Руткит как программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Программы для поиска и удаления клавиатурных шпионов. Использование RootKit-технологий разработчиками вирусов, троянских программ.
Глава 1. Принципы работы руткита 1.1 Модификация исходного кода 1.2 Патчинг Глава 2. Механизмы работы руткита 2.1 Захват в режиме пользователя 2.1.1 Захват таблицы импорта 2.1.2 Захват функции путем непосредственной модификации ее кода 2.1.3 Внедрение DLL в адресное пространство процесса 2.2 Механизмы работы руткита в режиме ядра (kernel mode) 2.2.1 Захват в режиме ядра 2.2.2 Модификация кода во время исполнения 2.2.3 Непосредственное манипулирование объектами ядра 2.2.4 Манипулирование аппаратурой Глава 3. Методы обнаружения rootkit в системе 3.1 Обнаружение руткита 3.2 Обнаружение деятельности Заключение Литература Введение Руткит (англ. rootkit, т.е. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными сканеры, кейлоггеры (клавиатурный шпион), троянские программы, замещающие основные утилиты операционной системы. Примеры программ, использующих перехват: Антивирус NOD32, утилиты Марка Руссиновича Filemon, Regmon, Во-первых, руткит - это не шпион. Шпионской программой (spyware) называется такая, которая записывает все, что делает за компьютером пользователь: что он вводит с клавиатуры (в том числе и пароли), какие приложения запускает и т. п. Во-вторых, руткит - это не вирус, хотя он и умеет прятаться от средств обнаружения (антивирусов), используя классические методы вирусов: модификацию системных таблиц, памяти и программной логики. Перехват и модификация низкоуровневых API (Application Programming Interface) функций в первую очередь позволяет такой программе достаточно качественно маскировать свое присутствие в системе, защищая ее от обнаружения пользователем и антивирусным программным обеспечением. А рядовой пользователь вряд ли заметит, что в исходный код добавлена функция, отсылающая кое-какие данные на неизвестный этому пользователю (но хорошо известный злоумышленнику) почтовый ящик. Windows есть свой штатный ревизор - служба защиты файлов и каталогов, но вредоносная программа знает о нем и может отключить, если получит привилегии администратора. В подсистеме Win32, чтобы получить список файлов каталога, нужно в первую очередь вызвать функцию FindFirstFile, которая экспортируется библиотекой Kernel32.dll. Этот описатель используется в последующих вызовах функции FindNextFile для перечисления всех файлов и подкаталогов, содержащихся в данном каталоге. Для каждой библиотеки DLL, применяемой приложением, в исполняемом файле приложения на диске есть структура IMAGEIMPORTDESCRIPTOR. Для более поздних версий операционной системы компания Microsoft облегчила нам работу. Функция OpenProcess имеет следующий прототип: HANDLE OpenProcess (DWORD dwDesiredAccess, BOOL blnheritHandle, DWORD dwProcessId); Используя программу Taskmgr.exe, можно узнать PID процесса.
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы
