InprocServer32 / embedded nulls Tipo "False Positive" apie rootkit scan

Aš siandien noriečiau kalbeti apie kaip tu reiki supranti "Embedded Nulls". Gal kada nors tu ieskai Rootkit su programa kaip RootKitRevealer iš Microsoft. Gal tu jau ieskai ir dabar žinai kad jūsų kompeterai turi Embedded Nulls. Tu turi buti Nervingas jeigu tu rasysi kad jūsų komputerai yra pilna "Embedded Nulls". Taip gal turesi, bet yra tipo False Positive.


Pirma, InprocServer32 yra COM server kad gali sakyti tikslai path iš DLL. Daug informacija yra čia: http://msdn.microsoft.com/en-us/library/ms682390.aspx. Beveik visi rootkit gali daryti InprocServer arba InprocServer32. Ir kartais Registry Key su Embedded Null dirba su ImprocServerumi.



RootKitRevealer dažnai sakai gal yra Rootkit. PaVyždžiui čia yra vienas Log:

HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C 63153}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582 C741C}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C 16034}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D0 8C8B9}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83 632C0}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94 DB145}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD 34C19}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E9570 82D6D}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619 AC1A5}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF96 19B6F}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B 3DCEC}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304 BCD84}\InprocServer32* 2/19/200 5 18:15 0 bytes Key name contains embedded nulls (*)

Ir jeigu tu nori Delete TU NEGALI. Tikrai atrodai Rootkit. Bet dažnai nera. Mark Rusinovic rašo vienas mažas programas nes Delete Embedded Nulls. Čia tu gali tureti laisva: Download RegDelNull

Ar pirmadieniai tunos geriausai?

Aš buvau Pizza Jazz Laisves alejeje vakar. Dažnai valgau tuno ir visa menuo vasario tikrai negerai tuno. O viena diena mano vokietis draugas valgo tuno ir kvepi labai blogai kaip beždžione.

Tai vat.

Bet vakar...... Ne žinau kodel. Praejo tobulai.
Gal pirmadienis yra geriausai diena valgyti žuvies Pizza Jazzoje?

Tarnybos, Funksijos ir Rutinos ( Services, Functions, and Routines )

DIAGRAMA 1. "SHARED DLL"

• Windows API Functions - Documented Callable Subroutines in Windows API - pavyzdžiui CreateProcess, CreateFile, and GetMessage
• Native System Services (or Executive System Services) - Undocumented underlying services in OS Callable from User Mode. Pavyzdžiui: NTCreateProcess yra vidinę systemą tarnybą kad CreateProcess Funksija skambina nes sudaryti nauja Process
• Kernel Support Functions (or Routines) - Subrountines inside Windows OS kad tik gali paskambinti iš Kernel Mode. Pavyzdžiui: ExAllocatePool yra rutina kad Device Drivers skambina nes Allocate Memory iš Windows System Heaps
  
• Windows Services - Processes started by Windows Service Control Manager Pavyzdžiui: Task Scheduler tarnyba veiki User Mode Processoje kad gali supranti "the at command".
  
• DLL (Dynamic Link Library) - Rinkimas iš Callable Subroutines kartu ir yra Binary File kad gali buti Dynamically Loaded iš Applications kad nauda Subroutines. Beveik visa Windows UserMode Application nauda DLL's ekstensyviausai. Kodel? DLL turi pranašumas iš Static Library nes kitam Applications gali dalyvauti vienas DLL. Ir Windows sakai kad tik yra Viena Memoryeje. Tada reiki mažesnio Memory.

Windows API

Windows API susidejo tukstentiai Callable Functions kad mes galime dalyti į sekantiai kategorijos:

• Base Services
• Component Services
• User Interface Services
• Graphics and Multimedia Services
• Messaging and Collaboration
• Networking
• Web Services

.NET ir WinFX susidejo Framework Class Library
ir Common Language Runtime (CLR)

CLR yra COM Server ir jo Code Gyva Standard User Mode
Win32 DLLoje. Tikrai, visiai daliai iš .NET Framework įrankis kaip
Standard User Mode DLL. už Windows API Functions.

WinFX yra seną vardą iš .NET Framework 3.0. Bus naują Windows API toliau būsimos versijos Windows

Apie "MS Windows"

Šiandien aš Rašysiu apie mano megstamą dalyką "Windows Internals".

Pirma, Windows NT gali turėti multiprocessor systems

Gal tu dabar galvoji, O Kas yra multiprocessor systems?
Multiprocessor System yra kai jūsų komputera turi du arba daug CPU, ir Windows gali nauda visa CPU kartu.

Antra, Windows NT gali turėti neblogai saugumo su Discretionary Access Control (DAC). Tą prasme. Kokį object gali vadovauti kokį object. Pavyzdžiui - Applications gali vadovauti Win32 API, ir Win32 API gali vadovauti Functions kaip zwEnumerateValueKey

Windows NT yra tik 32bit OS. Windows 7 turesi 32bit OS arba BETA 64bit OS. Ir žinoma bus daug labai blogai computer viruses del 64bit OS.

Windows NT yra pilnai Reentrant. Šita yra labai gerai apie Multi-threading.

Windows NT duoja pasirinkimas vadovauja 16 bit applications jų Address Space. Vienas geras dalykas apie šita yra jeigu 16 bit application neturi savo Address Space, lengvas gali Corrupt kita Applications.

Process shared memory Windows NTyje tik yra matomas iš applications kad yra mapping arba sharing tas pats Memory Section. O šita yra tikslai svarbu apie saugumą nes yra dar sunku rasyti arba pakeisti kita Process.

Profesijos

---- Puikai ----- ir dabar meginu išrasysiu kažkas su naujais žodiais




Virėjas. Čia yra vienas šeimos narį. Jis yra labai seną pensininką. Jo seiminės padetio yra vienišas. Buvo vedęs, bet žmona dabar mirusi. Ir jis dar neturi nauja.





Šokėja. Čia yra kita giminaitė, Eglė. Mano truputi crazy pussesere. Ji yra paauglė. Dabar ji labai tinka šokti. Ji yra anūkė iš virėjo.








Lakūnas. Kada nors turesiu kūdikis. Noriu kad busi sūnų. Jeigu berniuko turesiu. Gal kai busi suaugęs, dirbsi Lakūno.







Valytoja. Čia Dovilė. Ji yra išsiskryusi. Ir dabar dirba valytojos. Ji turi dvi dukteris. Jos yra dvyniai.







Siuvėjas. Čia mano dėdė. Jis gyvena lenkijoje. Jis yra išsiskryęs, ir dabar turi nauja drauge.







Buhalterė. Ir čia yra jo drauge. Ji labai jona mergina. Ir ne žinau kodel ji patinka mano senuke dėdė.

Dar meginu išmokti šia sunkų kalbų

Aš labai noriečau išmokti daugiau lietuvių. Man labai sunkų. Gal jeigu čia praktika, toliau išmoksiu.

Pirkau viena knyga apie lietuviškai. Meilutė Ramonienė rašo. Vardas tik "Lithuanian"
Turejo kita iš jos "Colloquial Lithuanian", bet tikrai nepatinka. Nauja yra geriesnu.

Gerai. Aš dabar parasysiu naujai žodiai reikalinga išmokti ir lengvas užmirsiu:

sūnus - son
duktę - daughter
anūkas - grandson
anūkė - granddaughter
šeimos narys - family member
pusbrolis - male cousin
pusseserė - female cousin
giminaitis - relative
šeiminė padėtis - marital status
vedęs - married man
ištekėjusi - married woman
miręs - dead
mirusi - dead (f)
išsiskryęs - divorced (m)
išsiskryusi - divorced (w)
asmuo - person
dvyniai - twins
kūdikis - baby
lytis - sex
narys - member
paauglys - teenager
pensininkas - old age person (pensioner)
suaugęs - adult (m)
suaugusi - adult (f)
buhalteris - bookkeeper
inžinierus - engineer
jūrininkas - sailor
kirpėjas - hairdresser
lakūnas - pilot
mokslininkas - scientist
muzikantas - musician
padavėjas - waiter
pardavėjas - salesperson
rašytojas - writer
siuvėjas - tailor
šokėjas - dancer
tarnautojas - official
ūkinkas - farmer
vadovas - manager
vairuotojas - driver
valytojas - cleaner, maid
vertėjas - translator
virėjas - cook
žurnalistas - journalist

Vokietijoje, vasario keturioliktą dieną

Puikai savaitgalio praejo su draugumi. Bet šiandien, esu šaltiausai šalyje. Šiandien yra trecią dieną kad mes turime Sniėgos.

Lauksiu pavasaro

Išskrendsiu

Pilies Potsdame Mieste (tikrai nera Lietuvoje)

Rytoj Rytas Iseisiu į vokietiją. Gerai kad nebusiu vienišas keturiolikas vasario. Dar Neturiu Panelė, but laimingas busiu Vokietoje su geriausai draugumi.

Sunkų Kalbų

Dabar yra Naktis. Truputi liudnas esu kad neturiu laiko iš neturiu didelį kalianą. Bet gerai lauksiu rytoj. Turiu kantrybes.

Katik skaičiau geras naujienos iš draugo. Jis sako kad savo verslas dar yra puikai. Ir turi nauja butai - offis Tukentas tris šimtu Metra. Puikai. Man labai patinka girdeti geras naujas.

Lietuviškai kalbu man labai sunku!!! Kasdien aš girdejau kažkas ir nesuprantu nieko. Arba suprantu dvidešimt minutelė veliau.

Niekam Tikęs Oras

Man atrodo žiema Lietuvoje niekada nebaigsi. Šiandien šalta kaip dažnai. Neturime saules kaip dažnai. Ir dabar mačiau sniegą mieste.

Šiandien valgau maža priešpiečiai su dideliu kaina pompejoje restorane. Aš valgau tuno su sriuba. Tuno buvo neblogai. Meksikietiška sriubos tikrai nera nieko ypatinko. Rytoj bandysiu dienos sriubos.

O bet kaip galiu veikti? Turiu buti laimingas. Noriečau ruokyti didelį kalianą šia nakti.





















Sniego Laisves Alejoje

Technorati Profile