Главная » 2011»Ноябрь»7 » Rootkits под Windows. Теория и практика программирования "шапок-невидимок"
12:34
Rootkits под Windows. Теория и практика программирования "шапок-невидимок"
Книга Руткиты под Windows. Теория и практика программирования "шапок-невидимок" детально рассматривает одну из разновидностей вредоносных программ, называемых руткитами и предназначенных для скрытного контролирования чужих операционных систем. На платформе Windows такая скрытность обеспечивается путем перехвата системные функции и структуры данных и заменой их собственным кодом и своими данными. Таким образом руткит может замаскировать наличие в системе посторонних процессов, файлов, ключей реестра, сетевых соединений и пр. Книга ориентировани на программистов, знакомых с основами сетевого программирования и обладающих познаниями в языке С/С++, на котором приводятся многочисленные примеры кодов. Она также рекомендуется всем, кто интересуется особенностями работы OS Windows, хочет узнать больше о возможностях ее взлома и защиты.
Название: Rootkits под Windows. Теория и практика программирования "шапок-невидимок" Автор: Колисниченко Д. Н. Издательство: Наука и техника Год: 2006 Страниц: 295 Формат: PDF Размер: 28,6 МБ ISBN: 5-94387-266-3 Качество: Отличное Серия или Выпуск: Секреты мастерства
Содержание:
Глава 1. Взлом с точки зрения крекера 1.1. Кто и зачем взламывает защиту 1.2. Что такое руткит 1.3. Чем не является руткит 1.4. Не всякий скрытый код - это руткит 1.5. Аппаратно-программные руткиты 1.5.1. Аппаратно-программные руткиты - тяжелая артиллерия 1.5.2. Сетевые снифферы 1.5.3. Клавиатурные снифферы 1.6. Знакомьтесь - руткиты 1.6.1. Самые популярные руткиты 1.6.2. Общие принципы работы руткита 1.6.3. Руткит Hacker Defender Глава 2. Взлом с точки зрения администратора 2.1. Профилактика 2.1.1. Создание учетной записи обычного пользователя 2.1.2. Установка антивируса 2.1.3. Установка брандмауэра 2.2. Лечение 2.3. Средства обнаружения руткитов Локальные системы обнаружения вторжения Сетевые системы обнаружения вторжения 2.4. Детекторы руткитов Black Light RootkitRevealer Полезные утилиты http://www. invisiblethings. org VICE: сканер руткитных технологий ProcessGuard и AntiHook: профилактика вторжения Для криминалистов: EnCase и Tripwire Глава 3. Подмена как образ жизни руткита 3.1. Подмена кода 3.1.1. Модификация исходного кода 3.1.2. Патчинг 3.2. Перехват на уровне пользователя 3.2.1. Перезапись адреса функции 3.2.2. Перезапись самой функции 3.3. Внедрение кода руткита в чужой процесс 3.3.1. Ключ Applnit_DLLs 3.3.2. Перехват сообщений Windows 3.3.3. Удаленные потоки 3.4. Патчинг "на лету" 3.4.1. А та ли это функция? 3.4.2. Куда возвращаться? 3.5. Эксплойт и руткит играют вместе 3.5.1. Загрузка руткита на удаленный компьютер 3.5.2. Запуск руткита на удаленном компьютере 3.5.3. НТА (HTML-приложение): что это такое? Глава 4. Знакомство с системными таблицами 4.1. Режимы работы процессора Реальный режим Защищенный режим Виртуальный режим Режим системного управления 4.2. Власть колец 4.3. Переход в защищенный режим 4.4. Организация памяти в защищенном режиме 4.4.1. Введение в сегментную организацию памяти 4.4.2. Дескриптор сегмента 4.4.3. Таблицы дескрипторов Таблица GDT Таблица LDT 4.4.4. Страничная адресация 4.4.5. Каталоги и таблицы страниц Структуры данных, управляющие страничной адресацией Вычисление физического адреса Записи PDE и РТЕ 4.5. Таблица дескрипторов прерываний (IDT) 4.6. Структура SSDT 4.7. Ограничение доступа к некоторым важным таблицам 4.8. Важнейшие функции ядра ОС 4.8.1. Управление процессами 4.8.2. Предоставление доступа к файлам 4.8.3. Управление памятью 4.8.4. Обеспечение безопасности Глава 5. Пишем первый драйвер 5.1. DDK (driver development kit) 5.2. Файлы sources и MAKEFILE 5.3. Сборка драйвера 5.4. Отладка. Утилита DEBUGVIEW 5.5. Загрузка драйвера 5.6. Пакеты запроса ввода/вывода 5.7. Схема двухуровневого руткита Глава 6. Перехват на уровне ядра 6.1. Перехват прерываний (таблица IDT) 6.2. Инструкция sysenter 6.3. Сокрытие процессов (таблица SSDT) 6.3.1. Защита таблицы SSDT и руткит 6.3.2. Изменение SSDT 6.4. Сокрытие соединений (таблица IRP) 6.5. Многоуровневые драйверы 6.5.1. Как Windows работает с драйверами 6.5.2. IRP и стек ввода/вывода Глава 7. Пишем сниффер клавиатуры 7.1. Регистрация фильтра клавиатуры 7.2. Запуск отдельного потока, протоколирующего нажатия клавиш 7.3. Обработка IRP чтения клавиатуры 7.4. Запись перехваченных клавиш в файл 7.5. Сборка сниффера 7.6. Готовые клавиатурные снифферы Глава 8. Сокрытие файлов Глава 9. Пережить перезагрузку 9.1. Обзор способов автоматической загрузки руткита 9.2. Секреты ре-файлов 9.3. Немного о BIOS 9.3.1. Flash-память 9.3.2. Неудачный эксперимент. Что делать? Глава 10. Руткит переписывается с хозяином 10.1. Секретные каналы 10.1.1. Что мы собираемся передавать? 10.1.2. Ключ к секретности - стеганография 10.1.3. Скрываем данные в DNS-запросах 10.2. Переходим на уровень ядра. интерфейс TDI 10.2.1. Дескриптор транспортного адреса 10.2.2. Открытие контекста соединения 10.2.3. Связываем транспортный адрес и контекст соединения 10.2.4. Соединяемся 10.2.5. Обмениваемся данными 10.2.6. Завершаем соединение и освобождаем ресурсы Глава 11. Интерфейс NDIS. Создание сетевого сниффера 11.1. Регистрация протокола в системе 11.2. Формирование стека функций протокола 11.3. Анализ пакета Глава 12. Гибридный руткит 12.1. Что такое гибридный руткит? 12.2. Реализация руткита Глава 13. Технология DKOM 13.1. Преимущества и недостатки DKOM 13.2. Определение версии Windows 13.2.1. Пользовательская API-функция GetVersionEx 13.2.2. Функции режима ядра 13.2.3. Системный реестр 13.3. Взаимодействие драйвера устройства и пользовательского процесса 13.4. Сокрытие процессов с помощью DKOM 13.5. Сокрытие драйверов устройств 13.6. Проблемы синхронизации 13.7. Получение дополнительных привилегий 13.7.1. Токен привилегий 13.7.2. Изменение привилегий 13.7.3. Как работаете привилегиями руткит Fu 13.7.4. Добавление SID в токен
На ierixon.ru представлены учебники для разных классов, которые Вы можете скачать понравившийся учебник себе на компьютер. Здесь вы найдете последние новинки учебных пособий, а также всегда можете приобрести учебники уже вышедшие в продажу. Все учебники расположенные на сайте представлены абсолютно бесплатно и в ознакомительных целях. Также все пособия в хорошем качестве.