ÃÂ’ÃÂ·ÃÂ»ÃÂ¾ÃÂ¼ GSM - Xakep Online

More documents

Recommendations

Info

codingАлександр Эккерт/ aleksandr-ehkkert@rambler.ru /С фильтром,пожалуйста!Азбука руткит-кодера: фильтры в ядре WindowsСкажи мне, часто ли бессонными ночами ты мечтал накодить программу,которая бы без ведома пользователя тихонечко отфильтровывала сетевойтрафик? Или обращения к файловой системе? И при этом модифицировалабы файлы на лету? Или подменяла веб-страницы?егодня мы поговорим об основополагающей руткит-техникеC — фильтрах в режиме ядра Windows. Тема эта очень захватывающаяи при прямых руках может принести неслыханныедивиденды. Тебе покорятся и невидимая модификация файловна диске, и подмена содержимого веб-страниц и редирект сетевоготрафика, в общем — полный список!Немного теории, или «устройство» в WindowsЧто такое объект «устройство»? В OC Windows диспетчер ввода-выводаопределяет «устройство» (\Device\) для представлениятого физического, логического или виртуального устройства, чей драйвербыл загружен в систему. Согласно существующим правилам, каждый драйвердолжен создавать объект «устройство» для того физического (виртуального)устройства, которым он управляет. Формат объекта «устройство» определяетсяструктурой DEVICE_OBJECT, описание которой ты без труда найдешь в DDK.Если быть очень кратким, то объекты устройства в ядре Windows могут быть:• Physically Device Object (PDO) — представляет собой какое-то физическоеустройство в системе;• Functional Device Object (FDO) — реализует всю функциональную нагрузкукакого-то устройства;096• Filtering Device Object (FiDO) — объект устройства, создаваемый фильтрдрайвером.Из вышеописанного следует, что утверждение «мышь имеет драйвер»— неоднозначно. Открою страшную тайну — мышью PS/2 управляет неодин драйвер, а целых три: mouclass.sys i8042.sys ACPI.sys. И так совсеми устройствами в Windows! Рассказывать про организацию стека устройствв ядре Windows мы сейчас не будем — уж больно обширная тема,да и в интернете информации можно добыть предостаточно (например,поищи книгу Уолтера Оуни «Programming the Microsoft Windows DriverModel»). В программировании драйверов под Win есть интересная особенность— можно написать драйвер-фильтр, который реально встроитьв указанную цепочку драйверов и получить неограниченный контрольнад любым устройством в Windows, будь то клавиатура, файловая системаили сетевая карта!IRP-пакетыПодсистема ввода-вывода в ядре Windows управляется путем пересылкимежду устройствами своеобразных пакетов — так называемых IRP-пакетов(I/O Request Packet).При вызове какого-либо системного сервиса (например, чтении или за-xàêåð 07 /115/ 08
codingФильтруем сетевойтрафикписи файла) диспетчер ввода-вывода создает IRP-пакет и отправляет егов путешествие вниз по стеку устройств, отвечающих за файловую систему.Результат обработки запроса также вернется инициатору в виде IRP-пакета,который будет содержать всю необходимую информацию.Глубоко не вдаваясь в назначение полей IRP-пакета, отметим, что онсостоит из двух логических частей: фиксированной, неизменяемой припрохождении стека, и динамичной — так называемого стека ввода-вывода,где хранится информация, изменяемая при прохождении от устройствак устройству.В состав структуры DRIVER_OBJECT входит массив MajorFunction. Внего помещаются «dispatch routines» — указатели на процедуры,предназначенные для обработки разных типов IRP-пакетов. Каждыйэлемент этого массива соответствует своему типу IRP. Если, например,драйверу необходимо обрабатывать запрос типа IRP_MJ_READ, уведомляющийо чтении файла, то он должен поместить в соответствующуюпозицию массива MajorFunction указатель на функцию, которой ибудут направляться запросы этого типа. Если такая функциональностьдрайверу не нужна, то этот элемент массива MajorFunction можнооставить равным NULL. Всего в массиве 28 элементов. Опишем самыеважные из них:1) IRP_MJ_CREATE — код передается при создании нового объекта либопри обращении к уже существующему объекту-файлу и соответствуетWin32‐функции CreateFile.2) IRP_MJ_READ — код передается при чтении существующего объектафайлаи соответствует Win32‐функции ReadFile().3) IRP_MJ_WRITE — код передается по стеку устройств при записи всуществующий файл и соответствует, как ты уже понял, Win32‐функцииWriteFile().4) IRP_MJ_DEVICE_CONTROL — код будет передан в стек в тех случаях,когда устройство контролируется посредством IOCTL-запросов. Это, кстати,один из способов «общения» драйвера с юзермодным приложением.Соответствует Win32‐функции DeviceIoControl().5) IRP_MJ_INTERNAL_DEVICE_CONTROL — код пересылается при взаимодействиидрайверов друг с другом.Здесь важно уяснить, что в IRP-пакете содержится указатель на структуруIO_STATUS_BLOCK, которая, в свою очередь, содержит в себе MJкод.При прохождении IRP-пакета через стек устройств I/O диспетчерпросматривает, какой MJ-код содержит пакет и вызывает в драйвере тупроцедуру, которая должна обрабатывать такие IRP-пакеты.Окончательный список кодов ввода-вывода можно без труда найти взаголовочных файлах в пакете WDK (DDK). Но наибольший интерес представляютсобой не MJ-коды ввода-вывода. Как ты, наверное, успел догадаться,управлять всеми устройствами в Windows двадцатью восьмьювариантами кодов невозможно. В структуре IRP-пакета существуют такназываемые MinorFunction, которые детализируют управление устройством,указывая, что ему нужно сделать конкретно. Самое обидное, чтокодов обработчиков минорных функций много, но они мало документированыи их описание приходится по крупицам собирать в Сети. К примеру,при подключении новых устройств драйвер шины в ядре Win вызовомядерной функции IoInvalidateDevicerelations создает IRP-пакетс Major-кодом IRP_MJ_PNP и с Minor-кодом IRP_MN_QUERY_DEVICE_RELATIONS, который вернет PnP-диспетчеру список специфических дляданного устройства «зависимостей» от шины. Тебе, как разработчику руткитов,должна быть понятна одна вещь: самое интересное при перехватеIRP-пакетов — это коды минорных функций, потому что они конкретизируютуправление устройством.Перехват IRP-пакетовС теорией хватит, настало время перейти к главному блюду — организацииперехвата IRP-пакетов в ядре.Существует два прямых способа для организации перехвата IRP-пакетов вядре — заменить функции обработчики IRP на свои или же создать виртуальноеустройство и присоединить его к интересующему нас.Первый метод прост. Мы просто ставим хуки на функции обработки IRP-пакетовв массиве MajorFunction, который имеется в структуре DRIVER_OBJECT. Найти ее не составит труда.typedef struct _DRIVER_OBJECT {...PDRIVER_DISPATCH MajorFunctionxàêåð 07 /115/ 08097
Page 1:
Жестокий взлом BASH.OR
Page 6:
meganewsMeganewsМария «Mifril
Page 10:
meganewsСкажиSamsung’у «а
Page 14 and 15:
meganewsНовыйпрокол AOL
Page 16 and 17:
ferrumКирилл АвроринМ
Page 18:
ferrumBenQ Joybook S32bТехнич
Page 22 and 23:
ferrum4 девайса23 000 руб
Page 24 and 25:
pc_zoneАнтонов «Spider_NET
Page 27 and 28:
pc_zoneБесплатный соф
Page 30 and 31:
pc_zoneМаксим Соколов
Page 32 and 33:
pc_zoneДля регистраци
Page 34 and 35:
pc_zoneСтепан «Step» Иль
Page 36 and 37:
pc_zoneТихо! Идет анал
Page 38 and 39:
взломEasy Hack}Хакерск
Page 40 and 41:
взлом/home/pzh/public_html/tst
Page 42 and 43:
взломОбзор эксплой
Page 44 and 45:
взломCore 2 Duo — один
Page 46 and 47:
взломkolpeeXВолкВ оВе
Page 48: взломinfo• эксплуат
Page 51 and 52: взломinfo• Анализ со
Page 54 and 55: взломЛеонид «R0id» С
Page 56 and 57: взломВид менюшкиПе
Page 58 and 59: взломАбырвалгBash.org.
Page 60 and 61: взломАдминка башаА
Page 62 and 63: взломКрис Касперск
Page 64 and 65: взломvideoНа DVD мы выл
Page 66: взломОсновные преи
Page 69 and 70: взломЗапуск тестов
Page 71 and 72: взломА ты знаешь,чт
Page 73 and 74: P.S. Автор и редакция
Page 75 and 76: сценаАлан ТьюрингН
Page 78 and 79: сценарабочие места
Page 80 and 81: unixoidКрис Касперски
Page 82 and 83: unixoidСтепан Ильин/ STE
Page 84 and 85: unixoidЮрий «bober» Разз
Page 86 and 87: unixoidПри попытке вос
Page 88 and 89: unixoidВиталий «Pizgin» Ш
Page 90 and 91: unixoidMidnight CommanderKonqueror
Page 92 and 93: unixoidВиталий «Pizgin» Ш
Page 94 and 95: codingva1en0k/ fromxa@va1en0k.net /
Page 96 and 97: codingВсе просто: когд
Page 100 and 101: codingСозданное нами
Page 102 and 103: hat is Twithat is Twithat is Twitha
Page 104 and 105: hat is Twithat is Twithat iswitter?
Page 106: hat is Twithat is TwitWhatwitter? h
Page 109 and 110: codingтельски часто),
Page 111 and 112: phreakingКогда я увидел
Page 113 and 114: phreakingпрошивки). За р
Page 115 and 116: phreakingАндрей «Dron_Gus»
Page 117 and 118: phreakingНастройка фор
Page 119: frikingМой домашний ро
Page 122 and 123: •>> ХАКЕР.PROЗа резер
Page 124 and 125: ХАКЕР.PRoсергей «griNde
Page 126 and 127: ХАКЕР.PROacl USERS proxy_auth
Page 128 and 129: ХАКЕР.PROнекоторых д
Page 130 and 131: ХАКЕР.PRoКрис Каспер
Page 132 and 133: ХАКЕР.PROSoft-Ice считае
Page 134 and 135: ХАКЕР.PRoульяНа сМел
Page 136 and 137: ХАКЕР.PROКонфиг для
Page 138 and 139: unitsКрис КасперсКио
Page 140 and 141: unitsЧередование фаз
Page 142 and 143: unitsМаг/ icq 884888 /Степа
Page 144 and 145: unitshttp://madnet.name/tools/madss
Page 146: http://WWW2В этой мини-р
show all

ÃÂ’ÃÂ·ÃÂ»ÃÂ¾ÃÂ¼ GSM - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?

ÃÂ’ÃÂ·ÃÂ»ÃÂ¾ÃÂ¼ GSM - Xakep Online