SZCZEGÓŁOWY SPIS TREŚCI
Przedmowa Rodriga Rubia Branco ����������������������������� xxi Podziękowania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv Skróty .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxvii Wprowadzenie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxi Dlaczego warto przeczytać tę książkę? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxii Co znajdziemy w tej książce? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxiii Część 1: Rootkity .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxiii Część 2: Bootkity .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxiii Część 3: Obrona i techniki śledcze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxv Jak czytać tę książkę .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvi
Część I: Rootkity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1 Czym jest rootkit: studium przypadku TDL3 ��������������
3
Historia dystrybucji TDL3 w świecie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Procedura infekcji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Kontrola przepływu danych .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Bring Your Own Linker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Jak działają hooki trybu jądra w TDL3 ��������������������������� 9 Ukryty system plików . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Podsumowanie: TDL3 spotyka swoją Nemesis ����������������������������� 13
2 Rootkit Festi: najbardziej zaawansowany bot spamowy i DDoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Przypadek botnetu Festi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Analiza sterownika rootkita .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Informacje konfiguracyjne Festi do komunikacji z C&C . . . . . . . . . . . . . 18 Zorientowana obiektowo platforma Festi ������������������������ 19 Zarządzanie wtyczkami .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Wbudowane wtyczki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
xi