Бесплатный электронный учебник по защите информации компьютера в интернет |
|
служба
Компьютерная помощь |
Набор Rootkit — полный взлом системы |
Антивирусная защита компьютера. Вызов мастера на дом в Кириши: (8911) 239-8212 |
|
|||||
|
Набор Rootkit — полный взлом системы А что, если даже сам код операционной системы окажется под контролем взломщика? Эта идея достаточно хорошо опробована для платформы UNIX. Закономерно, что для замены стандартных исполняемых файлов "троянскими конями" обычно требуется получить учетную запись root системы UNIX на целевом компьютере. Наборы программ, выполняющих эту операцию, получили название "отмычек". "Отмычки", применяемые в UNIX, подробно рассматриваются в главе 8, а обсуждение "отмычек" вообще можно найти в главе 14. |
||||
Отмычки NT/2000 Нет ничего удивительного в том, что в 1999 году благодаря
группе Грега Хогланда (Greg Hogland, http://www.rootkit.com) система
Windows NT/2000 "приобрела" свой собственный набор "отмычек".
Грег застал врасплох сообщество Windows, продемонстрировав рабочий
прототип таких инструментов, который способен выполнять сокрытие параметров
системного реестра и "подмену" исполняемых файлов. Этот
набор можно использовать в исполняемых файлах "троянских коней"
без изменения их содержимого. Все эти трюки основываются на использовании
перехвата функций (function hooking). Таким образом можно "модифицировать"
ядро NT, в результате чего будут захвачены системные вызовы. С помощью
набора "отмычек" можно скрыть процесс, параметр системного
реестра или файл, а также перенаправить перехваченный вызов функциям
"троянских коней". Полученный результат способен превзойти
ожидания от внедрения "троянских коней": пользователь не
может быть уверен даже в целостности исполняемого кода. Контрмеры: защита от набора "отмычек" Если вы не можете доверять даже команде dir, значит,
пришло время признать себя побежденным: создайте резервную копию важных
данных (кроме двоичных файлов!), удалите все программное обеспечение
и переустановите его с проверенных носителей. На полагайтесь на резервные
копии, поскольку неизвестно, в какой момент взломщик получил контроль
над системой, — вы можете восстановить тех же самых "троянских
коней". D:\Toolbox>md5sum d:\test.txt > d:\test.md5 К более эффективным средствам выявления вторжений в файловую систему относится хорошо известная утилита Tripwire, которую можно найти по адресу http://www.tripwire.com. С ее помощью можно выполнить аналогичный подсчет контрольных сумм для широкого диапазона систем. Перенаправление исполняемых файлов, выполняемое набором "отмычек" системы NT/2000, теоретически может нейтрализовать подсчет контрольных сумм. Однако поскольку код при этом не изменяется, но в то же время "захватывается" и передается через другую программу, то такой прецедент все же можно выявить. Необходимо упомянуть еще несколько важных утилит, предназначенных для проверки содержимого двоичных файлов. К ним относится старая утилита UNIX strings, перенесенная на платформу Windows (также разработана компанией Cygnus), BinText от Робина Кейра и мощный редактор текста/ шестнадцатеричных данных UltraEdit32 для Windows, который можно найти по адресу http: //www.ultraedit.com. Мы считаем, что редактор BinText лучше всего поместить в папку SendTo, так чтобы его можно было активизировать при щелчке правой кнопкой мыши на имени файлов в проводнике Windows. Для этих же целей редактор UltraEdit32 помещает в контекстное меню соответствующую команду.И наконец, относительно набора "отмычек" NT/2000 Греша можно сказать, что наличие файлов deploy.exe и _root_.sys служит явным подтверждением нападения (или как минимум любознательности хозяина компьютера). К счастью, запуск и завершение набора "отмычек" можно выполнить с использованием команды net. net start _root_ В Windows 2000 появилось средство защиты файлов операционной системы (Windows File Protection), которое предотвращает перезапись системных файлов, установленных программой инсталляции Windows 2000 (для этого около 600 файлов хранится в папке %systemroot%). В последних сообщениях, появившихся в бюллетене NTBugtraq, содержится информация о том, что систему WFP можно обойти, особенно, если ранее были получены привилегии администратора. |
|||||
|
|
|||
|