいバージョンは、公開時点でのすべての既知の変更に対応できます。 そして、これはTDL3 / 3 + / 4であり、x86バージョンだけでなくx64にも対応しています。
TdlFsReaderのアーキテクチャについて少し説明します。実際には、カーネル内の部分とそうでない部分の2つの部分に分かれています。
主なポイントは、ルートキットのバージョンを決定し、分析に対抗するメカニズムを削除してから、ファイルシステムとその分析にアクセスできるようにすることです。
ボーナスとして、TDL4でブートキットコードをデバッグする別のビデオです。実際には、x64システムのドライバーのデジタル署名の検証をバイパスします。