JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online

More documents

Recommendations

Info

ВЗЛОМ Баранов Артем artembaranovex@gmail.com ÊÐÈÌÈÍÀËÈÑÒÈ×ÅÑÊÈÉ ÀÍÀËÈÇ ÏÀÌßÒÈ Èññëåäóåì ïðîöåññû â Windows 7 Ïðèâåò, ìîé äîðîãîé ÷èòàòåëü! Ñåãîäíÿ ÿ ïîçíàêîìëþ òåáÿ ñ ïðîäâèíóòûì ñïîñîáîì äåòåêòà ñêðûòûõ ìîäóëåé ïðîöåññîâ. Òû óæå çíàåøü, ÷òî áîëüøèíñòâî ðóòêèòîâ ñêðûâàþò ñâîè ìîäóëè øèðîêî èçâåñòíûì ñïîñîáîì — ÷åðåç óäàëåíèå èõ èç PEB. Íî âîò ñïîñîá, ñ ïîìîùüþ êîòîðîãî òàêèå ñêðûòûå ìîäóëè îïðåäåëÿþòñÿ, è êîòîðûì ïîëüçóþòñÿ àíòèðóòêèòû, íåäîêóìåíòèðîâàí è ìàëî ãäå îïèñàí. Ñåé÷àñ ÿ âíåñó ñâîé ñâåòëûé ëó÷ â ýòî òåìíîå öàðñòâî. Íî äëÿ ïîíèìàíèÿ ýòîé ñòàòüè îò òåáÿ ïîíàäîáÿòñÿ çíàíèÿ â îáëàñòè âíóòðåííåãî óñòðîéñòâà ÿäðà. ÑÓÒÜ ÏÐÎÁËÅÌÛ Всем известно, что Windows очень гибко управляет распределением физической памяти. Она выдается процессу только тогда, когда он к ней реально обратится (исключение составляет лишь #PF). В момент такого обращения диспетчер памяти (или VMM) должен различить ситуацию нарушения доступа (обращения к участку памяти, который не был зарезервирован, или под него не выделена физическая память) от ситуации, когда память передана, но физически еще не выделена. VMM полагается на структуры дескрипторов виртуальных адресов (Virtual Address Descriptor), которые организованы в дерево на основе номеров страниц. Общая схема работы VAD есть у Руссиновича в главе про диспетчер виртуальной памяти. Детальную же информацию по структурам нам может дать только windbg. Суть VAD’ов в том, что они помогают обнаруживать библиотеки, загруженные в память процессов, которые скрывают руткиты (например, давно известным способом удаления из PEB). Когда я впервые заинтересовался структурой VAD для обнаружения скрытых dll, мне на глаза попалась замечательная статья журнала Digital Investigation — «The VAD tree: A process-eye view of physical memory» (dfrws.org/2007/proceedings/p62-dolan-gavitt.pdf). Материал дает подробную информацию об устройстве VAD, но, к сожалению, вопрос лишен практической стороны. Обобщая эту статью и добавляя 062 XÀÊÅÐ 09 /140/ 10
По команде !process можно получить информацию о Vad практическую часть, я наглядно объясню, как с помощью анализа VAD антируткиты показывают список загруженных в процессы DLL. ×ÒÎ ÒÀÊÎÅ VAD, È Ñ ×ÅÌ ÅÃÎ ÅÄßÒ Условно, VAD — это структура, которая описывает регион адресного пространства. Например, при вызове функции VirtualAlloc с параметром MEM_RESERVE резервируется регион требуемого размера и создается VAD, описывающий этот регион. При передаче физической памяти параметра MEM_COMMIT система пометит в этой структуре количество переданных страниц. Другой пример: система загружает DLL в адресное пространство процесса, соответственно, это приводит к резервированию региона памяти, и тогда создается VAD, который описывает данный регион. Принцип один, разница лишь в том, какая структура VAD будет использоваться для того или иного случая резервирования. Внутри себя ядро использует функцию MiCheckVirtualAddress, которая первым аргументом принимает виртуальный адрес, а возвращает указатель на соответствующий этому адресу PTE. При этом в третий аргумент записывается указатель на соответствующий адрес VAD. Ее структура выглядит так: MiCheckVirtualAddress ( IN PVOID VirtualAddress, OUT PVOID Unknown, OUT PMMVAD *VadOut ) VAD ÁÛÂÀÅÒ ÐÀÇÍÛÌ Видов VAD бывает несколько: _MMVAD_SHORT, _MMVAD и _MMVAD_ LONG. Причем каждый последующий фактически расширяет предыдущий. Шапка у всех одна и выглядит так (см. также _MMADDRESS_ NODE): typedef struct _MMVAD_SHORT { union { LONG32 Balance : 2; struct _MMVAD* Parent; // ðîäèòåëüñêèé VAD } u1; struct _MMVAD* LeftChild; // ëåâûé äî÷åðíèé VAD struct _MMVAD* RightChild; // ïðàâûé äî÷åðíèé VAD ULONG32 StartingVpn; // ñòàðòîâûé íîìåð ñòðàíèö ULONG32 EndingVpn; // ïîñëåäíÿÿ ñòðàíèöà, íîìåð union { ULONG32 LongFlags; struct _MMVAD_FLAGS VadFlags; //ïîëåçíûå ôëàãè } u; … } MMVAD_SHORT, *PMMVAD_SHORT. typedef struct _MMVAD_FLAGS { ULONG32 CommitCharge : 19; // 0 BitPosition ULONG32 NoChange : 1; // 19 BitPosition ULONG32 VadType : 3; // 20 BitPosition ULONG32 MemCommit : 1; // 23 BitPosition ULONG32 Protection : 5; // 24 BitPosition ULONG32 Spare : 2; // 29 BitPosition ULONG32 PrivateMemory : 1; // 31 BitPosition }MMVAD_FLAGS, *PMMVAD_FLAGS; CommitCharge — количество выделенных (COMMIT) страниц в этом узле. VadType — тип Vad. Protection — атрибут защиты страниц. MMVAD_SHORT не подойдет для наших целей, так как с его помощью описываются обычные приватные страницы, выделенные, например, с помощью VitualAlloc. А вот _MMVAD — как раз то, что нужно. typedef struct _MMVAD { union { LONG32 Balance : 2; struct _MMVAD* Parent; } u1; struct _MMVAD* LeftChild; struct _MMVAD* RightChild; ULONG32 StartingVpn; ULONG32 EndingVpn; union { ULONG32 LongFlags; struct _MMVAD_FLAGS VadFlags; }u; … //äàëåå äàííûå, êîòîðûå ñâÿçûâàþò VAD ñ ñåêöèåé ðàçäåëà union { struct _SUBSECTION* Subsection; struct _MSUBSECTION* MappedSubsection; }; struct _MMPTE* FirstPrototypePte; struct _MMPTE* LastContiguousPte; struct _LIST_ENTRY ViewLinks; struct _EPROCESS* VadsProcess; } MMVAD, *PMMVAD; А так выглядит подраздел. typedef struct _SUBSECTION { // óêàçàòåëü íà îáëàñòü óïðàâëåíèÿ PCONTROL_AREA ControlArea; // äàëåå ñëåäóþò ïîëÿ, íåîáõîäèìûå VMM äëÿ ñîïîñòàâëåíèÿ îáðàçà íà äèñêå è â ïàìÿòè äëÿ ïîäêà÷êè union { ULONG LongFlags; MMSUBSECTION_FLAGS SubsectionFlags; } u; … } SUBSECTION, *PSUBSECTION; XÀÊÅÐ 09 /140/ 10 063
Page 1:
CMS БИТРИКС: СВЕЖИЕ У
Page 4 and 5:
CONTENT MegaNews 004 Все нов
Page 6:
MEGANEWS МАРИЯ «MIFRILL» Н
Page 10:
MEGANEWS ÏÈÙÅÂÀß ÖÅÏÎ×
Page 13 and 14: Реклама 11
Page 15 and 16: ÆÈÄÊÎÑÒÍÎÅ ÎÕËÀÆÄÅ
Page 17 and 18: ÓÆÀÑ È ÏÀÍÈÊÀ — SKYPE
Page 19 and 20: ÒÅÕÍÈ×ÅÑÊÈÅ ÕÀÐÀÊÒ
Page 21 and 22: 4500 ðóá. 11600 ðóá. 3Q 3QMMP
Page 24 and 25: FERRUM SEAGATE FREEAGENT Theater 35
Page 26 and 27: FERRUM Дмитрий Ленски
Page 28 and 29: PC_ZONE Александр Лозо
Page 30 and 31: PC_ZONE Перед сборкой
Page 32: PC_ZONE INFO info Если речь
Page 35 and 36: Моя первая разрабо
Page 37 and 38: У Poly-Poly Cannon было уже
Page 39 and 40: coding lotus.xakep.ru X-testing сo
Page 41 and 42: Сервисная утилита
Page 43 and 44: VID È PID ÍÅ ÈÇÂËÅÊÀÞÒ
Page 45 and 46: наша информация, та
Page 47 and 48: ¹ 6 РЕШЕНИЕ: ЗАДАЧА:
Page 50 and 51: ВЗЛОМ Алексей Синц
Page 52 and 53: ВЗЛОМ Ubuntu. Шаг 1 Ubuntu.
Page 54 and 55: ВЗЛОМ Clickjacking. Вроде
Page 58 and 59: ВЗЛОМ Статистика о
Page 60 and 61: ВЗЛОМ Леонид «Cr@wler»
Page 62 and 63: ВЗЛОМ Китайский ма
Page 66 and 67: ВЗЛОМ Команда !vad да
Page 68 and 69: ВЗЛОМ Владимир d0znp
Page 70 and 71: ВЗЛОМ Пример XSS, най
Page 74 and 75: ВЗЛОМ 0xXXYY0104 — нача
Page 76 and 77: ВЗЛОМ Так выглядит
Page 78 and 79: ВЗЛОМ HellMilitia и my Death
Page 80 and 81: ВЗЛОМ Смещение фай
Page 82 and 83: ВЗЛОМ Маг icq 884888 X-TOOL
Page 84 and 85: MALWARE Вячеслав Закор
Page 86 and 87: MALWARE На этом первую
Page 88 and 89: MALWARE Александр Экке
Page 90: MALWARE невыявляем пут
Page 93 and 94: ËÀÁÎÐÀÒÎÐÈß Ñ ÄÐÓÃ
Page 95 and 96: достают через АНБ.
Page 97 and 98: Реклама
Page 99 and 100: Команда «qdbus org.kde.yaku
Page 101 and 102: ли, то не могу преду
Page 103 and 104: Antix LXDE + Ubuntu = Lubuntu 128
Page 105 and 106: Slitaz Åñòü ëè æèçíü â
Page 107 and 108: coding DVD Qt logo dvd На дис
Page 109 and 110: coding Наше приложени
Page 111 and 112: coding позволяющие оп
Page 113 and 114: coding Утилита ручной
Page 115 and 116:
Особо чувствительн
Page 117 and 118:
Реклама
Page 119 and 120:
îáíîâëåíèÿ — íàæàò
Page 121 and 122:
INFO info • Обзор Forefront
Page 123 and 124:
XSTARTER Åùå îäíà ïîïóë
Page 125 and 126:
INFO info • Все програм
Page 127 and 128:
Евгений Зобнин j1m@syn
Page 129 and 130:
Создаем виртуальны
Page 131 and 132:
Устанавливаем зону
Page 133 and 134:
Lite, Pro èëè Cluster. Ñïèñ
Page 135 and 136:
Â çàâèñèìîñòè îò âû
Page 137 and 138:
Во сне мы проводим
Page 139 and 140:
INFO info Подробнее об
Page 141 and 142:
ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 143 and 144:
Wi-Fi сканер, но наибо
Page 145 and 146:
CMS БИТРИКС: СВЕЖИЕ У
show all

JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?

JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online