- •Министерство образования и науки российской федерации
- •Лекция 1
- •Предмет и задачи программно-аппаратной защиты информации.
- •Лекция 2
- •Информационная безопасность
- •В компьютерных системах
- •Компьютерная система как объект защиты информации
- •Понятие угрозы информационной безопасности в кс
- •Классификация и общий анализ угроз информационной безопасности в кс
- •Лекция 3 Случайные угрозы информационной безопасности
- •Лекция 4 понятие политики безопасности в компьютерных системах
- •1. Разработка политики информационной безопасности
- •2. Методология политики безопасности компьютерных систем
- •3. Основные положения политики информационной безопасности
- •4. Жизненный цикл политики безопасности
- •5. Принципы политики безопасности
- •Лекция 5 Идентификации субъекта. Понятие протокола идентификации. Идентифицирующая информация. Пароли. Программно-аппаратные средства идентификации и аутентификации пользователей
- •Идентификация и аутентификация. Основные понятия и классификация
- •Лекция 6 Простая аутентификация
- •1. Аутентификация на основе многоразовых паролей
- •2. Аутентификация на основе одноразовых паролей
- •3. Аутентификация, на основе сертификатов
- •Лекция 7
- •2. Строгая аутентификация
- •2.1. Протоколы аутентификации с симметричными алгоритмами шифрования
- •2.2. Протоколы, основанные на использовании однонаправленных ключевых хэш-функций
- •Лекция 8 Аутентификация с использованием асимметричных алгоритмов шифрования
- •Электронная цифровая подпись (эцп). Аутентификация, основанная на использовании цифровой подписи
- •Протоколы аутентификации с нулевой передачей значений
- •Упрощенная схема аутентификации с нулевой передачей знаний
- •Лекция 9 системы идентификации и аутентификации
- •Классификация систем идентификации и аутентификации
- •Комбинированные системы
- •Лекция 10 Бесконтактные смарт-карты и usb-ключи
- •Гибридные смарт-карты
- •Биоэлектронные системы
- •1. Ключи. Организация хранения ключей
- •Утверждение о подмене эталона
- •Защита баз данных аутентификации операционных систем класса Windows nt.
- •Алгоритм вычисления хэша lanman
- •Хэш ntlm
- •2. Распределение ключей
- •Лекция 12 Использование комбинированной криптосистемы
- •Метод распределения ключей Диффи-Хеллмана
- •Протокол вычисления ключа парной связи ескер
- •Лекция 13 Основные подходы к защите данных от нсд. Защита пэвм от несанкционированного доступа
- •1) Физическая защита пэвм и носителей информации;
- •1. Полностью контролируемые компьютерные системы.
- •Программная реализация функций кс.
- •Аппаратная реализация функций кс.
- •2. Частично контролируемые компьютерные системы.
- •Основные элементы и средства защиты от несанкционированного доступа. "Снег-2.0"
- •Лекция 15 Устройства криптографической защиты данных серии криптон.
- •Устройства для работы со смарт-картами.
- •Лекция 16 Программные эмуляторы функций шифрования устройств криптон
- •Системы защиты информации от несанкционированного доступа Система криптографической защиты информации от нсд криптон –вето
- •Лекция 17 Комплекс криптон -замок для ограничения доступа компьютеру.
- •Система защиты конфиденциальной информации Secret Disk.
- •Система защиты данных Crypton Sigma.
- •Лекция 18 Модель компьютерной системы. Методы и средства ограничения доступа к компонентам эвм. Понятие изолированной программной среды.
- •1. Понятие доступа и монитора безопасности
- •2. Обеспечение гарантий выполнения политики безопасности
- •3. Методология проектирования гарантированно защищенных кс
- •Лекция 19 Метод генерации изолированной программной среды
- •Лекция 20
- •Модели управления доступом
- •Системы разграничения доступа
- •Диспетчер доступа
- •Списки управления доступом к объекту
- •Списки полномочий субъектов
- •Атрибутные схемы
- •Лекция 21
- •1. Подходы к защите информационных систем Устойчивость к прямому копированию
- •Устойчивость к взлому
- •Аппаратные ключи
- •2. Структура системы защиты от несанкционированного копирования
- •Блок установки характеристик среды
- •3. Защита дискет от копирования
- •Лекция 22 Электронные ключи hasp
- •Лекция 23
- •1. Разрешения для файлов и папок
- •2. Шифрующая файловая система (efs)
- •2.1. Технология шифрования
- •2.2. Восстановление данных
- •Лекция 24
- •1. Драйвер еfs
- •2. Библиотека времени выполнения efs (fsrtl)
- •4. Win32 api
- •11.4. Взаимодействие файловой системы защиты ntfs и защиты ресурса общего доступа (Sharing)
- •11.5. Типовые задачи администрирования
- •Оснастка Локальные пользователи и группы (Local Users and Groups)
- •11.6. Администрирование дисков в Windows 2000
- •Лекция 25
- •2. Обзор современных средств защиты
- •Лекция 26 Защита файлов от изменения. Защита программ от изучения. Защита от дизассемблирования. Защита от отладки. Защита от трассировки по прерываниям. Защита от исследований.
- •Обычные проблемы хакера
- •Защита от исследований на уровне текстов
- •Защита от исследований в режиме отладки.
- •Защита программ от трассировки
- •Лекция 27
- •1. Базовые методы нейтрализации систем защиты от несанкционированного использования
- •2. Понятие и средства обратного проектирования
- •Лекция 28 Локализация кода модуля защиты посредством отлова WinApi функций в режиме отладки
- •Базовые методы противодействия отладчикам
- •Лекция 29 Базовые методы противодействия дизассемблированию по
- •Защита от отладки, основанная на особенностях конвейеризации процессора
- •Лекция 30 Использование недокументированных инструкций и недокументированных возможностей процессора
- •Шифрование кода программы как универсальный метод противодействия отладке и дизассемблированию
- •Основные модели работы рпв
- •Компьютерные вирусы.
- •Классификация вирусов
- •Лекция 32 Механизмы заражения компьютерными вирусами
- •Признаки появления вирусов
- •Методы и средства защиты от компьютерных вирусов
- •Лекция 33
- •Ibm antivirus/dos
- •Viruscan/clean-up
- •Panda Antivirus
- •Профилактика заражения вирусами компьютерных систем
- •Антивирус. Алгоритм работы
- •Проверочные механизмы
- •Постоянная проверка и проверка по требованию
- •Лекция 34 Структура антивирусной защиты предприятия
- •Функциональные требования
- •Общие требования
- •Пример вируса
- •Список литературы Основная литература
- •Дополнительная литература
- •Периодические издания
- •Методические указания к лабораторным занятиям
- •Методические указания к практическим занятиям
- •Методические указания к курсовому проектированию и другим видам самостоятельной работы
Базовые методы противодействия отладчикам
Противодействие отладке затрудняет злоумышленнику трассировку ПО, а значит локализацию и исследование ПО и модуля защиты.
Методы борьбы с отладчиками можно подразделить на следующие группы [Error: Reference source not found].
Использование триков (ловушек) для отладчиков, с помощью которых возможно выявить наличие последнего в оперативной памяти, и прекратить работу программы, либо затруднить процесс отладки.
Выявление наличия отладчика в оперативной памяти и последующая его нейтрализация, используя различные «дыры», допущенные при реализации отладчиков, либо внедренные разработчиком отладчика сознательно.
Использование недокументированных команд и недокументированных возможностей процессора.
Защита от отладчиков реального режима
Работа данных отладчиков построена на использовании двух аппаратных прерываний:
int 1, с помощью которого выполняется пошаговое исполнение программы, и
int 3, с помощью которого в код отлаживаемой программы внедряются точки останова (breakpoints).
При трассировке программы отладчиком задействуется регистр флагов, а именно флаг трассировки TF (восьмой бит регистра флагов при нумерации с нуля), однако, непосредственная его проверка внутри программы для обнаружения отладчика может оказаться безрезультатной, так как большинство отладчиков эмулируют «чистый» регистр отладки.
Основываясь на данных фактах, приведем примеры нескольких триков для отладчиков реального режима:
Трик 1
Данная ловушка помогает выяснить реальное содержимое трассировочного флага TF в условиях эмуляции его отладчиком. Ловушка основана на том, что вследствие аппаратной особенности реализации процессора INTEL после исполнения инструкции pop ss прерывание int 1 не может быть вызвано, и отладчик «не замечает» и пропускает следующую за данной командой инструкцию. Таким образом, следующая за pop ss инструкция исполняется на реальном процессоре, а не под отладкой. Выяснить действительное содержание трассировочного флага в данном случае можно следующим образом:
|
…… |
|
|
Push ss; |
|
|
Pop ss; |
Защита |
|
Pushf; |
Кладем в стек значение флагового регистра. Данную команду отладчик как бы «не замечает», она исполняется на реальном процессоре. |
|
Pop ax; |
Восстанавливаем ax из стека. |
|
Test ax,100h; |
Проверка флага TF на трассировку. |
|
Jnz DebuggerDetected; |
Переход на процедуру завершения работы |
|
…… |
|
Трик 2
Для противодействия отладчикам реального режима можно перехватывать в защищаемой программе прерывание int 1 и использовать его для собственных нужд, либо для ссылки на механизм защиты. Тогда при попытке отладки программы она будет либо некорректно работать, либо будет передавать управление модулю защиты, который, например, будет выводить на экран сообщение о невозможности продолжения работы.
Механизм защиты может выглядеть в данном случае следующим образом.
|
…… |
|
|
Xor dx,dx; |
Обнуляем регистр dx |
|
Mov ds,dx; |
Обнуляем регистр ds |
|
Mov ax, 2501h; |
|
|
Int 21h; |
Функция 25, подфункция 1. Вектор обработчика первого прерывания устанавливается на адрес 0000:0000 |
|
…… |
|
Точки останова реализуются отладчиками реального режима следующим образом.
В код программы вставляется вместо точки останова код 0xCC, а значение памяти, которое находилось по его адресу, запоминается отладчиком.
Когда программа встречает команду с кодом 0xCC, она вызывает исключительную ситуацию 0x3h (int 3). При этом в стеке запоминается регистр флагов, указатель текущего кодового сегмента (CS), указатель команд IP, запрещаются прерывания (очищается флаг FI).
После выполнения действий п.2 программа поступает в монопольное распоряжение отладчика.
Обычно, при входе в отладчик последний сохраняет текущие значения всех регистров программы в стеке либо присваивает своим локальным переменным.
Таким образом, установка точки останова требует непосредственной модификации кода программы (0xCC), вынуждая отладчик изменить соответствующий байт программы. Система защиты может попытаться обнаружить факт изменения кода программы и прекратить ее исполнение.
Используя данный факт, для защиты от установки точек останова можно использовать следующие подходы.
1. Зашифровать код программы на некотором ключе, зависящем от контрольной суммы исполняемого кода. При изменении кода программы расшифровка будет неверна и исполнение программы нарушится.
2. Установить из программы вершину стека в нуль. Так как стек ОС растет сверху вниз (к нижним адресам памяти), то когда процессор встретит точку прерывания, установленную отладчиком, то попытается в первую очередь сохранить регистр флагов в стеке, однако сделать этого не сможет, так как стек исчерпан. В данном случае ОС завершит некорректно работающее приложение с ошибкой.
Трик 3 Аппаратное запрещение прерываний
Данная ловушка основана на том, что запрещение прерываний от клавиатуры приводит к зависанию отладчиков реального режима. Если войти в режим отладки, то невозможно будет набрать ни одну команду отладчика, в том числе и выйти из него. Запретить прерывания от клавиатуры в реальном режиме MS-DOS можно, например, следующими способами.
Способ 1
……
In al, 21h
Or al, 00000010b
Out 21h,al
Способ 2
In al, 61
Or al, 10000000b
Out 61h, al
Способ 3
Mov al, 0Adh
Out 64h,al
Трик 4. Перепрограммирование видеоадаптера
Многие отладчики реального режима перестают корректно работать, если запретить видеовывод через прерывание int 10h.
Защита от отладчиков защищенного режима
Особенностью отладчиков защищенного режима является возможность полной их изоляции от выполняемой программы. В связи с этим, задача обнаружения отладчика в памяти стандартными средствами значительно усложняется. Особенностью защищенного режима является введение специализированных регистров DR0 –DR7, предназначенных для отладочных целей (таких, как установка точек останова, в том числе на обращение к определенным адресам памяти и др.).
Один из способов противодействия отладчикам защищенного режима заключается в манипулировании регистрами отладки DR0-DR7. При наличии отладчика в памяти сама программа либо не может получить доступа к регистрам отладки, либо нарушит работу самого отладчика, например,
|
…… |
|
|
Lea ebx, continue; |
Заносим в ebx адрес перехода |
|
Mov dr0,ebx; |
Записываем адрес перехода в DR0 |
|
Xor eax,ebx; |
Исключаем вероятность совпадения eax и ebx |
|
Mov eax, dr0; |
Читаем адрес перехода из DR0 |
|
Jmp ax; |
Переходим по данному адресу. Если доступ к регистру DR0 запрещен, то мы перейдем по неверному адресу и ход выполнения программы будет нарушен |
|
…… |
|
Используя данную особенность защищенного режима можно прибегать к разнообразным трикам.
Трик 5. Шифрование кода программы с расшифровкой через отладочный регистр
|
…… |
|
|
Mov eax,11111111h; |
Ключ, которым зашифрован код программы |
|
Mov dr0,eax; |
Сохраним ключ в отладочном регистре |
|
Xor eax,0СВСВСВСВh; |
Кладем мусор в eax |
|
Mov eax,dr0; |
Возвращаем из регистра отладки ключ в eax |
|
Xor dword ptr cs:[hiddencode], eax; |
Расшифровываем код |
|
…… |
|
|
hiddencode: |
[зашифрованный код] |
Для противодействия отладчикам защищенного режима можно через определенные, достаточно малые интервалы времени производить чистку регистров DR0-DR7.
Трик 6.
Данный трик основан на том, что отладчики защищенного режима теряют одно трассировочное прерывание при установке регистров DRx. Использование данного трика аналогично трику 1 (потеря трассировочного прерывания по командеpop ss).
Достаточно часто разработчики отладчиков допускают ошибки или специально оставляют дырки в своих продуктах. Нередко, это вызовы API функций, которые могут быть доступны отлаживаемой программе. Одной из таких дырок «страдает» наиболее распространенный отладчик защищенного режима SoftIce.
Пример 2.Определение наличия SoftIce в оперативной памяти из отлаживаемой программы
|
…… |
|
|
Mov bx,202h |
|
|
Mov ax,1684h |
|
|
Xor di,di |
|
|
Int 21h; |
Если функция не определена, то di останется неизменным |
|
Or di,di |
|
|
Jnz SoftIceDectected |
У SoftIce данная функция занята |
|
…… |
|
Cледует отметить, что рассмотренные приемы защиты от отладчиков не являются универсальными. Они являются всего лишь результатом особенностей архитектуры процессора и инструментов отладки. Данные особенности ограничены, а их принципы исчислимы. Трики можно обойти, если злоумышленник знает о них. Если же злоумышленник не знаком с некоторым триком, то какие-то критические моменты, вызванные срабатыванием трика, могут его насторожить, и при повторной прогонке этого участка кода взломщик обойдет эту ловушку.
Преимущества защиты от отладки с помощью перечисленных методов в том, что трики между собой не связаны, их можно очень легко применять. Недостатками данных методов является то, что они предназначены для защиты только от начинающих взломщиков, профессионалы их обойдут. Трики, как правило, включаются в программу по правилу «чем больше, тем лучше» и от их исключения логика работы программы не меняется. В некоторых случаях совокупный размер кодов триков сравним с размером программы.