Jumat, 19 Desember 2014

Memahami Rootkit: Menggunakan Memory Analisis Dump untuk Rootkit Detection

Abstract

       Setiap rootkit melakukan berbagai teknik menyamar untuk mencegah deteksi. Alat anti-virus dan anti-malware harus melakukan apa yang disebut, dalam hal forensik, “Live Box Analysis”, melakukanscan real-time dari sistem hidup (Live System). Tidak heran rootkit dapat secara aktif menentang deteksi dengan baik menyembunyikan diri atau bermain-main dengan software anti-virus atau kernel sistem. Pertempuran ini terus-menerus membuat deteksi rootkit tidak hanya sulit dan tidak dapat diandalkan, tetapi mengganggu dan berpotensi membahayakan stabilitas sistem dan integritas data pengguna.

               Makalah ini mengusulkan bergerak menjauh dari pendekatan Live Box Analysesdan menganalisis memori dump mentah secara offline. Para penulis mengusulkan metodologi analisis rootkit baru berdasarkan menggunakan Windows ‘built-in debugger, WinDbg,’ menganalisis snapshot dari volatile memory komputer. Makalah ini mengusulkan klasifikasi komprehensif rootkit dan teknik mereka menyamar dan menunjukkan mana jenis rootkit dapat dideteksi dengan metode analisis yang diusulkan. Beberapa algoritma yang dijelaskan dapat dengan cepat diimplementasikan dengan menggunakan bahasa scrip WinDbg built-in. Akhirnya, metodologi yang diusulkan diuji di dunia nyata untuk mendeteksi rootkit yang sudah ada.
 1.0. Pengantar
          Istilah “rootkit” telah digunakan selama lebih dari 15 tahun. 1 Awalnya, istilah “rootkit” mengacu pada sekelompok kecil, alat-alat praktis yang memungkinkan pengembang tetap “root” (“administrator”, dalam hal Windows) akses ke fungsi dari sistem operasi. “Rootkit: menumbangkan kernel Windows” 2 mendefinisikan rootkit sebagai program memastikan gigih, kuat, dan tidak terdeteksi keberadaannya di komputer.
           Pada dasarnya, rootkit hanyalah alat menggunakan teknik tertentu untuk memotong mekanisme perlindungan sistem dan algoritma untuk menyamar kehadiran mereka dalam sistem. Seperti kebanyakan teknologi lainnya, rootkit dapat digunakan untuk tujuan jahat dan sah. Meskipun memiliki asosiasi berkelanjutan dengan malware, rootkit masih digunakan (meskipun dengan cara yang cukup kontroversial) oleh perusahaan yang sah. Misalnya, SONY digunakan untuk menanamkan rootkit berbasis teknologi dalam beberapa judul CD audio dengan upaya untuk mencegah duplikasi yang tidak sah. Ternyata, dengan menggunakan rootkit itu bukan ide yang terbaik setelah dan mengikuti beberapa tuntutan hukum perusahaan dipaksa untuk mengingat judul CD yang terkena dampak. 3
      Menariknya, rootkit masih bisa digunakan untuk tujuan yang sah. Sebagai contoh, skema perlindungan anti-debugging banyak yang menggunakan teknologi seperti rootkit. Sebagian besar program anti-rootkit juga menggunakan seperti teknologi rootkit.
        Kebanyakan rootkit juga digunakan dalam kombinasi dengan virus, Trojan, dan worm komputer untuk tujuan merusak secara eksplisit. Oleh karena itu, pengembang antivirus menciptakan berbagai alat untuk menemukan rootkit. Ada beberapa jenis alat anti-rootkit didasarkan pada beberapa prinsip.
  1. Firewall 4 penyaringan lalu lintas jaringan dan mendeteksi aktivitas jaringan yang mencurigakan.
  2. Intrusion Detection System (IDS) 5 menemukan dan menghapus rootkit diinstal sebelumnya.
  3. Intrusion Prevention Systems (IPS) 6 mengidentifikasi dan menetralisir rootkit sebelum mereka dapat diinstal dalam sistem.
Mari kita lihat pada teknik deteksi rootkit tertentu berdasarkan analisis memori dump

2.0. Bahan dan Metode

   Makalah ini mengusulkan sebuah metode untuk menemukan keberadaan rootkit tersembunyi dengan melakukan analisis offline memori dump mentah ditangkap pada komputer yang dicurigai. Penulis mengusulkan metodologi ini berdasarkan menggunakan Windows built-in debugger, WinDbg, untuk melakukan analisis. Tindakan yang berulang diimplementasikan dalam bentuk skrip WinDbg dengan menggunakan bahasa scripting debugger built-in.
2.1. Analisis Memory Dump
     Memori Dump berisi snapshot (potret) statis memory volatile komputer (RAM). Hal ini dimungkinkan untuk membuat memori dump untuk sebuah proses tunggal, kernel sistem, atau seluruh sistem. Dengan menganalisis memory dump, penulis-pemeriksa dapat memastikan lingkungan kerja yang bersih dan tidak ada perlawanan aktif dari rootkit. Teknik yang digunakan dalam analisismemory dump juga bisa digunakan pada sistem hidup, dengan pembatasan.
2.2. Teknik Deteksi Rootkit 
        Ada beberapa teknik yang tersedia untuk mendeteksi rootkit.
2.2.1. Analisis berbasis signature.  
       Metode ini menggunakan tanda tangan karakteristik (urutan byte tetap) dari rootkit yang dikenal. Kebanyakan alat anti-virus menggunakan tanda tangan yang diekstrak dari tubuh rootkit (misalnya file atau paket jaringan). Selain itu, ada pola heuristik dan perilaku berdasarkan kegiatan tertentu khas untuk rootkit (misalnya penggunaan agresif dari port jaringan tertentu pada komputer).
2.2.2. Mendeteksi interceptions (pemotongan-pencegatan).  
       Windows menggunakan tabel pointer untuk mengarahkan permintaan sistem misalnya IDT (Interrupt Descriptor Table), SSDT (Service  System Descriptor Table), IAT (Import Address Table). Rootkit dapat mengganti atau memodifikasi tabel ini untuk menentukan penangan mereka sendiri untuk interupsi tertentu. Akibatnya, permintaan untuk fungsi OS tertentu akan selalu diserahkan kepada rootkit, memungkinkan rootkit untuk mendeteksi dan menangkal upaya deteksi.
2.2.3. Membandingkan Data dari Berbagai Sumber.
        Untuk menyamarkan kehadiran mereka, rootkit dapat mengubah data tertentu kembali ke pemeriksa. Misalnya, dengan mengganti tingkat tinggi API ini dengan penanganan mereka sendiri. Oleh karena itu, adalah mungkin untuk mendeteksi kehadiran mereka dengan membandingkan hasil yang dikembalikan dengan panggilan sistem tingkat tinggi dan tingkat rendah.
      Variasi lain dari metode ini didasarkan pada membandingkan proses memori yang dimuat ke memori volatile komputer dengan isi dari file yang tersimpan pada hard disk (alat seperti RootkitRevealer 7 menggunakan pendekatan ini).
       Metode ini membantu mengidentifikasi sumber daya yang tersembunyi, tetapi tidak mengidentifikasi apa yang sebenarnya dicegat-dipotong-diambil.
2.2.4. Integrity Check (Periksa Integritas) 
        Sebuah tanda tangan digital (misalnya dengan fungsi hash kriptografi) dihitung untuk setiap sistem perpustakaan di awal (saat ketika sistem bersih). Setelah itu, perpustakaan dapat diperiksa untuk perubahan kode. Metode ini menggunakan alat seperti Tripwire 8.

2.3. Klasifikasi rootkit 
       Pada Windows, Rootkit bekerja dengan memodifikasi data dan kode dieksekusi dalam memori volatile komputer (RAM) 2 Dari sudut pandang ini ada dua kelompok rootkit: 2
  1. Rootkit yang memodifikasi jalur eksekusi
  2. Rootkit melakukan manipulasi obyek langsung kernel
Klasifikasi lain berkaitan dengan daerah memori dipengaruhi oleh rootkit.
      Rootkit pengguna-Mode. Ini rootkit mengeksekusi kode mereka dalam modus pengguna sewa istimewa (“Ring 3″ 9). Rootkit ini menggunakan ekstensi Program dan plugin (misalnya Windows Explorer atau Internet Explorer ekstensi). Mereka dapat mencegat menyela atau menggunakan debugger, mengeksploitasi kelemahan keamanan, dan menggunakan fungsi API hooking banyak digunakan dalam data set setiap proses ‘. Gambar 1 menampilkan rootkit mode pengguna.
  
         Rootkit Kernel-Mode. Rootkit ini berjalan dalam mode kernel yang paling istimewa sistem (“Ring 0″ 9). Mereka dapat menanamkan ke device driver, langsung memodifikasi obyek kernel (Dkom), dan mempengaruhi interaksi antara pengguna dan kernel mode. Gambar 2 menampilkan rootkit kernel-mode.
Boot Loaders. Jenis Rootkit memodifikasi Master Boot Record (MBR).
      Hypervisor Mode. Beberapa CPU baru-baru ini menawarkan mode operasi tambahan yang dikenal sebagai modus Hypervisor modus. Hypervisor adalah kernel kecil yang mengontrol distribusi sumber daya antara beberapa sistem operasi. Ia bekerja satu tingkat lebih rendah dari sistem operasi (Gambar 4). Dalam istilah x86, mode ini disebut sebagai “Cincin -1″. Pada tingkat ini, rootkit bisa mencegat permintaan perangkat keras dari sistem operasi host. Pada saat ini, tidak ada rootkit yang dikenal menerapkan pendekatan ini di alam liar sietem, hanya beberapa versi demonstrasi ada. 10

    Firmware. Rootkit ini memodifikasi firmware perangkat tertentu seperti kartu jaringan, hard drive, atau BIOS komputer (Gambar 5).

2.4. Memory Dumps
Ada empat jenis memori dump:
  • Crash dumps
  • Row dumps
  • hiberfil.sys
  • Vmem
Crash dumps
adalah file yang dibuat saat komputer crash. Seluruh isi memori sistem disimpan ke dalam sebuah file.
Row dumps
merupakan snapshot lengkap dari memori sistem operasi.
Hiberfil.sys
Yakni file yang digunakan oleh sistem operasi untuk memungkinkan hibernasi. Ketika sistem hibernates operasi, isi memori volatile komputer disimpan dalam file ini. Ukuran file ini akan sama dengan ukuran RAM komputer. Perhatikan bahwa daerah memori dipetakan yang disimpan pada hard drive tidak disimpan dalam hiberfil.sys.
Vmem
Yakni file yang dibuat oleh VMware. 11 File ini berisi memori volatile seluruh mesin virtual (termasuk halaman isi file).
2.5. WinDbg
WinDbg adalah alat debugging multi-fungsi yang disediakan oleh Microsoft dengan Microsoft Windows. Hal ini dapat digunakan untuk debug aplikasi, driver, atau sistem operasi itu sendiri dalam mode kernel. WinDbg menawarkan antarmuka pengguna grafis yang nyaman.
WinDbg bekerja secara eksklusif dengan crash dumps. Setiap jenis lain dari memori dump dapat dikonversi ke dalam format bahwa dengan Moonsols Windows Memory Toolkit Community Edition. 12
Menggunakan WinDbg untuk Mendeteksi rootkit di Memori Dump
Windows berisi beberapa meja pointer untuk menangani pengalihan permintaan. Tabel ini termasuk IDT, SSDT, dan IAT. Rootkit dapat memodifikasi setiap pointer dalam tabel ini, atau meja swap (barter) itu sendiri.
2.6. IDT Aplikasi mode pengguna meminta pelaksanaan fungsi sistem tingkat akan perlu menaikkan tingkat hak istimewa mereka. Hal ini dilaksanakan melalui mengganggu program.
Pada Windows NT, permintaan sistem diinisialisasi dengan menjalankan “int 2e” perintah. The “int” perintah membuat CPU menghasilkan interupsi program mengacu pada indeks IDT “2e” dan membaca data dari alamat tersebut. Prosesor kemudian menetapkan nilai pointer ke offset rutin layanan interupsi yang disimpan dalam tabel. Sistem panggilan menggunakan layanan operator (KiSystemService).
Di WinDbg, yang “! Idt 2e” perintah menampilkan nilai pointer rutin. Biasanya, pointer rutin diatur ke alamat “KiSystemService”. Jika hal ini tidak terjadi, rutin telah disadap.
2.7. Memodifikasi kode fungsi sistem Dalam rangka untuk mengubah pelaksanaan program, salah satu dapat memodifikasi alamat panggilan sistem atau mengubah kode panggilan-panggilan sistem. Panggilan dapat dimodifikasi di tempat, atau dapat diubah kembali alamat eksekusi ke segmen kode tertentu (dalam kasus sederhana, melalui single “melompat” perintah).
WinDbg mencakup fasilitas untuk menemukan perubahan tersebut. Sebuah perintah yang tersedia untuk memeriksa integritas kode panggilan sistem dengan membandingkan isi memori volatile dengan kode disimpan pada server simbol. Dalam rangka untuk memvalidasi integritas sistem panggilan, seseorang dapat menggunakan perintah berikut:
! Chkimg-d nt
Akibatnya, debugger akan daftar perbedaan, jika ada, antara kode penduduk dan salinan simbol.

Daftar di atas menunjukkan bahwa bagian-bagian tertentu dari sistem kode yang diubah.
2.8. Mencari Modul Resident Tersembunyi Beberapa rootkit memuat gambar dieksekusi mereka langsung ke dalam memori sistem.
File executable Windows PE (Portable Executable) format yang dapat diidentifikasi dengan “MZ” tanda tangan muncul di awal gambar. WinDbg dapat membantu mencari tanda tangan ini melalui seluruh memori OS.
Pencarian perintah:
 Akibatnya, debugger akan menampilkan semua entri yang berisi “MZ” tanda tangan.

Kolom pertama berisi alamat dari modul executable. Empat lainnya kolom menampilkan pertama empat kata dalam modul.
Jika modul itu benar dimuat ke memori sistem, “! Lmi” perintah akan daftar informasi tentang modul.
 Namun, jika modul diinfus langsung ke memori, sistem akan tahu apa-apa tentang proses. “! Lmi” Jika hal ini terjadi, perintah akan menghasilkan output sebagai berikut:

Hal ini dimungkinkan untuk mengotomatisasi pencarian ini, seperti manual memeriksa setiap entri bisa sangat memakan waktu. Prosedur dalam WinDbg Mengotomasi dapat dilakukan melalui penggunaan script yang ditulis dalam bahasa WinDbg internal.
Script WinDbg adalah file teks yang berisi setiap set perintah debugger bersama dengan arahan kontrol seperti. Jika,. Lain,. Elsif,. Foreach,. Untuk,. Sementara, do, istirahat., Lanjutkan,. Tangkapan..,. pergi,. printf,. blok. Variabel diganti dengan alias atau pseudo-register ($ tn, dengan n menjadi integer) ditugaskan dengan “r” perintah. Konstruksi logis dapat diprogram dengan MASM atau tipe C sintaks. C-seperti ungkapan yang digunakan seperti ini: @ @ c + + (ekspresi).


WinDbg dapat digunakan untuk lebih lanjut analisis mendalam dari daerah memori yang mencurigakan. Ekstrak modul dieksekusi adalah mungkin dengan membaca ukurannya (data yang terletak di offset 0x140) dan menyimpan data ke file dengan “writemem.” Perintah.
2.9. Mencegat rutinitas via SSDT SSDT (Sistem Layanan Descriptor Table) adalah tabel dispatch sistem pelayanan yang berisi alamat entry point layanan kernel NT. 13 Gambar. 6 menunjukkan eksekusi normal dari sistem rutin “WriteFile”; Gambar. 7 menunjukkan pelaksanaan layanan yang sama setelah rootkit diganti pointer SSDT ke rutinitas sendiri. Dengan cara ini, rootkit dapat mengontrol sistem rutinitas, menyaring data “yang tidak diinginkan”.
 Gambar 6: eksekusi normal WriteFile
Gambar 7: Aliran Kode menggunakan rutin WriteFile dari SSDT dimodifikasi. Hal ini menyebabkan aktivasi rootkit.
Semua pointer direferensikan di SSDT harus mengacu pada rutinitas dilaksanakan baik “nt” atau “win32k” perpustakaan. Karena itu, ketika memeriksa pointer ini untuk interceptions, kita harus memverifikasi apakah pointer SSDT sebenarnya merujuk kepada salah satu daerah memori.
Kami mengembangkan script untuk mengotomatisasi proses. Script mengembalikan daftar semua pointer SSDT serta modul memori yang mereka lihat. Jika script mendeteksi perpustakaan pihak ketiga bukan sistem satu, itu akan menandai kejadian tersebut dengan kata “HOOK”.
2.10. Memodifikasi Pointer KTHREAD.pServiceDescriptorTable Benang dasar unit eksekusi sistem. Thread diwakili oleh struktur kernel KTHREAD (serta dengan ekstensi ETHREAD eksekutif). The (K / E) struktur BENANG sangat bervariasi dari satu versi kernel yang lain. Namun, bidang-bidang tertentu tetap format mereka dan tujuan, misalnya “ServiceTable”. Biasanya, lapangan menyimpan pointer ke salah KeServiceDescriptorTable atau KeServiceDescriptorTableShadow, namun benang bisa mendefinisikan ulang meja untuk digunakan sendiri. Jika nilai ini didefinisikan ulang, ini harus menjadi bendera merah.
Gambar berikut menampilkan dua thread. Benang pertama tidak memanggil PENGGUNA atau GDI rutin, dan “pServiceDescriptorTable” yang menunjuk ke rutinitas dilayani oleh “NTOSKRNL”. The “PServiceDescriptorTable” dari benang poin kedua tabel deskripsi, termasuk deskripsi melayani PENGGUNA dan GDI rutinitas, yang “win32k”. Pada Gambar 8 satu dapat mengamati bahwa rootkit disalin SSDT tua, dimodifikasi pointer dengan penangan sendiri, dan menetapkan pointer baru ke tabel deskripsi dimodifikasi menjadi KTHREAD.
 Gambar 8: pointer dalam poin struktur ETHREAD untuk SSDT inti
 Gambar 9: SSDT pointer dalam poin struktur ETHREAD untuk rootkit SSDT
Untuk memverifikasi ini, seseorang dapat menghitung semua proses dan benang mereka dan memeriksa nilai bidang ini. Algoritma ini diimplementasikan dalam WinDbg bahasa scripting. Script mengembalikan semua thread dieksekusi dengan pointer SSDT mereka. Validitas pointer diverifikasi dengan membandingkan nilai-nilai mereka dengan hasil yang dikembalikan oleh fungsi sistem “nt! KeServiceDescriptorTable” (SSDT pointer tabel) dan “nt! KeServiceDescriptorTableShadow” (shadow SSDT pointer tabel). 14 Jika pointer diatur dalam benang telah nilai yang berbeda, peringatan seperti “nilai Berubah KTHREAD :: ServiceTable” akan ditampilkan.
2.11. Mencari Proses Tersembunyi Rootkit yang memodifikasi sistem kernel objek antrian dapat menyembunyikan proses sebagai berikut. Pada Windows NT 5.x semua proses yang aktif dalam sistem terhubung dalam daftar dua arah tunggal. Rootkit swap pointer dari dua benda tetangga prosesnya sendiri. Dengan cara ini, ketika kernel menyebutkan proses dengan mengikuti link, tidak akan melihat proses itu. The “Kesalahan! Sumber referensi tidak ditemukan.” menunjukkan sistem antrian, sedangkan “Kesalahan! sumber referensi tidak ditemukan.” menunjukkan bahwa rootkit menyembunyikan proses kedua.
 Gambar 10: Proses antrian di OS
Windows NT mendistribusikan siklus CPU antara benang. Proses tidak berpartisipasi dalam distribusi ini, sistem memberikan perlakuan yang sama kepada thread milik proses yang sama atau berbeda. Konteks switching dilaksanakan oleh scheduler sistem (benang operator). Ada tiga antrian: KiDispatcherReadyListHead (antrian thread yang siap untuk mengeksekusi), KiWaitInListHead dan KiWaitOutListHead (dua antrian daftar thread yang belum dijadwalkan karena mereka menunggu untuk acara tertentu, misalnya penyelesaian operasi i / o).
Gambar 11: Proses antrian dimodifikasi oleh rootkit Sebuah script mengotomatisasi pendekatan ini merinci daftar benang empat (KiDispatcherReadyListHead, KiWaitInListHead, KiWaitOutListHead, KiStackInSwapListHead), mengacu pada proses yang memiliki thread tertentu, dan memverifikasi jika proses tercantum dalam daftar proses.
Pengujian Script Dalam rangka untuk memverifikasi kemampuan metode deteksi yang diusulkan untuk menemukan rootkit yang sebenarnya, alat-alat berikut digunakan:
  • VMware Workstation 7.1.4 (untuk membuat snapshot dari memori sistem);
  • Windows XP Professional;
  • Moonsols Windows Memory Toolkit Community Edition (untuk mengkonversi dump memori penuh ke dalam format yang diterima oleh WinDbg);
  • WinDbg 6.1 (debugger).

3.0. Pengujian Metodologi

  1. Membuat mesin virtual di VMware dengan Windows XP Professional SP3.
  2. Mengambil snapshot bersih dari OS.
  3. Instalasi rootkit.
  4. Menangkap dump memori (Vmem.).
  5. Memori dump diubah menjadi format yang diterima oleh WinDbg.
  6. Memori dump dimuat ke WinDbg.
  7. Peluncuran script dijelaskan sebelumnya dalam tulisan ini.
  8. Memulihkan OS dari snapshot bersih.
  9. Langkah 3 hingga 8 diulang untuk setiap rootkit.
Diskusi Seperti terlihat pada tabel, tidak semua algoritma menunjukkan kinerja yang sama. Misalnya, dari 27 virus diuji, hanya satu menggunakan IDT 2e intersepsi, dan hanya 3 menyembunyikan proses mereka dengan menghapus mereka dari antrian proses. Namun, kami masih percaya bahwa hasil tes membuktikan metodologi yang diusulkan kami untuk mendeteksi rootkit berdasarkan analisis dari dump memori. Hasilnya, bagaimanapun, jelas menunjukkan bahwa hanya algoritma deteksi beberapa terakhir dalam makalah ini tidak cukup untuk mampu mendeteksi adanya rootkit, penelitian tambahan dan algoritma tambahan yang diperlukan untuk melakukan deteksi benar-benar efektif.

4.0. Kesimpulan dan Implementasi Komersial

Pekerjaan memungkinkan mendeteksi berbagai jenis rootkit dengan menganalisis dump memori offline. Belkasoft memiliki alat untuk memperoleh dump memori. Apakah Anda ingin chatting dengan Belkasoft tentang Plugin Deteksi Malware? Menulis kami di contact@belkasoft.com untuk wawasan! Belkasoft adalah melihat ke depan untuk meningkatkan perangkat lunak forensik dengan algoritma deteksi rootkit heuristik yang sangat inovatif. Mendeteksi rootkit yang berada di volatile memory komputer membuka peluang tambahan dalam penyelidikan digital, memungkinkan spesialis forensik membedakan antara kegiatan yang mencurigakan dan yang dihasilkan oleh rootkit.
Dmitry Korolev lulus St-Petersburg State University dan merupakan anggota tim Penelitian Belkasoft.
Yuri Gubanovis seorang ahli komputer forensik terkenal. Dia adalah pembicara yang sering di konferensi industri terkenal seperti EuroForensics, CEIC, Cina Forensik Conference, FT-Day, ICDDF, TechnoForensics, dan lain-lain. Yuri Pendiri dan CEO Belkasoft. Selain itu, Yuri adalah seorang penulis f-interviews.com, sebuah blog di mana ia mengambil wawancara dengan orang-orang kunci dalam forensik digital dan domain keamanan.
Oleg Afonin adalah Belkasoft direktur penjualan dan pemasaran. Dia adalah seorang pakar dan konsultan dalam komputer forensik.

Penulis dapat dihubungi melalui email: research@belkasoft.com . Belkasoft Penelitian yang berbasis di St Petersburg State University. Perusahaan melakukan penelitian non-komersial dan kegiatan ilmiah.

REFERENSI

  1. A. Shevchenko, “Rootkit evolusi,” 28 Agustus 2008. [Online]. Tersedia:http://www.securelist.com/en/analysis/204792016/Rootkit_evolution .
  2. JB Greg Hoglund, Rootkit: menumbangkan Kernel Windows, Boston: Addison-Wesley Professional 2005,.
  3. Wikipedia, “Sony BMG perlindungan salinan skandal rootkit,” 24 àïðåëü 2012. [Online]. Tersedia:http://en.wikipedia.org/wiki/Sony_BMG_copy_protection_rootkit_scandal .
  4. wikipedia, “Windows Firewall,” 7 Maret 2013. [Online]. Tersedia:http://en.wikipedia.org/wiki/Windows_Firewall .
  5. wikipedia, “Sistem deteksi intrusi,” 21 Maret 2013. [Online]. Tersedia:http://en.wikipedia.org/wiki/Intrusion_detection_system .
  6. wikipedia, “Intrusion sistem pencegahan,” 3 April 2013. [Online]. Tersedia:http://en.wikipedia.org/wiki/Intrusion_prevention_system .
  7. BC Mark Russinovich, “RootkitRevealer v1.71,” November 1, 2006. [Online]. Tersedia: http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx .
  8. Wikipedia, “Open Source tripwire,” 2 àïðåëü 2012. [Online]. Tersedia:http://en.wikipedia.org/wiki/Open_Source_Tripwire .
  9. GF Alexander Frolov, Çàùèùåííûé ðåæèì ïðîöåññîðîâ Intel 80286/80386/80486, vol. 4, Moskow: Äèàëîã-ÌÈÔÈ, 1993, hal. 234.
  10. Gangsta, “Ãèïåðâèçîð â ðîëè àíòèðóòêèòà,” 10 Febrary 2011. [Online]. Tersedia: http://habrahabr.ru/post/113519/ .
  11. VMware, “VMware,” [online]. Tersedia: http://www.vmware.com .
  12. Moonsols, “Moonsols Windows Memory Toolkit,” [online]. Tersedia:http://www.moonsols.com .
  13. S. Schreiber, berdokumen Windows 2000 Rahasia: Cookbook Programmer, Boston: Addison-Wesley Professional 2001.
  14. M. Russinovich dan D. Solomon, Microsoft Windows Internal (Keempat ed.), Microsoft Press, 2004.
  15. S. Penasehat, “Microsoft Security Advisory (2286198),” 2 Àâãóñò 2010. [Online]. Tersedia: http://technet.microsoft.com/en-us/security/advisory/2286198 .
  16. M. Rem, “Proses Hunter,” [online]. Tersedia: http://ms-rem.dot-link.net/ .
  17. F-Secure, “F-Secure,” [online]. Tersedia: http://www.f-secure.com .
  18. Greatis, “UnHackMe,” [online]. Tersedia: http://www.greatis.com/unhackme/.
  19. IceSword, “IceSword,” [online]. Tersedia: http://www.antirootkit.com .
  20. J. Rutkovska, “Sistem Keperawanan Verifier,” [online]. Tersedia:http://www.softpedia.com/get/System/System-Info/System-Virginity-Verifie … .
  21. “GMER,” [online]. Tersedia: http://www.gmer.net/ .
  22. GPL, “The Volatilitas Framework,” [online]. Tersedia:https://www.volatilesystems.com/default/volatility .
  23. Kaspersky lab, “Rootkit.Win32.Fu.b,” 9 Juni 2006. [Online]. Tersedia:http://www.securelist.com/en/descriptions/158955/Rootkit.Win32.Fu.b .
  24. Kaspersky lab, “Rootkit.Win32.Stuxnet.a,” 20 September 2010. [Online]. Tersedia:http://www.securelist.com/en/descriptions/15071647/Rootkit.Win32.Stuxnet.a.
  25. Kaspersky lab, “Trojan-Spy.Win32.Zbot.a,” 24 Desember 2008. [Online]. Tersedia: http://www.securelist.com/en/descriptions/253057/Trojan-Spy.Win32.Zbot.a .
  26. wikipedia, “akses memori langsung,” 7 Maret 2013. [Online]. Tersedia:http://en.wikipedia.org/wiki/Direct_memory_access .



Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)