Перехват API функций в Windows NT



Предисловие:

В настоящее время широчайшую распостраненность получили операционные системы семейства Windows NT/20000/XP. Они широко используются не только как домашние системы, но и в качестве серверов. Эта линейка ОС отличается неплохой защищенностью от вредоносных программ, а так-же для нее существует большое количество дополнительных систем безопасности (различные антивирусы, файерволлы). Установив антивирус и файерволл многие пользователи думают, что они стопроцентно защищены, и даже большинство программистов считают, что достаточно почаще проверять свой компьютер на подозрительные вещи (автозагрузка, процессы и.т.д.) и никакая вредоносная программа к ним не сможет проникнуть. В большинстве случаев это действительно так, 99% троянов до сих пор загружаются через HKLM/Run, и для скрытности имеют названия вроде WinLoader32.exe. Глядя на это мне просто смешно становиться. Это дело нужно срочно исправлять, поэтому я написал этот цикл из трех статей, в которых описываются методы перехвата API функций в системах линейки Windows NT на всех возможных уровнях.

Эта технология дает нам огромные возможности. Можно например легко скрыть присутствие трояна в системе так, что даже тшательная проверка компьютера не даст ничего. Можно легко получить пароли на вход в систему. Можно уничтожить антивирусы и обойти фаерволлы. Все это конкретные применения этой технологии (они подробно описаны в статьях), но этому легко придумать и множество других применений (создание систем безопасности, различные эмуляторы). Можно на этой основе снимать триальные ограничения серийно, с многих программ использующих стандартные способы защиты (таких 99%). И при всех этих возможностях сам метод очень прост. Для того, чтобы его понять нужна всего-лишь капля мозгов (не больше).

Основной язык для приводимых фрагментов кода - Delphi, но материал актуален и для любого другого языка (С, С++, Ассемблер и.т.д.). Единственное условие - язык должен быть 100% компилируемым, а также поддерживать работу с указателями и ассемблерные вставки. Так что любителям VB скорее всего придется обломиться. Для полного понимания материала статей нужно также хотя-бы немножко знать ассемблер и С++...

Содержание:


ВСЯ ПРИВЕДЕННАЯ В СТАТЬЯХ ИНФОРМАЦИЯ МОЖЕТ БЫТЬ ИСПОЛЬЗОВАНА ТОЛЬКО В УЧЕБНО-ПОЗНАВАТЕЛЬНЫХ ЦЕЛЯХ! Написание вредоносных программ преследуется по статье 273 УК РФ! Так что если вы собираетесь нарушать закон, то автор статей не несет за это никакой ответственности!

P.S. Автор статей троянов НЕ ПИШЕТ! Просьба за подобными услугами ко мне НЕ ОБРАЩАТЬСЯ!



Список использованной литературы:

ФайлОписание
www.wasm.ru Отличный сайт посвященный низкоуровневому программированию. Содержит немало полезных статей и инструментов.
www.club.shelek.com Клуб программистов ВесельчакУ. Есть немало книг по драйверам, немного статей. Интерес представляет форум.
www.phrack.org Легендарный журнал посвященный программированию. К сожалению сейчас перестал выпускаться, но предыдущие выпуски рекомендую прочитать всем.
www.google.com Без комментариев :)


© Copyright by Ms-Rem 2005