Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2025:hb53863 [2026/01/12 19:26]
Hrvoje Biloš [Zaključak]
+++ racfor_wiki:seminari2025:hb53863 [2026/01/12 19:49] (trenutno)
Hrvoje Biloš [Sažetak]
@@ Redak 3: / Redak 3: @@
 ===== Sažetak =====
-How do you write an abstract? Identify your purpose. You're writing about a correlation between lack of lunches in schools and poor grades. … Explain the problem at hand. Abstracts state the “problem” behind your work. … Explain your methods. … ([[https://www.aje.com/arc/make-great-first-impression-6-tips-writing-strong-abstract/|Source]]) Save your work regularly!!! Describe your results (informative abstract only). … Abstract should be no longer that 400 words. Napomena: sadržaj na vrhu stranice generira se automatski na temelju naslova u dokumentu.
+Rootkiti predstavljaju veliku opasnost u području računalne sigurnosti zbog svoje sposobnosti dugotrajne i prikrivene prisutnosti u sustavima. Rootkit je tempirana bomba zbog svoje uloge u otvarajući vrata ostalim vrstama napadima dok sama ne sudjeluje u njihovom izvršavanju, ostavljajući na upit jeli uopće nanijela štetu ili čeka okidač. U kontekstu računalne forenzike, stvaraju poseban izazov jer aktivno ometaju prikupljanju i analizi digitalnih dokaza, čime se ugrožava integritet forenzičkog postupka. Ovaj rad pruža pregled temeljnih koncepata vezanih uz rootkite, uključujući njihovu definiciju, svrhu i klasifikaciju, te način kako se može otkriti, ukloniti i obraniti od njih. Na kraju su prikazani primjeri stvarnih napada koji ilustriraju praktičnu primjenu rootkita u suvremenim kibernetičkim prijetnjama. Cilj rada je pružiti razumijevanje problema rootkita i njihove forenzičke analize te naglasiti važnost preventivnih mjera i pravilnog odgovora na incidente.
-Keywords: rootkit; forenzika; malver;
 ===== Uvod =====
@@ Redak 87: / Redak 84: @@
 ==== Anti-rootkit programi/alati ====
-Postoje razni anti-rootkit proizvodi npr. Rootkit Revealer, Blacklight, GMER, Icesword, Zeppoo, kstat, KsID ... Iako sam alat nije lijek za sve, on može pružiti korisne informacije o stanju operativnog sustava. Mnogi stariji rootkiti modificiraju SSDT i IAT tablice hookvima kako bi izravno upućivale na vlastiti kod, i ovakve vrste promjena skeneri mogu trivijalno otkriti skenirajući IAT i SSDT tablice tražeći pokazivače koje ne upućuju na samu jezgru. Postojanje hooka ne jamči prisutnost rootkita, postoje i legitimne aplikacije koje mogu hookat kao što su anti-virusne aplikacije i vatrozid. U teoriji, u operativnom sustavu bi trebalo biti dovoljno malo hookova da se svaka može pažljivo ispitati i utvrditi jeli zlonamjerna ili ne. Noviji rootkiti ne hookaju tablice izravno, već mijenjaju kod  legitimnog API rukovatelja ili DLL-a kako bi umetnuli JUMP instrukciju unutar zaglavlja datoteka koja upućuje na rootkit i time ostavljaju tablicu netaknutom i nepromijenjenom. Dok svaki proces koji pokušava pozvati taj API bit će preusmjeren na rootkit. Slika ispod (slika) prikazuje aplikaciju Icesword koji prijavljuje niz jezgrenih hookova. Zlonamjerni kod ubrizgan je u ntoskrnl.exe jezgre operativnog sustava Windows koji je hooko SSDT API za NtOpenProcess, NtTerminateThread, NtCreateThread, NtCreateProcessEx, NtTerminateProcess i NtOpenThread. Ovaj rootkit može pratiti i kontrolirati svaki pokušaj pokretanja novog procesa ili ubijanja postojećeg.
+Postoje razni anti-rootkit proizvodi npr. Rootkit Revealer, Blacklight, GMER, Icesword, Zeppoo, kstat, KsID ... Iako sam alat nije lijek za sve, on može pružiti korisne informacije o stanju operativnog sustava. Mnogi stariji rootkiti modificiraju SSDT i IAT tablice hookvima kako bi izravno upućivale na vlastiti kod, i ovakve vrste promjena skeneri mogu trivijalno otkriti skenirajući IAT i SSDT tablice tražeći pokazivače koje ne upućuju na samu jezgru. Postojanje hooka ne jamči prisutnost rootkita, postoje i legitimne aplikacije koje mogu hookat kao što su anti-virusne aplikacije i vatrozid. U teoriji, u operativnom sustavu bi trebalo biti dovoljno malo hookova da se svaka može pažljivo ispitati i utvrditi jeli zlonamjerna ili ne. Noviji rootkiti ne hookaju tablice izravno, već mijenjaju kod  legitimnog API rukovatelja ili DLL-a kako bi umetnuli JUMP instrukciju unutar zaglavlja datoteka koja upućuje na rootkit i time ostavljaju tablicu netaknutom i nepromijenjenom. Dok svaki proces koji pokušava pozvati taj API bit će preusmjeren na rootkit. Slika ispod prikazuje aplikaciju Icesword koji prijavljuje niz jezgrenih hookova. {{ :racfor_wiki:seminari2025:rootkit-icesword.png?direct&600 |    Primjer skeniranja hookova koristeći Icesword }} Zlonamjerni kod ubrizgan je u ntoskrnl.exe jezgre operativnog sustava Windows koji je hooko SSDT API za NtOpenProcess, NtTerminateThread, NtCreateThread, NtCreateProcessEx, NtTerminateProcess i NtOpenThread. Ovaj rootkit može pratiti i kontrolirati svaki pokušaj pokretanja novog procesa ili ubijanja postojećeg.
 ===== Zaštita od rootkita =====

racfor_wiki/seminari2025/hb53863.1768246008.txt.gz · Zadnja izmjena: 2026/01/12 19:26 od Hrvoje Biloš