• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

«Среда Безопасности – просто о сложном» от 09.11.2022: Windows и дополнительное ПО.

Ноя 09
  • 899
  • 5
«Среда Безопасности – просто о сложном»: Windows и дополнительное ПО
Всем привет! Вот и наш первый выпуск по средам в рубрике «Среда Безопасности». Здесь мы будем публиковать все то, что рядовому пользователю кажется сложным и неизвестным, более простым языком. А начнем мы с азов безопасности.

Что следует знать прежде всего
Каждому пользователю стоит запомнить, что только от него и его знаний зависит уровень его безопасности. Причем первичные правила элементарны, а их соблюдение поможет каждому уберечься от ситуаций, когда взяли и сперли аккаунт социальной сети. Для затравки приведу цитату со сборника уже крылатых олдовых цитат:

  • «Коннект: Слушай, мож мы родственники?
  • ALEXA: думаешь???
  • Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
  • ALEXA: *енко
  • Коннект: О, у тебя 8 новых писем )
  • ALEXA: в смысле???»
Многие считают, что хакинг – это умение взламывать ПО. На самом деле хакинг – это...
Продолжить...
Общая информационная безопасность

"Вторничный разбор" 08.11.2022. Функционал безопасности Windows 11: Когда подумали про безопасность, но забыли про пользователей

Ноя 08
  • 1 631
  • 9
M
Функционал безопасности Windows 11: Когда подумали про безопасность, но забыли про пользователей
Всем привет, и сегодня у нас начинается вторничная рубрика «Вторничный разбор». На столе препарирования у нас в первом выпуске Windows 11, которая наделала шума еще до релиза. Вообще я скептически отношусь к обновлениям ОС. Как к частичным (модульным), так и к полноценным. Обычно в играх сначала выходит сырой проект, потом его допинывают патчами. У Майкрософт скорее наоборот, сначала все работает нормально, а потом обновление заставляет тебя учиться плясать с бубном. Но в 11 версии, ВОЗМОЖНО, все не так плохо, давайте глянем, что нам товарищ Билл, который Гейтс, принес нового из функций безопасности.

Модуль безопасности TPM 2.0
Вы когда-нибудь хотели выстрелить себе в ногу? Ну, знаете, так прям по серьезному, из крупного калибра? Вот в Майкрософт захотели. И даже выстрелили. Но сначала обозначим, что это за модуль, и для чего нужна эта...
Продолжить...
Общая информационная безопасность

Хитрый майнeр taskhost RealtekHD

Ноя 06
  • 15 543
  • 33
Spectrum735
Недавно ко мне обратился человек за помощью с просьбой удалить у него майнер. Казалось бы, какие могут быть майнеры, но всё-таки люди где-то их находят.
Вооружившись утилитой process hacker видим такую картину:

process_hacker.jpgprocess_hacker2.jpg

2 непонятных процесса, запущенные от svchost, с закосом под планировщик задач. А также отдельно audiodg, который к Runtime broker не относится. Переходим в расположение файла через свойство процесса и... окно проводника тут же закрывается. Что делать в таком случае? Выделяем все подозрительные процессы, вызываем контекстное меню -> suspend, таким образом временно приостанавливая их работу. Теперь можно снова открыть папку с вирусом, но она оказывается пустой:

realtekHD_empty.jpg

Как же так? Отображение скрытый файлов включено. Дело в том, что вредонос присвоил себе системный...
Продолжить...
Исследование защиты

ПЕНТЕСТИНГ Эксплуатация популярных уязвимостей на примере bWAPP.

Ноя 06
  • 1 858
  • 5
Бюджетный Бюджет
1667713697970.png

Постарался влепить как можно меньше воды, но и тему в два предложения тоже делать не захотел. Приятного ознакомления!

Здравия!
Для начала хотел бы поподробнее о самом bWAPP
bWAPP - Сайт (Или в нашем случае - виртуальная машина) с кучей уязвимостей на выбор.
(Определение с сайта проекта -
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
)
bWAPP, или багованное веб приложение, это опенсурс умышленно небезопасное веб приложение.
Оно помогает энтузиастам, разработчикам и студентам исследовать и предупреждать уязвимости.
bWAPP готовит человека к успешному проведению тестирования на проникновение и этических хакерских проектов.

Имеется множество не менее достойных аналогов, к примеру DVWA, или Metasploitable. Однако в данной статье мы затронем лишь bWAPP с его полной (Бесплатно! Отдыхай!!!) версией bee-box.

[ATTACH type="full"...
Продолжить...
Исследование защиты

Эксклюзив Разработка для KasperskyOS

Окт 22
  • 1 564
  • 0
X-Shar
Всем привет!

Не знаю на сколько востребована эта тема здесь...

Но я уже писал что ЛК активно занимается разработкой своей системы, для различных задач.

На самом деле разработка системы достаточно сложный процесс, ведь не достаточно просто разработать ядро (Сколько сейчас фан. ОС, да и вообще много кастомных ядер для различных целей), самое сложное по моему мнению, это "заточить" систему под какие-то проекты, будь это например маршрутизатор, тонкий клиент, или телефон.

При адаптации системы, возникает потребность как в написании драйверов для устройств, так и написании чего-то высокоуровневого, например пользовательского интерфейса, браузера и т.д.

Всё-это хорошо, но что-бы это всё стало возможно сделать качественно и в адекватные сроки, нужны специалисты, больше конечно системщики, но и также и те-кто хорошо шарит и в более высокоорентированных вещах, например разработка GUI и т.д.

Да разработка таких вещей, это достаточно специфическая вещь, это вам например не бизнесс...
Продолжить...
Курсы и уроки

Описание Изучаем буткиты

Окт 09
  • 1 504
  • 1
X-Shar
Неплохой мануалл по буткитам от Positive Technologies (Март 2022 года):
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Есть видео вариант статьи, очень познавательно:

Компьютер заBIOSает? Изучаем буткиты

Самый популярный совет в случае, если что-то идет не так или работает медленно, ― перезагрузить...

Не EFIмерные вредоносы: изучаем буткиты

Вендоры, как и вирусописатели, не стоят на месте — в свою очередь внедряют новые механизмы...
Продолжить...
Курсы и уроки

Эксклюзив Бесплатный курс - Теоретические основы информационной безопасности для профессионалов от Kaspersky

Окт 08
  • 1 306
  • 0
X-Shar
Что это за курс

Обучающий курс «Теоретические основы ИБ» подготовлен и проводился в апреле 2022 года аналитиком Kaspersky ICS CERT Екатериной Рудиной. Курс состоит из 5 живых лекций общей продолжительностью около 10 астрономических часов. Мы не стали вырезать из видеоматериалов ответы на вопросы из зала и из чата, спонтанные обсуждения и отходы от темы - на наш взгляд, они представляют не меньший интерес, чем заранее подготовленные материалы.

Некоторые из материалов первоначально использовались при обучении студентов ВУЗов в рамках курса "Теоретические основы компьютерной безопасности". Эти материалы были существенно переработаны и дополнены на основе опыта работы над продуктами и сервисами ЛК, а также по результатам сотрудничества с международными организациями по стандартизации и консорциумами (IEEE, ISO, ITU-T, Industrial IoT Consortium).

Для удобства изучения каждая двухчасовая лекция нарезана на более короткие видеоуроки. Почти каждый видеурок сопровождается кратким...
Продолжить...
Курсы и уроки

На заметку KasperskyOS и кибериммунитет

Окт 08
  • 1 285
  • 0
X-Shar
Всем привет!

В этой теме попытался поднять тему безопасности и будущего антивирусов:Информация - Крах антивирусов, или что нас ждет в будущем

В этой-же теме хочу обсудить одно из направлений ЛК, которое отвечает за разработку KasperskyOS.

На самом деле система разрабатывается уже около 10 лет, но только сейчас появились продукты на основе этой ОС, и в будущем думаю неплохие перспективы выйти на рынок таких систем...

Вот тут можно прочитать про эту ОС:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Вот тут про процесс разработки:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Немного расскажу, а зачем вообще нужна ещё одна ОС, если существует куча как специализированных ОС, так и общего применения...
Продолжить...
Общая информационная безопасность

Перевод книги Windows Kernel Programming

Дек 22
  • 4 698
  • 0
Всем привет, закончил "Обзорный перевод книги" Windows Kernel Programming.

Само качество перевода конечно не самое хорошее, это не уровень редакции, да и перевод делал больше для себя, а последние две главы практически не вычитывал, т.к. хотел по быстрее закончить перевод, по причине, что понял, что даже такой превод требует больших как энергозатрат, так и времени.

Более-того понял, что смысла вот так читать книги "От корки, до корки" нет, а нужно читать темы, которые нужны конкретно для решения задач, да конечно не плохо прочитать такую книгу, даже кто не собирается писать драйвера, т.к. в книге показано много трюков С++, которые можно использовать в своих прикладных программах.

Также к сожалению данная книга направлена на совсем новичков в теме, и даёт только набор каких-то базовых знаний и в ней не рассмотрено многие моменты, в частности, что интересно было-бы мне:

• Аппаратные драйверы устройств.
• Сетевые драйверы и фильтры.

Тут я понял, что часто проще даже...
Продолжить...
Разработка драйверов для Windows

Windows Kernel Programming:Глава 11.Обсуждение различных вопросов по разработке драйверов

Дек 22
  • 749
  • 0
В этой последней главе книги мы рассмотрим различные темы, которые не соответствовали предыдущем главам.

В этой главе:

• Подпись драйвера.
• Средство проверки и отладки драйверов.
• Использование нативных API.
• Драйверы фильтров.
• Монитор устройства.
• Подключение драйвера.
• Библиотеки ядра.

Во вложении pdf для чтения.
Продолжить...
Разработка драйверов для Windows

Windows Kernel Programming:Глава 10: Введение в файловую систему и мини-фильтры.

Дек 21
  • 885
  • 0
Файловые системы предоставвляют операции ввода-вывода для доступа к файлам. Windows поддерживает несколько файловых систем, прежде всего это NTFS.

Фильтрация файловой системы - это механизм, с помощью которого драйверы могут перехватывать вызовы, адресованные файловой системе. Это полезно для многих типов программного обеспечения, таких как антивирусы, резервное копирование, шифрование и многое другое.

Windows долгое время поддерживала модель фильтрации, известную как фильтры файловой системы, которая сейчас называется устаревшими фильтрами файловой системы.

Была разработана новая модель, называемая мини-фильтрами файловой системы для замены устаревшего механизма фильтрации. Мини-фильтры легче писать во многих отношениях, и они предпочтительный способ разработки драйверов фильтрации файловой системы.

В этой главе:

Введение.
Загрузка и выгрузка драйвера.
Инициализация драйвера.
Установка драйвера.
Обработка операций...
Продолжить...
Разработка драйверов для Windows

Windows Kernel Programming:Глава 9. Уведомления объектов и реестра

Дек 10
  • 2 429
  • 3
Ядро предоставляет больше способов перехвата определенных операций/событий. Сначала мы рассмотрим объект уведомления, где может быть перехвачено и получение дескрипторов некоторых типов объектов. Далее мы рассмотрим перехват операций реестра.

В этой главе:

- Уведомления об объектах.

- Драйвер защиты процессов .

- Уведомления реестра.

- Внедрение в уведомление реестра.

- Упражнения.

Уведомления об объектах

Ядро предоставляет механизм для уведомления заинтересованным драйверам при попытке открыть или скопировать дескриптор определенных типов объектов.

Официально поддерживаемые типы объектов: процесс, поток.

Для регистрации уведомления существует функция апи ObRegisterCallbacks, прототип которого выглядит так:
C: 
NTSTATUS ObRegisterCallbacks (
        _In_ POB_CALLBACK_REGISTRATION CallbackRegistration,
        _Outptr_ PVOID *RegistrationHandle);

Перед регистрацией должна быть инициализирована структура OB_CALLBACK_REGISTRATION, которая...
Продолжить...
Разработка драйверов для Windows

Windows Kernel Programming:Глава 8:Процессы и потоки, уведомления

Дек 01
  • 2 436
  • 2
Один из мощных механизмов, доступных для драйверов ядра - это возможность получать уведомления, когда происходят важные события. В этой главе мы рассмотрим некоторые из этих событий, а именно создание процесса.

А также создание и разрушение потоков и загрузка образов.

В этой главе:
• Уведомления о процессах.
• Регистрация уведомлений о процессах.
• Предоставление данных в пользовательском режиме.
• Уведомления о потоках.
• Уведомления о загрузке образов.
• Упражнения.

Уведомления о процессах

Каждый раз, когда процесс создается или уничтожается, заинтересованные драйверы могут быть уведомлены ядром об этом факте. Это позволяет драйверам отслеживать процессы, возможно, связывая некоторые данные с этими процессами.

Как минимум, это позволяет драйверам отслеживать создание/уничтожение процесса в
в реальном времени. Под «в реальном времени» я подразумеваю, что уведомления отправляются «в оперативном режиме».

Как часть создания процесса драйвер не может пропустить какие-либо...
Продолжить...
Разработка драйверов для Windows

Windows Kernel Programming:Глава 7:Пакет запроса ввода/вывода

Ноя 27
  • 2 524
  • 3
После того, как типичный драйвер завершает свою инициализацию в DriverEntry, его основная задача — обрабатывать запросы. Эти запросы упакованы в виде
полудокументированной структуры пакета запроса ввода-вывода (IRP).

В этой главе мы более подробно рассмотрим пакеты IRP и то, как драйвер обрабатывает стандартные типы пакетов IRP.

В этой главе:

• Введение в IRP.
• Узлы устройств.
• IRP и расположение стека ввода-вывода.
• Процедуры отправки.
• Доступ к пользовательским буферам.
• Собираем все вместе: Нулевой драйвер.

Введение в IRP

IRP - это структура, которая выделяется из невыгружаемого пула, как правило, одним из «менеджеров» (диспетчер ввода-вывода, диспетчер Plug & Play, диспетчер питания), но также может быть выделена драйвером, возможно, для передачи запроса другому
драйверу.

Как-бы IRP не выделялся, сервис который выделил эту структуру отвечает за его освобождение.

Когда драйвер получает IRP, он получает указатель на стек ввода-вывода в самой структуре IRP...
Продолжить...
Разработка драйверов для Windows

Windows Kernel Programming:Глава 6.Механизмы ядра

Сен 29
  • 2 877
  • 6
В этой главе обсуждаются различные механизмы, предоставляемые ядром Windows. Некоторые из них полезны для написания драйверов. Другие - это механизмы, которые разработчик драйвера должен понимать, так – как это помогает делать отладку и дает общие понимание устройства системы.

В этой главе:

• Уровень запроса прерывания.
• Отложенные вызовы процедур.
• Асинхронные вызовы процедур.
• Структурированная обработка исключений.
• Системный сбой и отладка.
• Синхронизация потоков.
• Высокая IRQL-синхронизация.
• Рабочие предметы.

Уровень запроса прерывания

В главе 1 мы обсуждали потоки и приоритеты потоков. Эти приоритеты приняты во внимание когда требуется выполнить больше потоков, чем имеется доступных процессоров.

В то же время, аппаратное обеспечение устройства должны уведомлять систему о том, что что-то требует внимания. Простой пример Операция ввода/вывода, выполняемая дисководом.

После завершения операции дисковод уведомляет о завершении, запрашивая прерывание...
Продолжить...
Разработка драйверов для Windows

Windows Kernel Programming:Глава 5.Изучение отладчиков

Май 08
  • 5 062
  • 19
Как и в любом программном обеспечении, драйверы ядра обычно имеют ошибки.
Отладка драйверов, в отличие от пользовательского режима, более сложный процесс.
Отладка драйвера по сути отладка всей системы, не просто конкретного процесса или процессов. Это требует другого мышления.
В этой главе будет обсуждаться отладка ядра с использованием отладчика WinDbg.

В этой главе:

• Инструменты отладки для Windows.
• Введение в WinDbg.
• Отладка ядра.
• Полная отладка ядра.
• Мануал по отладке драйверов ядра.

1) Инструменты отладки для Windows

Пакет средств отладки для Windows содержит набор отладчиков, инструментов и документации, сосредоточим внимание на отладчиках в пакете.
Этот пакет может быть установлен как часть Windows SDK или WDK, но никакой реальной «установки» нет.
Установка просто копирует файлы, но не трогает реестр, то есть пакет зависит только от собственных модулей и библиотеки DLL Windows.
Это позволяет легко копировать весь каталог в любой другой каталог...
Продолжить...
Разработка драйверов для Windows

Windows Kernel Programming:Глава 4. Драйвер и взаимодействие с ним из пользовательского режима

Мар 25
  • 4 389
  • 9
В этой главе мы будем использовать многие концепции, которые мы изучили в предыдущих главах, и создадим простой драйвер.

Также в этой главе создадим клиент, для взаимодействия с нашим драйвером.
Мы установим драйвер и выполним в режиме ядра некоторую операцию, недоступную пользовательский режиме.

В этой главе:

Введение.
Инициализация драйвера.
Код клиента.
Создание и закрытие процедур отправки.
Программа отправки DeviceIoControl
Установка и тестирование.

1)Введение

Проблема, которую мы решим с помощью простого драйвера ядра, заключается в негибкости установки приоритетов потоков используя Windows API.
В пользовательском режиме приоритет потока определяется комбинацией его класса приоритета процесса со смещением для каждого потока, которое имеет ограниченное количество уровней.

Изменение класса приоритета процесса может быть достигнуто с помощью функции SetPriorityClass, которая принимает дескриптор процесса и один из шести поддерживаемых классов приоритетов...
Продолжить...
Разработка драйверов для Windows

Windows Kernel Programming:Глава 3.Основы программирования ядра windows

Мар 13
  • 2 523
  • 1
Предыдущие версии глав:
ru-sfera.org

Windows Kernel Programming:Глава 1.Основные моменты и архитектура ядра

В этом репозитории будут размещаться мой "обзорный пересказ/перевод" книги Windows Kernel Programming (leanpub.com/windowskernelprogramming), от Павла Иосивича. Оригинал книги можно купить по ссылке выше. Далее что здесь будет выкладываться и зачем: Хочу отметит, что содержимое может...
ru-sfera.org ru-sfera.org
ru-sfera.org

Windows Kernel Programming:Глава 2.Начало работы с инструментами разработчика ядра

Это вторая часть, с первой частью можно ознакомиться здесь:Windows Kernel Programming:Глава 1.Основные моменты и архитектура ядра В этой главе рассматриваются основы, которые необходимы для разработки драйверов. Вы установите необходимые инструменты и напишете первый драйвер, который можно...
ru-sfera.org ru-sfera.org
В этой главе мы углубимся в API, структуры и определения ядра.
Мы также рассмотрим некоторые механизмы, которые вызывают код в драйвере.
Наконец, мы объединим все эти знания, чтобы создать наш первый функциональный драйвер.

В этой главе:

Общие рекомендации по программированию ядра.
Отладка и сборки релизов.
API ядра.
Функции и коды ошибок.
Строки.
Динамическое распределение памяти.
Списки.
Объект драйвера.
Объекты устройства.

Итак начнем:

1)Общие рекомендации по программированию ядра

Для разработки драйверов ядра требуется Windows Driver Kit (WDK), где находятся соответствующие заголовки и необходимые библиотеки.

API ядра состоит из функций...
Продолжить...
Разработка драйверов для Windows

Windows Kernel Programming:Глава 2.Начало работы с инструментами разработчика ядра

Фев 27
  • 2 860
  • 6
Это вторая часть, с первой частью можно ознакомиться здесь:Windows Kernel Programming:Глава 1.Основные моменты и архитектура ядра

В этой главе рассматриваются основы, которые необходимы для разработки драйверов.
Вы установите необходимые инструменты и напишете первый драйвер, который можно загружать и выгружать.

В этой главе:

• Установка инструментов.
• Создание проекта драйвера.
• Описание процедур DriverEntry и Unload.
• Разработка драйвера.
• Простая трассировка.

1)Установка инструментов

В старые времена (до 2012 года) процесс разработки и сборки драйверов включал использование особого инструмента для сборки из комплекта драйверов устройств (DDK).
Нужно-было качать специальный пакет компиляторов, далее в командной строке собирать драйвер, не было никакой интеграции в Visual Studio.
Были некоторые обходные пути, но ни один из них не был ни...
Продолжить...
Разработка драйверов для Windows

Найти пользователя

Поиск по форуму

Расширенный поиск...

Категории портала

Всякое
39

Исследование защиты
95

Как делают читы к играм
16

Курсы и уроки
9

Мероприятия
7

Новости
60

Общая информационная безопасность
69

Разработка драйверов для Windows
19

Разработка малвари. Уроки
56

Последние сообщения

Верх Низ