Gю Khogland , G. Mak-Grou - Взлом программного обесспечения. Анализ и использлвание кода

драйвера устройства. Статью ав>
тора Синан (Sinan) по теме переполнения буфера в ядре можно прочесть в журнале
Phrack Magazine, выпуск 60, статья 6 “Smashing The Kernel Stack For Fun And Profit”.

10

Более подробную информацию по этой теме можно узнать из работы Бенни (Benny) и
Раттера (Ratter) в 29/A Labs.

388

Глава 8

“Заражение” образа ядра
Еще один способ для внедрения кода в ядро заключается в установке заплаты в
сам образ ядра. В этой главе мы продемонстрировали код простой заплаты для уст>
ранения механизмов защиты из ядра системы Windows NT. Таким же методом мо>
жет быть изменена любая часть программного кода. При этом не забывайте испра>
вить в коде любые проверки целостности файла, например контрольную сумму фай>
ла. Достаточно интересная информация относительно установки заплат в ядро Linux
содержится в 60>м выпуске журнала Phrack Magazine, статья “Static Kernel Patching”
от автора под псевдонимом jbtzhm.

Перенаправление исполнения
Мы также рассказали о том, как осуществить перенаправление исполнения в
Windows>системах. Интересное обсуждение того, как это выполняется в системах
под управлением Linux, содержится в статье 5 “Advances in Kernel Hacking II” жур>
нала Phrack Magazine, выпуск 59.

Обнаружение наборов средств для взлома
Существует несколько методов для обнаружения наборов средств для взлома,
каждый из которых легко блокируется, если в наборе средств для взлома предусмот>
рена такая возможность. Для выявления изменений данных в памяти можно иссле>
довать таблицу вызовов или выполнить проверку функций и их значения. Во время
выполнения функции можно провести подсчет выполняемых команд и сравнить с
оригинальной функцией. Теоретически можно обнаружить любое изменение в ходе
выполнения программ. Основная проблема заключается в том, что программный
код, который предназначен для выполнения проверки, запускается на том же
скомпрометированном компьютере. При этом набор средств для взлома способен
изменить или повлиять на программный код, предназначенный для проверки. Лю>
бопытный метод для обнаружения наборов средств для взлома изложен в статье
Яна Рудковски (Jan Rutkowski) “Execution Path Analysis: Finding Kernel Based
Rootkits”, которая опубликована в журнале Phrack Magazine, выпуск 59. Програм>
ма для выявления наборов средств для взлома в ядре Solaris доступна на сайте
http://www.immunitysec.com.

Резюме
Завершающим действием большинства атак на программное обеспечение являет>
ся установка набора средств для взлома (rootkit). Эти наборы средств позволяют ха>
керу вернуться на взломанную машину при первом желании. Мы рассмотрели не>
сколько чрезвычайно мощных наборов средств для взлома. Они позволяют управ>
лять абсолютно всеми аспектами работы компьютера. Для этой цели наборы средств
для взлома устанавливаются очень глубоко, в самое “сердце” системы.
Наборы средств для взлома могут устанавливаться как локально, так и достав>
ляться из внешнего источника, например в составе “червя” или вируса. Как и в слу>
чае других видов вредоносного кода, деятельность этих программ должна оставаться

Наборы средств для взлома

389

незаметной. Наборы средств для взлома успешно скрывают себя от стандартных
средств исследования системы, используя перехваты, “трамплины” и заплаты. В этой
главе мы лишь поверхностно затронули обширную тему наборов средств для взло>
ма — тему, которая заслуживает отдельной книги.

390

Предметный указатель

Предметный указатель

A
ACL, 168
ActiveX, 200
API monitor, 143
ASP
страница, 151

J
Java, 259
Java 2, 153
JEDEC, 372
JVM, 37; 259

B
BIOS, 357

K
KLOC, 34

C
CFI, 371
COM/DCOM, 200
CWD, 150

L
LKM, 385
LOC, 34

D
DDK, 327
DLL, 152
Dr.Watson log, 104

E

M
MBR, 373
MIME, 263
MIPS, 298

N
NVRAM, 255

EEPROM, 357

F
FreeBSD, 270

H
HTML
код, 202
HTTPD, 263
HTTP
заголовок, 193

P
PCL, 187
PHP, 173
PIC, 384
PID, 147

R
RISC, 298

I
IDA, 94
IDC
сценарий, 112
IDS, 213
IDT, 383
IRQ, 381

S
SDK, 95
SourceScope, 66
SPARC, 301
SQL Server 7, 86
StackGuard , 66

Предметный указатель

T
TEB, 267

U

391
irc.dll, 221
mshtml.dll, 206
NDIS, 374
scrrun.dll, 196
xt, 265

Библиотечные вызовы API
отслеживание, 148

Unicode, 242
URI, 148
UTF>8, 243

Брандмауэр, 72
Буфер
клавиатуры, 188

Быстрый останов, 225

W
Web>браузер, 200
Web>сервер, 150; 236
Apache, 263

X
XOR, 296
XSS, 190

А
Адрес
в векторе вторжения, 252
внедрения, 254
возврата, 252
эффективный, 99

Анализатор, 228
Архитектура

В
Вектор --">