Февраль

взломКрис КасперскиЖизньпосле Soft-IceОтладчик WinDbg как API- и RPC-шпионРанние версии WinDbg'а от Microsoft не пользовались у хакеров большой популярностьюи все дружно налегали на Soft-Ice, но теперь, когда поддержка последнего прекращенаи он обречен на медленное, но неотвратимое умирание, возникает вопрос:как дальше жить и чем ломать? Тем временем WinDbg сильно повзрослел, и хотя они отстой, но по целому ряду характеристик он обгоняет Soft-Ice. Сейчас я покажу, какиспользовать WinDbg в качестве API- и RPC-шпиона.АPI- и RPC-шпионы входят в активныйинструментарий хакера.Эти орудия борьбы должны бытьвсегда остро заточены и готовык десантированию в тыл врага для сбора информациио вызываемых функциях. Зная, какиефункции (и с какими аргументами) вызывает защита,мы можем ставить точки останова, всплываяотладчиком в непосредственной близости отштаб-квартиры врага. Если же этой информацииу нас нет, точки останова приходится ставитьвслепую, гадая, какой именно API-функциейвоспользовалась программа. В частности, однихтолько функций для чтения текущей даты (необходимойзащите для определения периода истечениятриала) существует с полдесятка, и без/ 094xàêåðшпиона нет никакой возможности угадать, какойименно из них воспользовался разработчик.То же самое относится и к RPC-вызовам(Remote Procedure Calls), своеобразномуфундаменту множества служб, к числу которыхпринадлежит Служба печати, да и, естественно,не только она одна.В общем, без шпионов ломать становится совсемхреново. Но Soft-Ice не предоставляет таких возможностей,и приходится использовать сторонниесредства, большинство из которых способнышпионить только за честными программами.К тому же неудобно каждый раз выходить изотладчика, чтобы запустить очередную утилу.Намного комфортнее держать весь хакерский арсеналв одном месте. И этим местом постепенностановится Microsoft Windows Debugger, поддерживающиймножество полезных расширенийна все случаи жизни и, естественно, позволяющийписать нужные нам расширения самостоятельно.Преодолевая стойкое предубеждение передпродукцией Microsoft, все же скачаем этого зверяи посмотрим, на что он способен.Первое знакомство с WinDbgОтладчик WinDbg представлен в двух «ипостасях».i386kd.exe (для 64‐битной версии — ia64kd.exe)— консольный kernel-debugger, отлаживающийтолько драйверы вместе с дампами памяти ядраи требующий как минимум двух машин, связанныхcom-шнурком или взаимодействующих02 /98/ 07