ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online

More documents

Recommendations

Info

coding Deeoni$ / DeeoniS@gmail.com / реестр Идем на перехват! Перехват обращений к реестру в Windows Vista: практика Если ты прочитал предыдущую статью и попробовал разобраться во всех тонкостях программирования в режиме ядра, то самое время перейти непосредственно к цели всего этого. Мы попробуем написать драйвер режима ядра, перехватывающий обращения к реестру и способный влиять на исход этой операции. предыдущем номере я постарался объять необъятное. Я не В стремился на отведенных мне четырех страницах научить тебя писать драйверы, я хотел лишь подтолкнуть настоящих хакеров к изучению программирования в kernel mode. Тот, кто за этот месяц «проштудировал» интернет на тему IRP-запросов, прерываний, IRQL, стеков устройств и т.д., без труда осилит этот материал и даже сможет написать модуль режима ядра, реализующий все здесь описанное. Итак, приступим. Немного истории Давным-давно, во времена Windows 2000, один программист, а по совместительству исследователь ОС Windows, создал маленькую утилиту под названием RegMon. В предыдущей статье я уже упоминал о ней, а сейчас расскажу чуть подробнее. Эта утилита загружала свой драйвер режима ядра, которой перехватывал системные сервисы операционной системы. Надо сказать, что практически все прикладные API-функции, производящие какие-либо действия с системой, так или иначе в конечном итоге обращаются к этим сервисам. / 114 Вызов функции ядра, прежде чем будет передан соответствующей NativeAPI ядра, предварительно проходит довольно сложную обработку. Сначала в третьем кольце вызывается соответствующая функция в Ntdll, где в регистр EAX помещается номер вызываемого системного сервиса, а в регистр EDX — указатель на передаваемые параметры. Затем вызывается прерывание 2Eh (в Windows XP — команда sysenter) и происходит переход процесса в нулевое кольцо, где управление передается записанному в IDT шлюзу прерывания. В этом месте окружение третьего кольца переключается на нулевое, выполняется смена стека на стек ядра и осуществляется перезагрузка сегментного регистра FS, который в нулевом кольце указывает на совершенно не такие структуры, как в третьем кольце. Затем управление передается обработчику прерывания 2Eh — функции ядра KiSystemService. Она копирует передаваемые системному сервису параметры в стек ядра и производит вызов NativeAPI-функции ядра, согласно содержимому ServiceDescriptorTable. Эта таблица находится в памяти ядра и представляет собой структуру, содержащую 4 таблицы системных сервисов (SST). Первая из них описывает сервисы, экспортируемые xàêåð 06 /102/ 07
coding Последствия неаккуратного написания драйверов Загрузчик Windows Vista ядром (ntoskrnl.exe), вторая — графической подсистемой (win32k.sys), а остальные две зарезервированы на будущее и пока не используются. Когда какое-либо приложение пытается получить доступ к реестру, оно вызывает API-функцию из Advapi32.dll. В случае когда приложение пытается создать ключ реестра, оно обращается к функции RegCreateKey или RegCreateKeyEx. В свою очередь код этих функций обращается к шлюзу NtCreateKey, находящемуся в ntdll.dll. Почему я сказал «шлюз» вместо «функции» Все очень просто. На самом деле, NtCreateKey не делает ничего, кроме вызова соответствующего системного сервиса. Схематично код этой функции выглядит примерно так: Возможный код NtCreateKey mov lea int ret eax,29h xàêåð 06 /102/ 07 / edx,[esp+4] 2Eh Как видно из приведенного примера, сначала в регистр eax заносится число 29h. Это число означает номер системного сервиса в таблице дескрипторов системных сервисов. То есть, если говорить проще, 41‐й элемент в этой таблице является указателем на точку входа в системный сервис, который создает ключ в реестре. После того как в eax загружено смещение, а в edx — указатель на передаваемые параметры, вызывается специальное прерывание 2Eh для перевода процессора в нулевое кольцо. По найденному в таблице системных сервисов смещению происходит переход на код, который дальше выполняет все необходимые действия. Драйвер утилиты RegMon занимался тем, что подменял нужные ему смещения в этой таблице своими. Таким образом, когда какое-либо приложение пыталось обратиться к реестру, вызывался код драйвера RegMon'а, который, собрав нужную ему информацию, делал оригинальный вызов, чтобы не приводить системы в нерабочее состояние. Но с выходом Windows Vista эту возможность прикрыли, обосновав это тем, что этой технологией пользуются руткиты, а для антивирусов, файрволов и других подобных программ еще в Windows XP был предложен специальный механизм для перехвата обращений к реестру. Фильтрация обращений к реестру С выходом Windows XP появилось понятие registry filtering driver. Дословно оно переводится как «драйвер, фильтрующий обращения к реестру». Собственно, из названия вытекает и содержание — это драйвер режима ядра, который фильтрует обращения к системному реестру. Фильтрация обращений происходит за счет установки callback-вызова на функции обращения к реестру. Установить свой callback-вызов можно с помощью следующей функции: NTSTATUS CmRegisterCallback( IN PEX_CALLBACK_FUNCTION Function, IN PVOID Context, OUT PLARGE_INTEGER Cookie ); Здесь Function — это указатель на функцию callback-вызова, который надо зарегистрировать. Context — указатель на некую структуру данных, которая содержит служебную информацию и определяется самим драйвером. Cookie — указатель на переменную типа LARGE_INTEGER, которая идентифицирует callback-рутину. В последствии этот параметр будет использоваться при снятии callback-вызова. Вызов CmRegisterCallback должен происходить при IRQL, меньшем или равном APC_LEVEL. В Windows Vista появилась новая функция для этих целей. Ее прототип представлен ниже. NTSTATUS CmRegisterCallbackEx( IN PEX_CALLBACK_FUNCTION Function, IN PCUNICODE_STRING Altitude, IN PVOID Driver, IN PVOID Context, OUT PLARGE_INTEGER Cookie PVOID Reserved ); Как видно из описания функции, некоторые ее параметры схожи с предыдущими, но есть и новые. Altitude — это указатель на строку типа UNICODE_STRING, которая используется в драйверах минифильтрах. Driver — указатель на структуру объекта драйвера, который осуществляет вызов. Ну и, наконец, Reserved, название которого говорит само за себя. Когда перехватывать обращения к реестру нам больше не нужно, следует вызвать функцию CmUnRegisterCallback. 115
Page 1:
июнь 06(102) 200 Охладис
Page 4 and 5:
MEGANEWS 004 MegaNews Все нов
Page 6:
meganews Meganews Дмитрий Т
Page 10:
meganews Кликни здесь
Page 14 and 15:
meganews Аудитория рун
Page 16 and 17:
meganews Корпорация Micro
Page 18 and 19:
ferrum Саркис «DeDal» Ге
Page 20 and 21:
ferrum Так нам заправи
Page 22 and 23:
ferrum Георгий Ходин В
Page 24 and 25:
ferrum $43 Spire VertiCool IV $45 S
Page 26 and 27:
ferrum Антон Зацепин У
Page 28 and 29:
ferrum чением по выдел
Page 30:
ferrum ВАСИЛИЙ СТЕПАН
Page 33 and 34:
ferrum NEXX NF-810 Сверхтон
Page 35 and 36:
pc_zone Внешний вид пр
Page 37 and 38:
pc_zone Поиск файлов, с
Page 40 and 41:
pc_zone Хвостатый гуру
Page 42 and 43:
pc_zone DVD У тебя будет
Page 44:
pc_zone поддерживаемо
Page 47 and 48:
pc_zone Страница с пар
Page 49 and 50:
pc_zone Создаем алиас
Page 51 and 52:
implant изображение на
Page 53 and 54:
implant Первая версия
Page 55 and 56:
implant Смышленый робо
Page 57 and 58:
взлом Вот такая она
Page 59 and 60:
взлом Исследование
Page 61 and 62:
взлом Acrobat Control в IE т
Page 63 and 64:
взлом xÀêåð 06 /102/ 07
Page 65 and 66: взлом http://www.raadio7.ee/sa
Page 67 and 68: взлом http:// Предупре
Page 69 and 70: взлом Состояния ли
Page 71 and 72: взлом Леонид «R0id» С
Page 73 and 74: взлом именно тот, к
Page 75 and 76: взлом Схема подклю
Page 77 and 78: взлом Предлагаемая
Page 79 and 80: взлом Схема защиты
Page 81 and 82: взлом Сдвиг в WinHex н
Page 83 and 84: Ты наверняка слыша
Page 85 and 86: взлом запустить ма
Page 87 and 88: сцена Вечеринка 100xP
Page 89 and 90: сцена Спасибо! Огро
Page 91 and 92: сцена Глава Intel Пол
Page 93 and 94: сцена Клон Intel 8080 —
Page 95 and 96: сцена Уголовный ко
Page 98 and 99: unixoid Битва супербиз
Page 100 and 101: unixoid Fedora Core: создани
Page 102 and 103: unixoid KUbuntu: разбиение
Page 104 and 105: unixoid Пингвинья ищей
Page 106 and 107: unixoid Использование
Page 108 and 109: unixoid Top 10 ошибок кон
Page 110 and 111: unixoid ! Все знают, что
Page 112 and 113: coding Игорь «Spider_NET» А
Page 114 and 115: coding Полученный спи
Page 118 and 119: coding Новая ОС от Microso
Page 120: coding case RegNtPreSetValueKey: st
Page 123 and 124: coding _TEXT:0000000B mov eax, 0EBE
Page 125 and 126: креатиff Золотая кл
Page 127 and 128: креатиff «Суть «зол
Page 129 and 130: units две. Поскольку Fl
Page 131 and 132: Ñòàâèì Windows ïî ñåòè
Page 133 and 134: ХАКЕР.PRO Консоль уп
Page 135 and 136: ХАКЕР.PRO Переходим
Page 137 and 138: ХАКЕР.PRO Все настро
Page 139 and 140: ХАКЕР.PRO . PyICQt.pid 127.0.0
Page 141 and 142: ХАКЕР.PRO Пример кум
Page 143 and 144: ХАКЕР.PRO POP EBP POP ESI POP
Page 145 and 146: ХАКЕР.PRO Barracuda от Seaga
Page 149: 2007 x 06(АПРЕЛЬ)97 102
show all

ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online