Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Система обнаружения программ-шпионов типа keylogger методом перехвата системных сервисов 09.11.06 21:34
Publisher: dl <Dmitry Leonov>
|
Система обнаружения программ-шпионов типа keylogger методом перехвата системных сервисов Марк Ермолов ermolov_mark@mail.ru
В моей предыдущей статье [ http://bugtraq.ru/library/programming/keylogging.html ] я описал принцип, который лежит в основе практически всех современных keylogger-ов, функционирующих в Windows системах. В этой статье я попытаюсь раскрыть механизм обнаружения программ такого типа, основанный на перехвате системных сервисов (system service) и анализа функции ловушки (hook procedure).
Для успешного понимания материала желательно иметь представление об архитектуре Windows NT, в частности владеть такими понятиями, как: ядро, исполнительная система, подсистема окружения и системные сервисы, а также некоторые знания архитектуры процессоров IA-32. В процессе изложения я при необходимости буду рассматривать некоторые системные механизмы более подробно.
Моя статья будет состоять из двух частей. В первой я рассмотрю механизм перехвата системных сервисов (в частности, перехват вызовов API-функций...
Полный текст
|
|
по поводу PatchGuard, заниматься его обходом бесполезно, это... 15.11.06 23:18
Автор: asd Статус: Незарегистрированный пользователь
|
по поводу PatchGuard, заниматься его обходом бесполезно, это только начало... В следующих версиях MS просто будет пускать не родные драйверы в "тонкой" виртуалке, основанной на аппаратной поддержеке в последних процессорах.
|
| |
Честно сказать, сомневаюсь, что Microsoft в близжайшем... 20.11.06 18:13
Автор: qwe Статус: Незарегистрированный пользователь
|
Честно сказать, сомневаюсь, что Microsoft в близжайшем будущем реализует механизм запуска драйверов не прошедшие верификацию в виртуалке. По крайней мере, про Vista такой информации не было...
|
| | |
разумеется, о теущем релизе Висты речь не идет, это уже... 22.11.06 22:24
Автор: asd Статус: Незарегистрированный пользователь
|
разумеется, о теущем релизе Висты речь не идет, это уже прошлое..
Смысл в том, что надо искать другие способы реализации, МС в конце концов все поприкрывает и достаточно надежно. А краткосрочное решение интересно, конечно, но только в образовательных целях.
|
|
|