В прятки с мистером Бондом

Андрей Семенюченко

Спецвыпуск: Хакер, номер #070, стр. 070-046-6

imid++;

}

// Ищем нужный адрес

imsd = (DWORD*)(pimage + imid->FirstThunk);

while(*imsd!=ExitW_Addr && *imsd!=0) imsd++;

if(*imsd == 0)

{

printf("ExitW_Addr не найден в .idata");

return -1;

}

// Заменяем адрес своей функцией

DWORD func_b = (DWORD)&OurFunction;

DWORD a;

// Принудительно разрешаем запись в этой области

VirtualProtect((void*)(imsd),4,PAGE_READWRITE, &a);

// Записываем новый адрес

WriteProcessMemory(GetCurrentProcess(), (void*)(isd),

(void*)&func_b,4,&written);

//Снимаем разрешение записи

VirtualProtect((void*)(imsd),4,a, &a);

if(written!=4)

{

printf("Не удалось записать адрес");

return -1;

}

}

//Описание нашей функции:

BOOL WINAPI OurFunction(UINT uFl, DWORD dwR)

{

//Именно здесь выполняются нужные нам действия, то есть то, что нужно сделать до или вместо завершения работы системы.

…

// И снова вызываем настоящую функцию ExitWindowsEx

((BOOL (__stdcall*)(HWND, char*, char*, UINT))ExitW_Addr)(uFlags, dwReason);

return 0;

}

Вот какое определение руткиту дает wikipedia: http://en.wikipedia.org/wiki/Rootkit

Большинство пользователей ОС Windows работают под правами администратора, что в значительной степени облегчает успешную инсталляцию rootkit на пользовательские компьютеры.

После своей установки руткит также может накладывать на систему определенные патчи с целью предотвращения осуществления других атак.

Такие утилиты. как chkrootkit http://www.chkrootkit.org, позволяют определить изменение ядра в работающей системе.

Поведенческий блокиратор — это программа, которая анализирует поведение запущенного приложения и блокирует любые опасные действия.

Основные глобальные эпидемии последних лет вызывались исключительно вирусами, использовавшими для своего размножения какую-либо критическую уязвимость(Lovesan, Slammer, Sasser, Mytob). ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

Для избегания угроз, связанных с уязвимостью почтовых веб-сервисов, пользуйся простым pop3/imap-клиентом.

Написание руткитов для Windows x86-64-систем будет непростой задачей, поскольку данная операционная система запрещает модификацию системных структур ядра, в том числе:

* системных таблиц ядра, например, KeServiceDescriptorTable;

* IDT;

* GDT.

Опасность легальных руткитов

Все мы помним историю об обнаружении руткита в DRM-модуле музыкальных дисков компании Sony. Основной идеей руткита было внедрение программой защиты от копирования британской компании First 4 Internet. Казалось бы, вполне невинная затея. Многие даже не думали придавать этому факту большого значения. Но реально сложилась ситуация, когда несколько сотен тысяч компьютеров во всем мире оказались оснащены средствами для скрытия файлов и процессов в системе от пользователя. Фактически это означало, что любой файл, начинающийся с «$sys$», становился невидимым для стандартных средств. Это и было доказано на практике с появлением бэкдора Backdoor.Win32.Breplibot.b, эксплуатировавшего возникшую уязвимость. Бэкдор рассылался при помощи спам-рассылки и устанавливал себя в системный каталог с именем, начинающимся на $sys$ ($sys$drv.exe). Соответственно, он был не заметен на компьютерах с функционирующей DRM-защитой от Sony и преспокойненько совершал свои злодеяния. За Breplibot последовали и другие еще более опасные вирусы. Мы не будем осуждать конкретного производителя, но хотелось бы обратить твое внимание и внимание каждого, насколько в современном информационном мире нужно быть осторожным при внедрении любой технологии.