4

רוטקיט ברמת הקרנל

מאמר מתוך Digital Whisper המדגים כתיבת Rootkit ב-Kernel-Mode

פורסם בתאריך 2nd יוני 2011 ע"י vbCrLf

אתמול בלילה שוחרר גיליון נוסף של Digital Whisper, גיליון מספר 21, ובו ארבעה מאמרים על פונקציות קריפטוגרפיות, פיתוח מאובטח, התקפה על AppArmor של לינוקס ומאמר שלי על כתיבת רוטקיט ברמת הקרנל שאני מפרסם גם כאן.

לאחר קרבות מתישים עם העורך המעיק של WordPress שמחליט פתאום להעלים קטעים שלמים הכנסתי את המאמר לפוסט. אני מקווה שלא החסרתי משהו, כדאי לקרוא במגזין עצמו 🙂

צוות DW מחפש אנשים שיתנו כתף, קראו בבלוג: http://www.digitalwhisper.co.il/0x45/

הקדמה

כהמשך ישיר למאמר מהגליון הקודם, Userland Rootkits, אציג במאמר זה את ה-Kernel-Mode Rootkit. נבנה Rootkit שמסתירה קבצים ותהליכים. רצוי מאוד לקרוא את המאמר מהגליון הקודם לפני קריאת מאמר זה.

לחצו על "המשך לקרוא" להמשך המאמר.

המשך לקרוא

5

Rootkits! Digital Whisper #20

מאמר מתוך Digital Whisper המדגים כתיבת Rootkit ב-User-Mode

פורסם בתאריך 30th אפריל 2011 ע"י vbCrLf

מגזין אבטחת המידע Digital Whisper שחרר את גיליון מספר 20, מזל טוב! 20 חודשים… בלי עין הרע 🙂

כתבתי מאמר לגיליון זה, בנושא Rootkit ובעיקר Rootkits ב-User-Mode. אתם מוזמנים לקרוא.

הקדמה

לפני מספר שנים כללה Sony בדיסקי מוזיקה שמכרה, תוכנת הגנה מפני העתקה שהותקנה אוטומטית במחשב של הלקוח שקנה את הדיסק. זמן לא רב לאחר מכן מארק רוזינוביץ', יוצר סט הכלים המצוין SysInternals, גילה את התוכנה ופירסם את הממצאים. התוכנה הסתירה את עצמה ואף חשפה את המחשב לבעיות אבטחה. Sony הודיעה על החזרה (recall) של הדיסקים, ובנוסף החברה שפיתחה את ההגנה שחררה כלי להסרת ההגנה. בדיעבד, התברר שכלי התיקון חשף את המחשב לבעיות אבטחה חמורות. עוד יותר באלגן.

המשך לקרוא

הדבקה בינארית (Digital Whisper #19 שוחרר)

כתיבת קוד המזריק קוד לכל תוכנה באופן גנרי ("מדביק")

פורסם בתאריך 2nd אפריל 2011 ע"י vbCrLf

אתמול, באיחור קל, שוחרר הגיליון התשעה עשר של Digital Whisper, המגזין המצוין לאבטחת מידע. כל חודש ביומו האחרון יוצא גיליון חדש עם כתבות מכותבים מתנדבים. שווה לעקוב!

כתבתי מאמר לגיליון זה, תוכנו מובא למטה. כדאי לקרוא ב-DW, במקור 🙂 המאמר מדבר על הדבקה בינארית – 'הזרקת' קוד זדוני לתוך תוכנה לגיטימית בצורה אוטומטית. לחצו על הקישור כדי להמשיך לקרוא.

תודה לאחי שעזר בעריכה הראשונית, ולצוות DW שמקפידים להוציא את הגיליון כל חודש.

המשך לקרוא

9

הנדסה קרבית: שולים מוקשים

טכניקות לשליטה על תוכנות רצות בעזרת DLL Injection ו-Code Cave

פורסם בתאריך 28th פברואר 2011 ע"י vbCrLf

זה הוא הפוסט האינפורמטיבי הראשון שלי בבלוג הזה. Digital Whisper גליון מספר 18 שוחרר הערב, ובו המאמר הראשון (ואני מקווה שלא האחרון) שכתבתי עבורו. המאמר מדבר על הזרקת קבצי DLL לתוך תוכנה שרצה – אחת הטכניקות הכי כיפיות שאני מכיר. היא מאפשר שליטה מוחלטת בתוכנה שאליה אנו מזריקים (שבמאמר זה שולה המוקשים הוא הקורבן). אגב, אם כל מה שאתם רוצים זה לרמות הקישו xyzzy ואח"כ Shift-Enter ו-Enter בתוך שולה המוקשים ותהנו 🙂

זה הזמן להודות לצוות Digital Whisper – אפיק קסטיאל (cp77fk4r) וכל צוות העורכים והעורכת על המגזין הזה שתורם רבות לקהילה הישראלית.

הקדמה

במאמר זה אני רוצה להציג טכניקות מעניינות בשליטה על תהליך רץ ב-Windows, או במקרה שלנו- רמאות בשולה המוקשים. התוכנה שניצור תעצור את הזמן ותגרום לשולה המוקשים לגלות לנו איפה מוחבא כל מוקש, והכל בעזרת עריכות זיכרון פשוטות. כדי לעשות את זה נשתמש בטכניקה הנקראת הזרקת DLL. אנחנו נשתמש ב-Visual C++ (וכמובן שאפשר להשתמש בכל IDE ומהדר אחר) עבור בניית מזרק ו-DLL, נשתמש ב-OllyDbg וב-LordPE כדי לאסוף מידע ולבצע קצת עריכות בקובץ. וכמובן את שולה המוקשים של Windows XP. נדרש ידע בסיסי ב-OllyDbg, רצוי ידע ב-C++ (כדי להבין את הקוד).

המשך לקרוא