2015_лекции / Лекция №5_2015
.pdfМьютексы
API для работы с мьютексами
CreateMutex
OpenMutex получение указателя на мьютекс
ReleaseMutex освободить мьютекс
WaitForSingleObject ожидание доступа к мьютексу
Мьютексы
Обработка программных исключений
Структурированная обработка исключений (SEH)
Механизм ОС для обработки исключений, генерируемых приложениями
в коде __try/__except/__finally
Исключения обрабатываются той же нитью, что и вызвала его
Может быть зарегистрировано большое число обработчиков
Векторная обработка исключений (VEH)
Расширяет SEH
Сначала вызываются VEH обработчики
Функция AddVectoredExceptionHandler() в MSDN
Обощенный механизм обработки исключений
Развертка обработчиков структурированных исключений
01006170 |
push |
(1) offset loc_10061C0 |
|
01006175 |
mov |
eax, large fs:0 |
|
0100617B |
push |
(2) |
eax |
0100617C |
mov |
large fs:0, esp |
Native API
В основном недокументированный интерфейс программирования приложений (API), предназначенный для внутреннего использования в операционных системах семейства Windows NT, выпущенных Microsoft.
используется во время загрузки системы, когда другие компоненты Windows недоступны, а также функциями системных библиотек (например, kernel32.dll), которые реализуют функциональность Windows API.
Точкой входа программ, использующих Native API является функция DriverEntry(),
программы, использующие Native API, выполняются в третьем кольце защиты, так же как и обычные приложения Windows.
большая часть вызовов Native API реализована в ntoskrnl.exe, а доступ к ним предоставляется к программам режима пользователя ntdll.dll. Некоторые вызовы Native API реализованы напрямую в режиме пользователя внутри ntdll.dll.
Native API
Native API
NtQuerySystemInformation NtQueryInformationProcess NtQueryInformationThread
NtQueryInformationFile
NtQueryInformationKey.
NtContinue
Стратегии размещения в памяти
Нерезидентные вирусы – очень медленные вирусы, но могут быть успешными, если расположены на сетевых дисках
Резидентные вирусы
Временно резидентные
Вирусы с подкачкой
Поднятие прав в Windows
Windows Privilege Escalation Fundamentals
http://www.fuzzysecurity.com/tutorials/16.html
Scott Sutherland. Windows Privilege Escalation
https://blog.netspi.com/windows-privilege-escalation- part-1-local-administrator-privileges/
https://blog.netspi.com/windows-privilege-escalation- part-2-domain-admin-privileges/
Corey Kallenberg et al. Extreme Privilege Escalation on Windows 8/UEFI Systems