Rootkity. Sabotowanie jądra systemu Windows

• Sposób działania rootkitów
• Pisanie rootkitów i narzędzi chroniących przed nimi
• Wykrywanie rootkitów

Rootkit to zestaw programów i kodów pozwalający hakerowi na niewykrywalny dostęp do komputera, a tym samym na korzystanie z cudzego systemu operacyjnego. Narzędzie takie można stworzyć, znając luki w zabezpieczeniach jądra systemu operacyjnego i dysponując odpowiednimi umiejętnościami. Ale można również uchronić się przed jego działaniem, co dla osoby odpowiedzialnej za bezpieczeństwo komputera jest zdecydowanie ważniejsze.

Dzięki książce "Rootkity. Sabotowanie jądra systemu Windows" poznasz swojego przeciwnika i nauczysz się z nim walczyć, tworząc własny arsenał. Greg Hoglund i James Butler przedstawiają sposoby, z jakich korzystają hakerzy, aby włamywać się do komputerów i używać ich bez wiedzy właścicieli. Książka opisuje szczegóły sabotowania jądra systemów Windows XP i Windows 2000 oraz koncepcje, które można zastosować w praktycznie każdym systemie operacyjnym -- od Windows Server 2003, poprzez Linuksa, aż po inne systemy uniksowe. Czytając tę książkę, poznasz techniki programowania rootkitów oraz tworzenia systemów obronnych.

• Zasada działania rootkitów
• Sposoby wprowadzania kodu do jądra systemu
• Tworzenie rootkitów
• Manipulowanie obiektami jądra systemu
• Uzyskiwanie bezpośredniego dostępu do sterowników sprzętu
• Wykorzystywanie w rootkitach połączeń sieciowych
• Wykrywanie rootkitów w systemie

• Zrozumienie motywów atakującego (18)
• Znaczenie niewidzialności (18)
• Kiedy nie trzeba się ukrywać? (19)
• Czym jest rootkit? (19)
• Dlaczego istnieją rootkity? (20)
• Zdalna kontrola (21)
• Podsłuchiwanie oprogramowania (21)
• Uprawnione użycie rootkitów (21)
• Jak długo istnieją rootkity? (22)
• Jak działają rootkity? (24)
• Poprawianie (24)
• Jaja wielkanocne (24)
• Spyware (24)
• Modyfikacje kodów źródłowych (25)
• Legalność modyfikowania oprogramowania (26)
• Czym nie jest rootkit? (26)
• Rootkit nie jest exploitem (26)
• Rootkit nie jest wirusem (27)
• Rootkity i błędy w oprogramowaniu (28)
• Eksploity nadal są wielkim problemem (30)
• Ofensywne technologie rootkitów (32)
• HIPS (32)
• NIDS (32)
• Obchodzenie systemów IDS i IPS (33)
• Pomijanie narzędzi wykrywających (34)
• Wnioski (35)

• Ważne składniki jądra systemu (38)
• Projekt rootkitu (38)
• Wprowadzenie kodu do jądra (41)
• Tworzenie sterownika urządzeń dla systemów Windows (42)
• Device Driver Development Kit (43)
• Środowisko kompilacji (43)
• Pliki (43)
• Uruchamianie narzędzia Build (45)
• Procedura usuwania sterownika (45)
• Ładowanie i usuwanie sterownika (46)
• Zapisywanie komunikatów debugowania do dziennika (47)
• Rootkity łączące tryb użytkownika z trybem jądra (48)
• Pakiety żądań wejścia-wyjścia (48)
• Tworzenie uchwytu pliku (51)
• Dodawanie dowiązania symbolicznego (53)
• Ładowanie rootkitu (54)
• Szybka i nieładna metoda ładowania sterownika (54)
• Jedyna słuszna metoda ładowania sterownika (56)
• Dekompresowanie pliku .sys z zasobów (57)
• Ponowne uruchomienie (59)
• Wnioski (61)

• Pierścień zerowy (64)
• Tablice, tablice i jeszcze więcej tablic (66)
• Strony pamięci (67)
• Szczegóły kontroli dostępu do pamięci (68)
• Stronicowanie i przekształcanie adresów (69)
• Przeszukiwanie tablic stron (70)
• Pozycje katalogu stron (72)
• Pozycja tablicy stron (72)
• Do pewnych ważnych tablic dostęp możliwy jest wyłącznie w trybie tylko do odczytu (73)
• Wiele procesów, wiele katalogów stron (73)
• Procesy i wątki (74)
• Tablice deskryptorów pamięci (75)
• Globalna tablica deskryptorów (75)
• Lokalna tablica deskryptorów (75)
• Segmenty kodu (75)
• Bramki wywołań (76)
• Tablica deskryptorów przerwań (76)
• Inne typy bram (79)
• Tablica rozdziału usług systemowych (79)
• Rejestry sterujące (80)
• Zerowy rejestr sterujący (CR0) (80)
• Pozostałe rejestry sterujące (80)
• Rejestr EFlags (81)
• Systemy wieloprocesorowe (81)
• Wnioski (82)

• Punkty zaczepienia w przestrzeni użytkownika (85)
• Punkty zaczepienia w tablicy importowanych adresów (87)
• Punkty zaczepienia wbudowane w funkcje (88)
• Wstrzykiwanie biblioteki DLL do procesu działającego w przestrzeni użytkownika (90)
• Punkty zaczepienia w jądrze systemu (94)
• Tworzenie punktów zaczepienia w tablicy deskryptorów usług systemowych (95)
• Tworzenie punktów zaczepienia w tablicy deskryptorów przerwań (102)
• Tworzenie punktów zaczepienia w głównej tablicy funkcji pakietów IRP w ramach obiektu sterownika urządzenia (106)
• Hybrydowe punkty zaczepienia (115)
• Dostęp do przestrzeni adresowej procesu (115)
• Pamięć dla punktów zaczepienia (119)
• Wnioski (120)

• Tworzenie łatek obejścia (122)
• Zmiana przepływu kodu wykonana za pomocą rootkitu MigBot (123)
• Sprawdzanie bajtów funkcji (124)
• Zapamiętywanie nadpisywanych instrukcji (126)
• Używanie pamięci ze zbioru niestronicowanego (128)
• Poprawianie adresu w czasie pracy (128)
• Szablony skoków (131)
• Przykład z punktem zaczepienia w tablicy przerwań (132)
• Różne wersje podanej metody (137)
• Wnioski (138)

• Podsłuchiwanie klawiatury (142)
• Pakiety IRP i umiejscowienie na stosie (144)
• Rootkit KLOG - analiza (146)
• Sterownik filtra plików (156)
• Wnioski (167)

• Zalety i wady metodologii DKOM (170)
• Określanie wersji systemu operacyjnego (171)
• Określanie wersji systemu w trybie użytkownika (172)
• Określanie wersji systemu w trybie jądra (173)
• Odczytywanie wersji systemu operacyjnego z rejestru (174)
• Komunikacja ze sterownikiem z przestrzeni użytkownika (175)
• Ukrywanie się za pomocą metodologii DKOM (178)
• Ukrywanie procesów (179)
• Ukrywanie sterowników (183)
• Problemy z synchronizacją (186)
• Uprzywilejowanie tokena i podnoszenie grupy (190)
• Modyfikowanie tokena procesu (191)
• Oszukiwanie podglądu zdarzeń systemu Windows (202)
• Wnioski (205)

• Po co nam sprzęt? (209)
• Modyfikowanie firmware'u (210)
• Dostęp do sprzętu (211)
• Adresy sprzętowe (211)
• Dostęp do sprzętu to coś innego niż dostęp do pamięci (212)
• Problemy z czasem (212)
• Magistrala wejścia-wyjścia (213)
• Dostęp do BIOS-u (214)
• Adresowanie urządzeń PCI i PCMCIA (215)
• Przykład: Dostęp do kontrolera klawiatury (216)
• Układ kontrolera klawiatury 8259 (216)
• Zmiana ustawień diod LED (217)
• Twardy restart (221)
• Monitor klawiatury (222)
• Jak daleko można się posunąć? Aktualizacja mikrokodu (227)
• Wnioski (228)

• Zdalne sterowanie, kontrola i wydobywanie danych (232)
• Zmienione protokoły TCP/IP (233)
• Strzeż się wzorców ruchu sieciowego (234)
• Nie wysyłaj danych "jawnie" (235)
• Niech czas pracuje na Twoją korzyść (236)
• Ukrywaj się w żądaniach DNS (236)
• Używaj steganografii w komunikatach ASCII (236)
• Używaj innych kanałów TCP/IP (237)
• Wykorzystanie w rootkicie interfejsu TDI (238)
• Tworzenie struktury adresu (239)
• Tworzenie obiektu adresu lokalnego (240)
• Tworzenie punktu końcowego TDI z kontekstem (243)
• Łączenie punktu końcowego z adresem lokalnym (245)
• Łączenie z serwerem zdalnym (wysyłanie potwierdzeń TCP) (247)
• Wysyłanie danych do serwera zdalnego (248)
• Manipulacje dokonywane na sieci (250)
• Implementowanie "surowych" gniazd sieciowych w systemie Windows XP (251)
• Wiązanie z interfejsem (252)
• Podglądanie pakietów za pomocą surowego gniazda (252)
• Rozbudowane podglądanie z wykorzystaniem surowych gniazd (253)
• Wysyłanie pakietów przez surowe gniazdo (254)
• Wykuwanie źródeł (254)
• Pakiety odbijane (254)
• Wykorzystanie w rootkicie interfejsu NDIS (255)
• Rejestrowanie protokołu (256)
• Wywołania zwrotne sterownika protokołu (260)
• Przenoszenie całych pakietów (263)
• Emulacja komputera (268)
• Tworzenie własnego adresu MAC (269)
• Obsługa protokołu ARP (269)
• Brama IP (271)
• Wysyłanie pakietu (272)
• Wnioski (275)

• Wykrywanie obecności (278)
• Straże u bram (278)
• Przeszukiwanie "pokoi" (280)
• Poszukiwanie punktów zaczepienia (281)
• Wykrywanie zachowania (289)
• Wykrywanie ukrytych plików i kluczy Rejestru (290)
• Wykrywanie procesów ukrytych (290)
• Wnioski (293)