Есть вопрос?
Зайди на форум

Поиск:

Denix: русификация Ubuntu и кодеки :: RSS:: Скачать книги Колисниченко в PDF

Англо-русский словарь компьютерных терминов (Д. Колисниченко)

A  B  C  D  E  F  G  H  I  K  L  M  N  O  P  Q  R  S  T  V  W  X  Y  Z 

укрпочта отслеживание посылок перевод денег график отключения света в Кировограде график отключения счета в Киеве график отключения света в Одессе (zip)

Книга Д. Колисниченко Rootkits под Windows. Теория и практика программирования “шапок-невидимок“, позволяющих скрывать от системы данные, процессы, сетевые соединения.

11.2. Перехват как способ выжить

О рождении Windows можно говорить много, но если вы внимательно изучили историю Microsoft, то должны знать, что она принимала участие вместе с IBM в создании OS/2. Поэтому нет ничего удивительно в том, что в основе Windows (помимо всего прочего) лежит подсистема OS/2. Ясно, что Windows - это не OS/2. Должна же Microsoft была добавить что-то собственно? Конечно, там же у начал-начал Windows лежит подсистема Win32. Для связи с внешним миром используется "международная" система POSIX - это третья подсистема, лежащая в основе Windows.

Каждая из этих систем (Win32, POSIX и OS/2) содержит хорошо документированный набор API-функций. Используя эти функции, пользовательские программы могут обращаться к операционной системе. К приложениям пользовательского уровня относят также taskmgr.exe (Диспетчер задач Windows), explorer.exe (Проводник Windows) и regedit.exe (Редактор реестра). Почему выбраны именно эти приложения, думаю, ясно. Диспетчер задач отображает запущенные процессы. Пользователь нажимает Ctrl + Alt + Del и видит выполняющиеся процессы. Но он никогда не увидит процесс нашего руткита - мы уж об этом позаботимся. Аналогично, пользователь открывает Проводник. Как вы думаете, увидит ли он файлы, относящиеся к руткиту? Конечно, же нет. Мы можем хранить в реестре любую информацию, в том числе разделы, использующиеся для запуска драйвера руткита. Пользователь их не увидит, поскольку во время работы драйвера руткита они будут скрыты.

Достичь все этого относительно просто. Любое пользовательское Win32-приложение, в том числе и вышеназванные, используют функции из библиотек Kernel32.dll, user32.dll, gui32.dll и advapi.dll. Все, что нам остается - это перехватить некоторые API-функции из этих библиотек.

У вас есть Total Commander? Если нет, установите его. Он в последствии может вам пригодиться. Вы уже установили его? Тогда перейдите в каталог WINDIR\system32 и откройте для просмотра (F3) библиотеку kernel32.dll. Перейдите на закладку Image File Header. Здесь находится исчерпывающая информация о библиотеке. Пролистайте ее вниз, до заголовка EXPORTS TABLE. Это таблица экспорта, в ней указаны все функции, экспортируемые библиотекой, и точка входа каждой функции.

Рис. 11.1. Таблица экспорта библиотеки kernel32.dll

Пролистайте таблицу экспорта, пока не найдете функцию FindFirstFile. Данная функция используется при выводе содержимого каталога. Сначала приложение вызывает функцию FindFirstFile. Если каталог не пуст, и он вообще существует, функция возвращает дескриптор, который используется при последующих вызовах функции FindNextFile (тоже экспортируется из kernel32.dll). Каждый вызов FindNextFile возвращает один файл из каталога. Обычно FindNextFile вызывается в цикле - пока не будет выведен последний файл.

Чтобы воспользоваться этими функциями, приложение во время выполнения загружает библиотеку kernel32.dll и копирует адреса этих функций в свою таблицу импорта адресов (IAT, Import Address Table). Когда приложению понадобится другая функция, например, FindNextFile, оно уже руководствуется собственной таблицей IAT. После вызова функции, например, FindNextFile, продолжение программы продолжается с адреса функции, который указан в IAT. По завершению, управление будет передано следующей за вызовом функции инструкции.

В свою очередь, функция FindNextFile обращается к библиотеке Ntdll.dll. Библиотека Ntdll загружает в EAX номер функции-аналога FindNextFile, но работающей на уровне ядра - она называется NtQueryDirectoryFile. В EDX находятся параметры FindNextFile. Затем Ntdll вызывает прерывание INT 2E (или инструкцию SYSENTER) для обращения к ядру (см. рис. 4.2). Вся эта цепочка вызовов (FindNextFile -> Kernel32.dll -> NtQueryDirectory [ntdll.dll] -> INT 2E -> KiSystemService -> NtQueryDirectory [ntoskrnl.exe]) называется путем выполнения функции.

Рис. 11.2. Путь выполнения функции FindNextFile

Поскольку пользовательское приложение загружает Kernel32.dll в собственное адресное пространство (адреса памяти между 0x00010000 и 0x7FFE0000), наш руткит может запросто перезаписать любую функцию в Kernel32.dll или даже таблицу IAT. Этот процесс называется перехватом API (в англоязычной литературе - API hooking).

На главную

Мне нравится!

Сегодня: 19/01

Поздравлять сегодня некого

Последние посты форума

Интересная картинка

Samsung Galaxy J2 Prime (SM-G532F)

дааа

Обучение PHP-программированию

Новый дизайн сайта

Возвращение на динамическую страницу сайта

С Новым Годом!

Бесплатный хостинг, SSL сертификат, не ограниченно

капец погода в ноябре у нас

Посоветуйте хостинг

флэшмобы

вот люди где живут... экстрим

авто-дилеры

Программы для Linux

книга Командная строка Linux и автоматизация рутинных задач

Совет:

Книги Д. Колисниченко:

Linux

Серверное применение Linux. 3-е изд.Серверное применение Linux. 3-е изд.
Описана настройка различных типов серверов: Web-, FTP-, DNS-, DHCP-, почтового сервера, сервера баз данных. Подробно рассмотрена установка и базовая настройка операционной системы                                                                                                                          

Linux-сервер своими руками, изд. 1-4Linux-сервер своими руками, изд. 1-4
Все о настройке Linux-сервера на базе дистрибутивов Linux Mandriva и Fedora Core. В четвертом издании книга была немного дополнена и существенно обновлена. Книга давно устарела. Рекомендую "Серверное примерение" (издательство БХВ)                                                                       

Linux. Полное руководство, изд 1-2Linux. Полное руководство, изд 1-2
Все, что вы хотели знать о Linux: установка, настройка и программирование. Книга представляет собой великолепное руководство по Linux, позволяющее получить наиболее полное представление об этой ОС.                                                                                                        

PHP

PHP и MySQL. Разработка Web-приложений. 4-е издPHP и MySQL. Разработка Web-приложений. 4-е изд
Даны начала программирования на PHP: установка и настройка Apache, PHP, MySQL и кроссплатформенной сборки XAMPP, выбор редактора PHP-кода, синтаксис языка и самые полезные функции PHP 5.4. Рассмотрено создание собственного движка сайта и ряда дополни                                                   

Профессиональное программирование на PHPПрофессиональное программирование на PHP
Книга рассчитана на программистов, уже освоивших азы программирования на PHP. Приводятся сведения об отладке, анализе и оптимизации кода                                                                                                                                                                     

PHP 5/6 и MySQL 6. Разработка Web-приложений. 2-е издPHP 5/6 и MySQL 6. Разработка Web-приложений. 2-е изд
На практических примерах описана разработка Web-приложений на языке PHP версий 5 и 6. Большая часть кода примеров совместима с обеими версиями PHP, но особое внимание уделено новым функциям PHP 6. Даны начала программирования на PHP: установка и наст                                                   

Интернет/CMS

Новейший самоучитель компьютера и ИнтернетНовейший самоучитель компьютера и Интернет
О такой книге долгие годы мечтали миллионы начинающих пользователей, которые осваивали технику самостоятельно или по непонятным, громоздким руководствам.                                                                                                                                                    

IRC, IRC-каналы, IRC-боты: как пользоваться и как сделать самому. Избранные технологии ИнтернетаIRC, IRC-каналы, IRC-боты: как пользоваться и как сделать самому. Избранные технологии Интернета
Эта книга целиком посвящена IRC – технологии, позволяющей создавать каналы многопользовательского общения                                                                                                                                                                                                    

Joomla 1.5.15/1.6.0. Руководство пользователяJoomla 1.5.15/1.6.0. Руководство пользователя
Эта книга — простое и эффективное учебное пособие по освоению и использованию системы управления контентом веб-сайта Joomla 1.5.15/1.6. Отличное руководство для начинающих                                                                                                                                  

Компьютер/Windows

Компьютер. Большой самоучитель по ремонту, сборке и модернизацииКомпьютер. Большой самоучитель по ремонту, сборке и модернизации
Эта книга - самый полный и, по словам экспертов, "самый полезный" самоучитель по ремонту, модернизации и сборке компьютера своими силами.                                                                                                                                                                    

Первые шаги с Windows 7. Руководство для начинающих (+Видеокурс на CD)Первые шаги с Windows 7. Руководство для начинающих (+Видеокурс на CD)
Просто и понятно для начинающих пользователей описана операционная система Windows 7 и ее новые возможности. Рассказано, как установить Windows 7 (в том числе на нетбук)                                                                                                                                    

Microsoft Windows 10. Первое знакомствоMicrosoft Windows 10. Первое знакомство
Описаны основные нововведения в Windows 10, особое внимание уделено использованию системы на планшете. Рассмотрена установка системы как на физический компьютер (стационарный, ноутбук, нетбук, планшет)...                                                                                             

Сети

Сделай сам компьютерную сеть. Монтаж, настройка, обслуживание. Изд. 2.Сделай сам компьютерную сеть. Монтаж, настройка, обслуживание. Изд. 2.
Книга о настройке сети в Windows (98,NT,XP) и Linux. Является превосходным практическим руководством по созданию и обслуживанию компьютерных сетей.                                                                                                                                                          

Самоучитель системного администратора. 4-е изд.Самоучитель системного администратора. 4-е изд.
Изложены основные задачи системного администрирования, описаны базовые протоколы, даны рекомендации по выбору оборудования и проведению ежедневных рутинных операций. Подробно раскрыты технологии, используемые при построении информационных систем, опи                                                   

Беспроводная сеть дома и в офисеБеспроводная сеть дома и в офисе
Книга поможет начинающему администратору домашней или офисной сети в кратчайшие сроки развернуть, настроить или модернизировать беспроводную сеть. Отличный выбор для построения сети SOHO                                                                                                                   

Безопасность

Rootkits под Windows. Теория и практика программирования “шапок-невидимок“, позволяющих скрывать от системы данные, процессы, сетевые соединения.Rootkits под Windows. Теория и практика программирования “шапок-невидимок“, позволяющих скрывать от системы данные, процессы, сетевые соединения.
-                                                                                                                                                                                                                                                                                                            

Анонимность и безопасность в Интернете. От Анонимность и безопасность в Интернете. От "чайника" к пользователю
Простым и понятным языком рассказано, как скрыть свое местонахождение и IP-адрес, используя анонимные сети Tor и I2P, посетить заблокированные администратором сайты, защитить личную переписку от посторонних глаз                                                                                          

Автомобили

Популярный самоучитель безопасного вожденияПопулярный самоучитель безопасного вождения
Ценность этой книги в том, что впервые советы вам будет давать проверенный профи: президент клуба BMW! Как быстро и правильно научиться водить машину, парковаться, разгоняться, тормозить.                                                                                                                  

Что делать, чтобы не надули в автосервисе. Советы и рекомендацииЧто делать, чтобы не надули в автосервисе. Советы и рекомендации
Вы недавно приобрели автомобиль или уже имеете водительский стаж, но при этом особо не вникаете в устройство автомобиля?                                                                                                                                                                                     

Что делать, чтобы не надули в автосервисе. Советует и рекомендует президент клуба BMWЧто делать, чтобы не надули в автосервисе. Советует и рекомендует президент клуба BMW
В этой книге речь пойдет о том, как правильно выбрать СТО; о преимуществах и недостатках гарантии; о том, как не дать в автосалоне навязать себе дополнительную комплектацию                                                                                                                                

Переводные книги

Переводные книгиПереводные книги
Данные книги были переведены мною на русский язык (с английского и чешского). Надеюсь качество перевода вам понравится!                                                                                                                                                                                      

Android

Безопасный Android: защищаем свои деньги и данные от кражиБезопасный Android: защищаем свои деньги и данные от кражи
Рассмотрены различные способы обеспечения безопасности Android-устройств: шифрование персональной информации, хранящейся на устройстве, шифрование передаваемых данных, VPN-соединения, анонимизация трафика                                                                                             

Планшет и смартфон на базе Android для ваших родителей, 2-е изд.Планшет и смартфон на базе Android для ваших родителей, 2-е изд.
Книга знакомит читателя с мобильными устройствами на базе Android. Она написана простым и понятным языком для людей среднего и старшего возраста                                                                                                                                                             

Планшет и смартфон на базе Android для ваших родителейПланшет и смартфон на базе Android для ваших родителей
Книга рассчитана на людей среднего и старшего возраста. Она поможет освоить современный «карманный компьютер» на базе Android, в котором все новое и "не так, как в Windows". Доступным языком описывается, как включить и выключить смартфон и т.д.                                                         

Статьи

Rambler's Top100