Евгений Родионов , Алекс Матросов , Сергей Братусь - Руткиты и буткиты. Обратная разработка вредоносных программ и угрозы следующего поколения
Название: | Руткиты и буткиты. Обратная разработка вредоносных программ и угрозы следующего поколения | |
Автор: | Евгений Родионов , Алекс Матросов , Сергей Братусь | |
Жанр: | Компьютерная безопасность, Хакерство | |
Изадано в серии: | неизвестно | |
Издательство: | ДМК Пресс | |
Год издания: | 2022 | |
ISBN: | 978-5-97060-979-8 | |
Отзывы: | Комментировать | |
Рейтинг: | ||
Поделись книгой с друзьями! Помощь сайту: донат на оплату сервера |
Краткое содержание книги "Руткиты и буткиты. Обратная разработка вредоносных программ и угрозы следующего поколения"
Эта книга посвящена обнаружению, анализу и обратной разработке вредоносного ПО. В первой части описываются примеры руткитов, показывающие, как атакующий видит операционную систему изнутри и находит способы надежно внедрить свои импланты, используя собственные структуры ОС. Вторая часть рассказывает об эволюции буткитов, условиях, подхлестнувших эту эволюцию, и методах обратной разработки таких угроз. Издание адресовано широкому кругу специалистов по информационной безопасности, интересующихся тем, как современные вредоносные программы обходят защитные механизмы на уровне операционной системы.
Читаем онлайн "Руткиты и буткиты. Обратная разработка вредоносных программ и угрозы следующего поколения". [Страница - 3]
- 1
- 2
- 3
- 4
- 5
- . . .
- последняя (59) »
TDL4.....................................................113
Модификация таблицы разделов в MBR......................................................................120
Методы заражения VBR/IPL..........................................................................................120
Модификации IPL: Rovnix.............................................................................................121
Заражение VBR: Gapz.....................................................................................................122
Заключение.......................................................................................................................122
Глава 8. Статический анализ буткита с помощью IDA Pro..................................124
Анализ MBR буткита.......................................................................................................125
Загрузка и дешифрирование MBR................................................................................125
Анализ службы дисков BIOS..........................................................................................129
Анализ зараженной таблицы разделов MBR................................................................134
Техника анализа VBR......................................................................................................135
Анализ IPL......................................................................................................................136
Оценка других компонентов буткита...........................................................................136
Продвинутая работа с IDA Pro: написание собственного загрузчика MBR. .....138
Файл loader.hpp..............................................................................................................138
Реализация accept_file....................................................................................................139
Реализация load_file.......................................................................................................140
Создание структуры, описывающей таблицу разделов..............................................141
Заключение.......................................................................................................................142
Упражнения......................................................................................................................143
Глава 9. Динамический анализ буткита: эмуляция и виртуализация.............145
Эмуляция с помощью Bochs.........................................................................................146
Установка Bochs..............................................................................................................147
Создание окружения Bochs...........................................................................................147
Заражение образа диска................................................................................................150
Использование внутреннего отладчика Bochs.............................................................152
Комбинация Bochs с IDA................................................................................................153
Виртуализация с помощью VMware Workstation. ...................................................155
Конфигурирование VMware Workstation......................................................................156
Комбинация VMware GDB с IDA....................................................................................157
Microsoft Hyper-V и Oracle VirtualBox.........................................................................160
Заключение.......................................................................................................................161
Упражнения......................................................................................................................161
Глава 10. Эволюция методов заражения MBR и VBR: Olmasco........................163
Сбрасыватель...................................................................................................................164
Ресурсы сбрасывателя....................................................................................................164
Средства трассировки для будущих разработок..........................................................166
Средства противодействия отладке и эмуляции.........................................................167
Функциональность буткита..........................................................................................169
Метод заражения...........................................................................................................169
Процесс загрузки зараженной системы.......................................................................170
Функциональность руткита..........................................................................................171
Подключение к объекту устройства диска и внедрение полезной нагрузки.............172
Обслуживание скрытой файловой системы.................................................................172
Реализация интерфейса транспортного драйвера для перенаправления
сетевого трафика.......................................................................................................175
Заключение.......................................................................................................................176
8
Содержание
Глава 11. Буткиты начального загрузчика программы:
Rovnix and Carberp.........................................................................................................177
Эволюция Rovnix.............................................................................................................178
Архитектура буткита......................................................................................................179
Заражение системы........................................................................................................180
Процесс загрузки после заражения и IPL..................................................................182
Реализация полиморфного дешифровщика................................................................182
Дешифрирование начального загрузчика Rovnix с помощью VMware и IDA Pro.....184
Перехват управления путем изменения начального загрузчика Windows...............190
Загрузка вредоносного --">
Модификация таблицы разделов в MBR......................................................................120
Методы заражения VBR/IPL..........................................................................................120
Модификации IPL: Rovnix.............................................................................................121
Заражение VBR: Gapz.....................................................................................................122
Заключение.......................................................................................................................122
Глава 8. Статический анализ буткита с помощью IDA Pro..................................124
Анализ MBR буткита.......................................................................................................125
Загрузка и дешифрирование MBR................................................................................125
Анализ службы дисков BIOS..........................................................................................129
Анализ зараженной таблицы разделов MBR................................................................134
Техника анализа VBR......................................................................................................135
Анализ IPL......................................................................................................................136
Оценка других компонентов буткита...........................................................................136
Продвинутая работа с IDA Pro: написание собственного загрузчика MBR. .....138
Файл loader.hpp..............................................................................................................138
Реализация accept_file....................................................................................................139
Реализация load_file.......................................................................................................140
Создание структуры, описывающей таблицу разделов..............................................141
Заключение.......................................................................................................................142
Упражнения......................................................................................................................143
Глава 9. Динамический анализ буткита: эмуляция и виртуализация.............145
Эмуляция с помощью Bochs.........................................................................................146
Установка Bochs..............................................................................................................147
Создание окружения Bochs...........................................................................................147
Заражение образа диска................................................................................................150
Использование внутреннего отладчика Bochs.............................................................152
Комбинация Bochs с IDA................................................................................................153
Виртуализация с помощью VMware Workstation. ...................................................155
Конфигурирование VMware Workstation......................................................................156
Комбинация VMware GDB с IDA....................................................................................157
Microsoft Hyper-V и Oracle VirtualBox.........................................................................160
Заключение.......................................................................................................................161
Упражнения......................................................................................................................161
Глава 10. Эволюция методов заражения MBR и VBR: Olmasco........................163
Сбрасыватель...................................................................................................................164
Ресурсы сбрасывателя....................................................................................................164
Средства трассировки для будущих разработок..........................................................166
Средства противодействия отладке и эмуляции.........................................................167
Функциональность буткита..........................................................................................169
Метод заражения...........................................................................................................169
Процесс загрузки зараженной системы.......................................................................170
Функциональность руткита..........................................................................................171
Подключение к объекту устройства диска и внедрение полезной нагрузки.............172
Обслуживание скрытой файловой системы.................................................................172
Реализация интерфейса транспортного драйвера для перенаправления
сетевого трафика.......................................................................................................175
Заключение.......................................................................................................................176
8
Содержание
Глава 11. Буткиты начального загрузчика программы:
Rovnix and Carberp.........................................................................................................177
Эволюция Rovnix.............................................................................................................178
Архитектура буткита......................................................................................................179
Заражение системы........................................................................................................180
Процесс загрузки после заражения и IPL..................................................................182
Реализация полиморфного дешифровщика................................................................182
Дешифрирование начального загрузчика Rovnix с помощью VMware и IDA Pro.....184
Перехват управления путем изменения начального загрузчика Windows...............190
Загрузка вредоносного --">
- 1
- 2
- 3
- 4
- 5
- . . .
- последняя (59) »