Книга «Руткиты под Windows. Теория и практика программирования «шапок-невидимок»» детально рассматривает одну из разновидностей вредоносных программ, называемых руткитами и предназначенных для скрытного контролирования чужих операционных систем.
На платформе Windows такая скрытность обеспечивается путем перехвата системные функции и структуры данных и заменой их собственным кодом и своими данными. Таким образом руткит может замаскировать наличие в системе посторонних процессов, файлов, ключей реестра, сетевых соединений и пр.
==== Содержание ====
ГЛАВА 1.ВЗЛОМ С ТОЧКИ ЗРЕНИЯ КРЕКЕРА
1.1. КТО И ЗАЧЕМ ВЗЛАМЫВАЕТ ЗАЩИТУ
1.2. ЧТО ТАКОЕ РУТКИТ
1.3. ЧЕМ НЕ ЯВЛЯЕТСЯ РУТКИТ
1.4. НЕ ВСЯКИЙ СКРЫТЫЙ КОД — ЭТО РУТКИТ
1.5. АППАРАТНО-ПРОГРАММНЫЕ РУТКИТЫ
1.5.1. Аппаратно-программные руткиты — тяжелая артиллерия
1.5.2. Сетевые снифферы
1.5.3. Клавиатурные снифферы
1.6. ЗНАКОМЬТЕСЬ — РУТКИТЫ
1.6.1. Самые популярные руткиты
1.6.2. Общие принципы работы руткита
1.6.3. Руткит Hacker Defender
ГЛАВА 2.ВЗЛОМ С ТОЧКИ ЗРЕНИЯ АДМИНИСТРАТОРА
2.1 . ПРОФИЛАКТИКА
2.1.1. Создание учетной записи обычного пользователя
2.1.2. Установка антивируса
2.1.3. Установка брандмауэра
2.2. ЛЕЧЕНИЕ
2.3. СРЕДСТВА ОБНАРУЖЕНИЯ РУТКИТОВ
Локальные системы обнаружения вторжения
Сетевые системы обнаружения вторжения
2.4. ДЕТЕКТОРЫ РУТКИТОВ
Black Light
RootkitRevealer
Полезные утилиты
_
VICE: сканер руткитных технологий
ProcessGuard и AntiHook: профилактика вторжения
Для криминалистов: EnCase и Tripwire
ГЛАВА 3.ПОДМЕНА КАК ОБРАЗ ЖИЗНИ РУТКИТА
3.1. ПОДМЕНА КОДА
3.1.1. Модификация исходного кода
3.1.2. Патчинг
3.2. ПЕРЕХВАТ НА УРОВНЕ ПОЛЬЗОВАТЕЛЯ
3.2.1. Перезапись адреса функции
3.2.2. Перезапись самой функции
3.3. ВНЕДРЕНИЕ КОДА РУТКИТА В ЧУЖОЙ ПРОЦЕСС
3.3.1. Ключ Applnit_DLLs
3.3.2. Перехват сообщений Windows
3.3.3. Удаленные потоки
3.4. ПАТЧИНГ «НА ЛЕТУ»
3.4.1. А та ли это функция?
3.4.2. Куда возвращаться?
3.5. ЭКСПЛОЙТ И РУТКИТ ИГРАЮТ ВМЕСТЕ
3.5.1. Загрузка руткита на удаленный компьютер
3.5.2. Запуск руткита на удаленном компьютере
3.5.3. НТА (HTML-приложение): что это такое?
ГЛАВА 4. ЗНАКОМСТВО С СИСТЕМНЫМИ ТАБЛИЦАМИ
4.1 . РЕЖИМЫ РАБОТЫ ПРОЦЕССОРА
Реальный режим
Защищенный режим
Виртуальный режим
Режим системного управления
4.2. ВЛАСТЬ КОЛЕЦ
4.3. ПЕРЕХОД В ЗАЩИЩЕННЫЙ РЕЖИМ
4.4. ОРГАНИЗАЦИЯ ПАМЯТИ В ЗАЩИЩЕННОМ РЕЖИМЕ
4.4.1. Введение в сегментную организацию памяти
4.4.2. Дескриптор сегмента
4.4.3. Таблицы дескрипторов
Таблица GDT
Таблица LDT
4.4.4. Страничная адресация
4.4.5. Каталоги и таблицы страниц
Структуры данных, управляющие страничной адресацией
Вычисление физического адреса
Записи PDE и РТЕ
4.5. ТАБЛИЦА ДЕСКРИПТОРОВ ПРЕРЫВАНИЙ (IDT)
4.6. СТРУКТУРА SSDT
4.7. ОГРАНИЧЕНИЕ ДОСТУПА К НЕКОТОРЫМ ВАЖНЫМ ТАБЛИЦАМ
4.8. ВАЖНЕЙШИЕ ФУНКЦИИ ЯДРА ОС
4.8.1. Управление процессами
4.8.2. Предоставление доступа к файлам
4.8.3. Управление памятью
4.8.4. Обеспечение безопасности
ГЛАВА 5. ПИШЕМ ПЕРВЫЙ ДРАЙВЕР
5.1. DDK (DRIVER DEVELOPMENT KIT)
5.2. ФАЙЛЫ SOURCES И MAKEFILE
5.3. СБОРКА ДРАЙВЕРА
5.4. ОТЛАДКА. УТИЛИТА DEBUGVIEW
5.5. ЗАГРУЗКА ДРАЙВЕРА
5.6. ПАКЕТЫ ЗАПРОСА ВВОДА/ВЫВОДА
5.7. СХЕМА ДВУХУРОВНЕВОГО РУТКИТА
ГЛАВА 6. ПЕРЕХВАТ НА УРОВНЕ ЯДРА
6.1 . ПЕРЕХВАТ ПРЕРЫВАНИЙ (ТАБЛИЦА IDT)
6.2. ИНСТРУКЦИЯ SYSENTER
6.3. СОКРЫТИЕ ПРОЦЕССОВ (ТАБЛИЦА SSDT)
6.3.1. Защита таблицы SSDT и руткит
6.3.2. Изменение SSDT
6.4. СОКРЫТИЕ СОЕДИНЕНИЙ (ТАБЛИЦА IRP)
6.5. МНОГОУРОВНЕВЫЕ ДРАЙВЕРЫ
6.5.1. Как Windows работает с драйверами
6.5.2. IRP и стек ввода/вывода
ГЛАВА 7. ПИШЕМ СНИФФЕР КЛАВИАТУРЫ
7.1. РЕГИСТРАЦИЯ ФИЛЬТРА КЛАВИАТУРЫ
7.2. ЗАПУСК ОТДЕЛЬНОГО ПОТОКА, ПРОТОКОЛИРУЮЩЕГО НАЖАТИЯ КЛАВИШ
7.3. ОБРАБОТКА IRP ЧТЕНИЯ КЛАВИАТУРЫ
7.4. ЗАПИСЬ ПЕРЕХВАЧЕННЫХ КЛАВИШ В ФАЙЛ
7.5. СБОРКА СНИФФЕРА
7.6. ГОТОВЫЕ КЛАВИАТУРНЫЕ СНИФФЕРЫ
ГЛАВА 8. СОКРЫТИЕ ФАЙЛОВ
ГЛАВА 9. ПЕРЕЖИТЬ ПЕРЕЗАГРУЗКУ
9.1. ОБЗОР СПОСОБОВ АВТОМАТИЧЕСКОЙ ЗАГРУЗКИ РУТКИТА
9.2. СЕКРЕТЫ РЕ-ФАЙЛОВ
9.3. НЕМНОГО О BIOS
9.3.1. Flash-память
9.3.2. Неудачный эксперимент. Что делать?
ГЛАВА 10. РУТКИТ ПЕРЕПИСЫВАЕТСЯ С ХОЗЯИНОМ
10.1. СЕКРЕТНЫЕ КАНАЛЫ
10.1.1. Что мы собираемся передавать?
10.1.2. Ключ к секретности — стеганография
10.1.3. Скрываем данные в DNS-запросах
10.2. ПЕРЕХОДИМ НА УРОВЕНЬ ЯДРА. ИНТЕРФЕЙС TDI
10.2.1. Дескриптор транспортного адреса
10.2.2. Открытие контекста соединения
10.2.3. Связываем транспортный адрес и контекст соединения
10.2.4. Соединяемся
10.2.5. Обмениваемся данными
10.2.6. Завершаем соединение и освобождаем ресурсы
ГЛАВА 11. ИНТЕРФЕЙС NDIS. СОЗДАНИЕ СЕТЕВОГО СНИФФЕРА
11.1. РЕГИСТРАЦИЯ ПРОТОКОЛА В СИСТЕМЕ
11.2. ФОРМИРОВАНИЕ СТЕКА ФУНКЦИЙ ПРОТОКОЛА
11.3. АНАЛИЗ ПАКЕТА
ГЛАВА 12. ГИБРИДНЫЙ РУТКИТ
12.1. ЧТО ТАКОЕ ГИБРИДНЫЙ РУТКИТ?
12.2. РЕАЛИЗАЦИЯ РУТКИТА
ГЛАВА 13. ТЕХНОЛОГИЯ DKOM
13.1. ПРЕИМУЩЕСТВА И НЕДОСТАТКИ DKOM
13.2. ОПРЕДЕЛЕНИЕ ВЕРСИИ WINDOWS
13.2.1. Пользовательская API-функция GetVersionEx
13.2.2. Функции режима ядра
13.2.3. Системный реестр
13.3. ВЗАИМОДЕЙСТВИЕ ДРАЙВЕРА УСТРОЙСТВА И ПОЛЬЗОВАТЕЛЬСКОГО ПРОЦЕССА
13.4. СОКРЫТИЕ ПРОЦЕССОВ С ПОМОЩЬЮ DKOM
13.5. СОКРЫТИЕ ДРАЙВЕРОВ УСТРОЙСТВ
13.6. ПРОБЛЕМЫ СИНХРОНИЗАЦИИ
13.7. ПОЛУЧЕНИЕ ДОПОЛНИТЕЛЬНЫХ ПРИВИЛЕГИЙ
13.7.1. Токен привилегий
13.7.2. Изменение привилегий
13.7.3. Как работаете привилегиями руткит Fu
13.7.4. Добавление SID в токен
Инструкция и отсебятина:
Маст хев всем кто интересуется компьютерной безопасностью!
Содержание интересное, качну, посмотрим.