lqp - Sony Rootkit возвращается.
September 5th, 2007
09:29 pm

[Link]

Previous Entry Add to Memories Tell A Friend Next Entry
Sony Rootkit возвращается.

(13 comments | Leave a comment)

Comments
 
From:[info]lqp
Date:September 8th, 2007 - 01:30 pm
(Link)
Простите, я не понял, что именно вы хотите сказать своей ссылкой? Выскажитесь, пожалуйста, подробнее.

SecuROM скрывает себя от пользователя и активно препятствует правильной работе средств системного анализа, в частности отладчика. Это именно та функциональность, которая называется rootkit.
From:(Anonymous)
Date:September 9th, 2007 - 12:38 pm
(Link)
SecuROM не скрывает себя от пользователя, хотя в какой-то мере сопротивляется своему отключению без деинсталляции и непонятно можно ли 100% деинсталлировать штатными средствами.
SecuROM также, если не отключена пользователем, позволяет любой программе получить администраторские права на машине.

Но SecuROM не скрывает себя от пользователя, я дал прямую ссылку на одно из множества мест в обсуждениее на /. где описанно где именно в Windows располагается упрвление SecuROM и его файлы.

В отличие от руткита на музыкальных дисках Sony, который прятал себя и друзей-вирусов (делал невидимыми файлы и ключи реестра), SecuROM не прячет себя, более того доступен к управлению стандартными средствами Windows (насколько оплностью подчиняется управлению - может быть можно спорить, но специальная регистрация в штатных местах управления и скрытие от пользователя противоречат друг другу)

Либо уже вы приведите ссылки, что SecuROm не просто Вася Пупкин назвал руткитом, чтобы получить первое место в Гугле, а какие именно свои частии и как именно делает SecuROM невидимым для пользователя.

И в каком месте он мешает работать средствам системного анализа? Пока я видел строго наоборот, это именно SecuROM отказывается работать в их присутствие. Это такой-же руткит, как шпион, который придёт в МинОбороны и начнём скандалить у дверей, чтобы его пропустили в библиотеку и не срывали ему планы по копированию секретной информации. Это всё что угодно, хулиган, сволочь, идиот - но только не шпион. А SecuROM который заявляет пользователю что он не будет работать не в коем случае не руткит, который патчит ядро системы, чтобы только пользователь его никак не увидел.
From:[info]lqp
Date:September 9th, 2007 - 04:59 pm
(Link)
Любой практически руткит паразитирует на тех или иных системных вызовах. Таких мастеров, чтобы перехватывали управление на уровне железа, за всю историю вычислительной техники раз, дав, и обчелся. Разумеется, любой процесс, который нужно выполнять в фоне должен в винде оформлятся как сервис. Но от этого руткит не перестает быть руткитом, точно также как юниксовые руткиты не перестают быть таковыми на том основании, что они используют сисколл daemon.

Никакого отличия от оригинального сониевского руткита тут разумеется нету, потому что это
тот же самый
руткит.
From:(Anonymous)
Date:September 9th, 2007 - 09:36 pm
(Link)
Да... Не, ну себя любить надо конечно, но чтобы так.... Игнорируя не только логику но уже даже и факты...

Начнём с мелочи: "Разумеется, любой процесс, который нужно выполнять в фоне должен в винде оформлятся как сервис"
Разумеется, это не правда.


>это тот же самый руткит.

"оригинальный" сонивский руткит во-первых был разработан совсем другой фирмой и лицензирован Sony. Тогда Сони была в позиции биошоковцев - купивших не то что надо не у тех кого надо.

http://en.wikipedia.org/wiki/Sony_rootkit - здесь собран овместе
http://blogs.technet.com/markrussinovich/archive/2005/10/31/sony-rootkits-and-digital-rights-management-gone-too-far.aspx - хдесь оригинальная история.


Кроме того я снова вас прошу всё-таки назвать какие именно файлы и ключи реестра делает невидимым SecuROM. Должны же у вас быть хоть малейшие основания называть SecuROM руткитом, кроме "мамой клянусь".



Тем более раз вы назвали это одним и тем же руткитом, повторите пожалуйста про SecuROM следующие факты про оригинальный руткит XCP:

1) программа разработана компанией F4I у которой Sony купило право ее тиражирования и использования
2) программы делает невидимыми все файлы (включая папки), название которых начинается с "$sys$"
3) программы делает невидимыми все ключи реестра, название которых начинается с "$sys$"
4) программы делает невидимыми все запущенные процессы, название EXE которых начинается с "$sys$"
5) у программы нет совей деинсталляции, равно она не деинсталлируется пр идеинсталяции принёсшей ее игры
6) при удалении программы из системы перестают работать оптические приводы

Ну и наоборот, расскажите как у Руссиновича отказался проигрываться музыкальный диск, из за запущенного Process Explorer.


Или наконец признаёте что погнались за сенсацией и скопипастили чушь.
From:[info]http://users.livejournal.com/_iga/
Date:October 2nd, 2007 - 07:39 am
(Link)
Гм, интересная тут переписка.
Powered by LJ.Rossia.org