Paweł Goleń, blog

User data stolen from job site Monster. W skrócie dane użytkowników serwisu monster.com (mówi się o 4,5 miliona "ofiar") "wyciekły". Można dyskutować na ile ten wyciek jest poważny, wiele zależy od tego, co uzna się za sensitive data, w każdym razie - jest on faktem. Swoja drogą ciekawe jak pod tym względem wyglądają polskie portale tego typu.

Prawie rok temu przeglądając statystyki odwiedzin zauważyłem, że pojawiły się słowa kluczowe wskazujące na "zapotrzebowanie" na łamanie haseł serwisu Nasza Klasa, czego nie omieszkałem skomentować. Obecnie jest to najczęściej odwiedzany wpis na blogu. Niestety, czytający nie są najwyraźniej w stanie zrozumieć treści wpisu, najwyraźniej prawdą jest stwierdzenie o sumie inteligencji i wzroście populacji.

Pamięć mam dobrą, acz nader krótką. Choć pamiętam słowa kluczowe i wciąż udaje mi się odnaleźć to, czego potrzebuję, to postanowiłem w końcu zrobić jakąś listę. Jeśli ktoś jest zainteresowany, lista dostępna jest na wiki.

Przykład jakie dodatkowe informacje na temat wstrzykniętego kodu można uzyskać analizując zrzut pamięci przy pomocy debuggera. Konkretnie to jest to przykład innego podejścia wyszukiwania wstrzykniętego kodu poprzez analizę wątków działających w procesach oraz przykład na to, że takie podejście może pominąć całkiem ciekawe rzeczy. Treść na wiki, bo akurat zrzuty z debuggera lepiej tam się prezentują.

Znalezienie wstrzykniętego kodu nie jest zadaniem trywialnym. Według mnie to skuteczniejsza metoda "ukrycia się", niż tworzenie usług lub sterowników. Można znaleźć sterowniki, można znaleźć usługi, natomiast wykrycie jakiegoś procesu, który prócz zamierzonych wykonuje dodatkowe operacje - jest nietrywialne. Oczywiście można wyeliminować problem usuwając program, który ten kod wstrzykuje (przypominam - mowa o wstrzykiwaniu kodu w trakcie działania programu, oryginalny plik wykonywalny nie zostaje zmodyfikowany, po każdym restarcie systemu "infekcja" musi nastąpić ponownie).