информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsГде водятся OGRыСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Система обнаружения программ-шпионов типа keylogger методом перехвата системных сервисов 09.11.06 21:34  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Система обнаружения программ-шпионов типа keylogger методом перехвата системных сервисов
Марк Ермолов ermolov_mark@mail.ru

В моей предыдущей статье [ http://bugtraq.ru/library/programming/keylogging.html ] я описал принцип, который лежит в основе практически всех современных keylogger-ов, функционирующих в Windows системах. В этой статье я попытаюсь раскрыть механизм обнаружения программ такого типа, основанный на перехвате системных сервисов (system service) и анализа функции ловушки (hook procedure).
Для успешного понимания материала желательно иметь представление об архитектуре Windows NT, в частности владеть такими понятиями, как: ядро, исполнительная система, подсистема окружения и системные сервисы, а также некоторые знания архитектуры процессоров IA-32. В процессе изложения я при необходимости буду рассматривать некоторые системные механизмы более подробно.
Моя статья будет состоять из двух частей. В первой я рассмотрю механизм перехвата системных сервисов (в частности, перехват вызовов API-функций...

Полный текст
по поводу PatchGuard, заниматься его обходом бесполезно, это... 15.11.06 23:18  
Автор: asd Статус: Незарегистрированный пользователь
<"чистая" ссылка>

по поводу PatchGuard, заниматься его обходом бесполезно, это только начало... В следующих версиях MS просто будет пускать не родные драйверы в "тонкой" виртуалке, основанной на аппаратной поддержеке в последних процессорах.
Честно сказать, сомневаюсь, что Microsoft в близжайшем... 20.11.06 18:13  
Автор: qwe Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Честно сказать, сомневаюсь, что Microsoft в близжайшем будущем реализует механизм запуска драйверов не прошедшие верификацию в виртуалке. По крайней мере, про Vista такой информации не было...
разумеется, о теущем релизе Висты речь не идет, это уже... 22.11.06 22:24  
Автор: asd Статус: Незарегистрированный пользователь
<"чистая" ссылка>
разумеется, о теущем релизе Висты речь не идет, это уже прошлое..
Смысл в том, что надо искать другие способы реализации, МС в конце концов все поприкрывает и достаточно надежно. А краткосрочное решение интересно, конечно, но только в образовательных целях.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach