[admin]

Д.Н.Колисниченко | Rootkits под Windows [2006] [DJVU]

---

Автор: Д.Н.Колисниченко
Оригинальное название: «Rootkits под Windows. Теория и практика программирования «шапок-невидимок», позволяющих скрывать от системы данные, процессы, сетевые соединения»
Год: 2006
Издательство: «Наука и Техника»
ISBN: 5-94387-266-3
Жанр: Программирование
Формат: DJVU
Страниц: 320 с ил.
Серия: «Секреты мастерства»
Качество: Скан выше-среднего, с OCR

Описание:
Руткит - это программа или набор программ для скрытого взятия под контроль, взломанной системы. На платформе Windows скрытность обеспечивается тем, что руткиты перехватывают системные функции и структуры данных, подменяя их своим кодом и данными. Благодаря этой подмене, руткит может замаскировать присутствие в системе посторонних процессов, файлов, сетевых соединений, ключей реестра и т.п., выступая таким образом в роли своеобразной программной?шапки-невидимки. Описанию руткитных технологий и программированию руткитов как раз и посвящена данная книга. В первой главе книги рассмотрено несколько популярных руткитов. Следующие главы знакомят читателя с принципами работы руткита. Приведены многочисленные примеры кода, иллюстрирующие различные руткитные технологии. Книга рассчитана на программистов среднего уровня подготовленности, умеющих писать на C/C++ и знакомых с основами сетевого программирования. Она будет интересна также всем, кто хочет разобраться в особенностях работы ОС Windows, узнать больше о возможностях ее взлома и защиты.

* Глава 1.Взлом с тонки зрения крекера
1.1. Кто и зачем взламывает защиту 11
1.2. Что такое руткит 12
1.3. Чем не является руткит 14
1.4. Не всякий скрытый код - это руткит 18
1.5. Аппаратно-программные руткиты 22
1.5.1.Аппаратно-программные руткиты - тяжелая артиллерия22
1.5.2.Сетевые снифферы24
1.5.3.Клавиатурные снифферы25
1.6. Знакомьтесь - руткиты26
1.6.1.Самые популярные руткиты26
1.6.2.Общие принципы работы руткита27
1.6.3.Руткит Hacker Defender30
* Глава 2.Взлом с точки зрения администратора
2.1. Профилактика 34
2.1.1.Создание учетной записи обычного пользователя35
2.1.2. Установка антивируса36
2.1.3.Установка брандмауэра38
2.2. Лечение43
2.3. Средства обнаружения руткитов44
Локальные системы обнаружения вторжения45
Сетевые системы обнаружения вторжения45
2.4. Детекторы руткитов46
Black Light48
RootkitRevealer49
Полезные утилиты49
http://www.invisiblethings.org53
VICE: сканер руткитных технологий54
ProcessGuard и AntiHook: профилактика вторжения56
Для криминалистов: EnCase и Ttipwire57
* Глава 3.Подмена как образ жизни руткита
3.1. Подмена кода61
3.1.1.Модификация исходного кода61
3.1.2.Патчинг 62
3.2. Перехват на уровне пользователя64
3.2.1.11ерезапись адреса функции67
3.2.2.Перезапись самой функции67
3.3. Внедрение кода руткита в чужой процесс70
3.3.1.Ключ Applnit DLLs 70
3.3.2. Перехват сообщений Windows71
3.3.3.Удаленные потоки74
3.4. Патчинг «на лету» 75
3.4.1.А та ли это функция?77
3.4.2.Куда возвращаться?81
3.5. Эксплойт и руткит играют вместе85
3.5.1.Загрузка руткита на удаленный компьютер85
3.5.2.Запуск руткита на удаленном компьютере86
3.5.3.НТА (HTML-приложение): что это такое?88
* Глава 4. Знакомство с системными таблицами
4.1. Режимы работы процессора96
Реальный режим96
Защищенный режим97
Виртуальный режим97
Режим системного управления98
4.2. Власть колец 98
4.3. Переход в защищенный режим99
4.4. Организация памяти в защищенном режиме100
4.4.1.Введение в сегментную организацию памяти100
4.4.2.Дескриптор сегмента 102
4.4.3.Таблицы дескрипторов104
Таблица GDT 104
Таблица LDT 105
4.4.4.Страничная адресация 106
4 4.5. Каталоги и таблицы страниц 108
Структуры данных, управляющие страничной адресацией108
Вычисление физического адреса 109
Записи PDE и РТЕ 111
4.5. Таблица дескрипторов прерываний (IDT) 113
4.6. Структура SSDT115
4.7. Ограничение доступа к некоторым важным таблицам115
4.8. Важнейшие функции ядра ОС116
4.8.1.Управление процессами 117
4.8.2.Предоставление доступа к файлам119
4.8.3. Управление памятью 120
4.8.4.Обеспечение безопасности 120
* Глава 5. Пишем первый драйвер
5.1. DDK (Driver Development Kit)124
5.2. Файлы Sources и MakeFile125
5.3. Сборка драйвера 126
5.4. Отладка. Утилита DebugView127
5.5. Загрузка драйвера 127
5.6. Пакеты запроса ввода/вывода136
5.7. Схема двухуровневого руткита142
* Глава 6. Перехват на уровне ядра
6.1. Перехват прерываний (таблица IDT)149
6.2. Инструкция Sysenter152
6.3. Сокрытие процессов (таблица SSDT)153
6.3.1.Защита таблицы SSDT и руткит 154
6.3.2. Изменение SSDT 157
6.4. Сокрытие соединений (таблица IRP) 162
6.5. Многоуровневые драйверы 171
6.5.1.Как Windows работает с драйверами 173
6.5.2.IRP и стек ввода/вывода 174
* Глава 7. Пишем сниффер клавиатуры
7.1. Регистрация фильтра клавиатуры179
7.2. Запуск отдельного потока, протоколирующего нажатия клавиш 181
7.3. Обработка IRP Чтения клавиатуры184
7.4. Запись перехваченных клавиш в файл 186
7.5. Сборка сниффера 190
7.6. Готовые клавиатурные снифферы 191
* Глава 8. Сокрытие файлов
* Глава 9. Пережить перезагрузку
9.1. Обзор способов автоматической загрузки руткита205
9.2. Секреты РЕ-Файлов 206
9.3. Немного о BIOS208
9.3.1.Flash-память210
9.3.2.Неудачный эксперимент. Что делать? 212
* Глава 10. Руткит переписывается с хозяином
10.1. Секретные каналы217
10.1.1. Что мы собираемся передавать? 217
10.12. Ключ к секретности - стеганография 219
10.1.3. Скрываем данные в DNS-запросах221
10.2. Переходим на уровень ядра. Интерфейс TDI 223
10.2.1. Дескриптор транспортного адреса225
10.2.2. Открытие контекста соединения228
10.2.3. Связываем транспортный адрес и контекст соединения 229
10.2.4. Соединяемся231
10.2.5. Обмениваемся данными 233
10.2.6. Завершаем соединение и освобождаем ресурсы235
* Глава 11. Интерфейс NDIS. Создание сетевого сниффера
11.1. Регистрация протокола в системе240
11.2. Формирование стека функций протокола243
11.3. Анализ пакета248
* Глава 12. Гибридный руткит252
12.1. Что такое гибридный руткит?253
12.2. Реализация руткита253
* Глава 13. Технология DKOM
13.1. Преимущества и недостатки DKOM261
13.2. Определение версии Windows264
13.2.1. Пользовательская API-функция GetVersionEx264
13.2.2. Функции режима ядра 265
13.2.3. Системный реестр266
13.3. Взаимодействие драйвера устройства и пользовательского процесса267
13.4. Сокрытие процессов с помощью DKOM270
13.5. Сокрытие драйверов устройств 275
13.6. Проблемы синхронизации277
13.7. Получение дополнительных привилегий 280
13.7.1. Токен привилегий280
13.7.2. Изменение привилегий282
13.7.3. Как работает с привилегиями руткит FU286
13.7.4. Добавление SID в токен291

1. Хорошее издание, с виджетной и закладочной(добавлено) навигацией в боковой панели;
2. Оглавление - см. выше;
3. Текст распознан(добавлено OCR, не вычитано), возможно копирование в буфер (см.скрин2) и поиск по всему тексту (скрин3);
4. Максимальное увеличение страницы, сохраняет относительную "чистоту" текста, ровность букв.
* Недостаточно очищено, рекомендуется просмотр в положении «по ширине»
* Отличия от Д. Колисниченко | Руткиты под Windows. Теория и практика программирования "шапок-невидимок" [2006] [PDF] - другое качество и высокая функциональность

*Rootkits под Windows.djvu:
md5: 16774e2b28ddee33e7b13e3217c2b68b

* Родственные релизы: книги - «Разработка приложений для Android»; «PHP 5 в Подлиннике (2-е изд.)»; «Язык программирования PHP»; «Ассемблер. Самоучитель»; «Visual С# на примерах (+CD)»; «Библия С#» (+CD); «Практика программирования USB» (+ CD)

Скриншоты:

Время раздачи: 8:00 - 1:00 (по Москве) - до 10 скачавших