J3qx

information archive

Posts Tagged ‘rootkit’

Скрытный перехват : новый способ подчинить ядро Windows

Posted by j3qx на Январь 27, 2009

 

 


// 00110 Скрытный перехват : новый способ подчинить ядро Windows


==Phrack Inc.==

Volume 0x0c, Issue 0x41, Phile #0x04 of 0x0f

|=-----------------------------------------------------------------------=|
|=---=[   Скрытный перехват : новый способ подчинить ядро Windows   ]=---=|
|=-----------------------------------------------------------------------=|
|=--------------------=[ by mxatone and ivanlef0u ]=---------------------=|
|=-----------------------------------------------------------------------=|
|=-----------------=[ перевод: ALiEN Assault & Izg0y ]=------------------=|
|=-----------------=[        https://CoRU.in/        ]=------------------=|
|=-----------------------------------------------------------------------=|
1 - Введение в технологии anti-rookit и обхода
    1.1 - Руткиты и технологии anti-rootkit 
    1.2 - О защите на уровне ядра
    1.3 - Ключевая концепция: используем код ядра против самого себя

2 - Введение в скрытный перехват на IDT.
    2.1 - Как Windows управляет аппаратными прерываниями
        2.1.1 - Распределение аппаратных прерываний в Windows     
        2.1.2 - Перехватываем аппаратные IT, как ниндзя
        2.1.3 - Приложение 1 : кейлоггер на уровне ядра
        2.1.4 - Приложение 2 : NDIS-сниффер входящих пакетов
    2.2 - Заключение о скрытном перехвате на IDT

3 - Захват NonPaged pool с помощью скрытного перехвата
    3.1 - Обзор распределения памяти ядром
        3.1.1 - Различия между Paged и NonPaged pool
        3.1.2 - Таблицы NonPaged pool 
        3.1.3 - Алгоритмы распределения и высвобождения
    3.2 - Исполнение кода путем внедрения в код распределения
        3.2.1 - Нарушение целостности данных в MmNonPagedPoolFreeListHead
        3.2.2 - Расширяем для всех объёмов
    3.3 - Используем нашу позицию
        3.3.1 - Перенаправление стэка
        3.3.2 - Внедрение кода в пользовательские процессы

4 - Обнаружение
5 - Заключение
6 - Ссылки

—[ — 1 — Введение в технологии anti-rookits и обхода

     Сегодня руткиты и анти-руткиты значат всё больше и больше на ландшафте IT-безопасности. Любовь одних и ненависть других сделали руткиты своего рода Святым Граалем среди бэкдоров: скрытные, маленькие, плотно работающие с «железом», гениальные, злобные… Уровень контроля, который дают удаленные или локальные руткиты, делает их лучшим выбором атакующих.

     Антируткиты пытаются обнаружить и уничтожить эти злобные программы. Сложность Rk-технологии и их быстрая эволюция делают разработку rk или anti-rk очень сложной задачей.

     Этот текст рассказывает о rootkit’ах под Windows платформы. Точнее, о новой технологии перехвата, которая может быть применена к ядру Windows… Предполагается, что читатель знаком с rootkit-технологиями под Windows.
Читать далее…

Реклама

Posted in Undeground | Отмечено: , , , | Leave a Comment »