// 00110 Скрытный перехват : новый способ подчинить ядро Windows
==Phrack Inc.== Volume 0x0c, Issue 0x41, Phile #0x04 of 0x0f |=-----------------------------------------------------------------------=| |=---=[ Скрытный перехват : новый способ подчинить ядро Windows ]=---=| |=-----------------------------------------------------------------------=| |=--------------------=[ by mxatone and ivanlef0u ]=---------------------=| |=-----------------------------------------------------------------------=| |=-----------------=[ перевод: ALiEN Assault & Izg0y ]=------------------=| |=-----------------=[ https://CoRU.in/ ]=------------------=| |=-----------------------------------------------------------------------=|
1 - Введение в технологии anti-rookit и обхода 1.1 - Руткиты и технологии anti-rootkit 1.2 - О защите на уровне ядра 1.3 - Ключевая концепция: используем код ядра против самого себя 2 - Введение в скрытный перехват на IDT. 2.1 - Как Windows управляет аппаратными прерываниями 2.1.1 - Распределение аппаратных прерываний в Windows 2.1.2 - Перехватываем аппаратные IT, как ниндзя 2.1.3 - Приложение 1 : кейлоггер на уровне ядра 2.1.4 - Приложение 2 : NDIS-сниффер входящих пакетов 2.2 - Заключение о скрытном перехвате на IDT 3 - Захват NonPaged pool с помощью скрытного перехвата 3.1 - Обзор распределения памяти ядром 3.1.1 - Различия между Paged и NonPaged pool 3.1.2 - Таблицы NonPaged pool 3.1.3 - Алгоритмы распределения и высвобождения 3.2 - Исполнение кода путем внедрения в код распределения 3.2.1 - Нарушение целостности данных в MmNonPagedPoolFreeListHead 3.2.2 - Расширяем для всех объёмов 3.3 - Используем нашу позицию 3.3.1 - Перенаправление стэка 3.3.2 - Внедрение кода в пользовательские процессы 4 - Обнаружение 5 - Заключение 6 - Ссылки
—[ — 1 — Введение в технологии anti-rookits и обхода
Сегодня руткиты и анти-руткиты значат всё больше и больше на ландшафте IT-безопасности. Любовь одних и ненависть других сделали руткиты своего рода Святым Граалем среди бэкдоров: скрытные, маленькие, плотно работающие с «железом», гениальные, злобные… Уровень контроля, который дают удаленные или локальные руткиты, делает их лучшим выбором атакующих.
Антируткиты пытаются обнаружить и уничтожить эти злобные программы. Сложность Rk-технологии и их быстрая эволюция делают разработку rk или anti-rk очень сложной задачей.
Этот текст рассказывает о rootkit’ах под Windows платформы. Точнее, о новой технологии перехвата, которая может быть применена к ядру Windows… Предполагается, что читатель знаком с rootkit-технологиями под Windows.
Читать далее…