Интернет магазин китайских планшетных компьютеров


Компьютеры - Перехват (программирование) - Перехват в режиме ядра

19 февраля 2011


Оглавление:
1. Перехват (программирование)
2. Виды перехвата системных функций
3. Перехват в режиме ядра
4. Иные формы перехвата



Он основан на модификации структур данных ядра и функций. Главными мишенями воздействия являются таблицы

  • IDT Таблица диспетчеризации прерываний. Довольно важным для перехвата является прерывание, обрабатывающее обращение к таблице служб SSDT.
  • SSDT Таблица диспетчеризации системных сервисов. Обращаясь к ней, система по номеру запрещенного сервиса может получить адрес соответствующего сервиса ядра и вызвать его. А таблица SSPT содержит общий размер параметров, передаваемых системному сервису.
  • psActiveprocess Структура ядра, хранящая список процессов в системе.
  • IRP Таблица драйвера, которая хранит указатели на функции обработки IRP-пакетов.
  • EPROCESS Структура ядра, хранящая большое количество информации о процессе, включая, например, PID.

Такого рода руткиты называются DKOM-руткитами, то есть руткитами, основанными на непосредственной модификации объектов ядра. В руткитах для систем Windows Server 2003 и XP эта технология была модернизирована, так как в этих ОС появилась защита от записи некоторых областей памяти ядра. Windows Vista и 7 получили дополнительную защиту ядра PatchGuard, однако все эти технологии были преодолены руткитописателями. В то же время перехват системных функций в режиме ядра — основа проактивных систем защиты и гипервизоров.



Просмотров: 3977


<<< Отладчик
Kernel panic >>>


Компьютерное аппаратное обеспечение   
Вычислительные комплексы   
Компьютерные данные   
Компьютерные журналы   
Классы компьютеров   
Компьютеры   
Программное обеспечение   
Производители компьютеров   
Профессии в ИТ   
Системное администрирование   
Компьютерный сленг   
Списки компьютерных терминов   
Человеко-компьютерное взаимодействие