- •1. Доступ к данным. Этапы идентификации и аутентификации, реализуемые ос Windows. Разграничение доступа к устройствам.
- •2. Идентификация и аутентификация субъекта "процесс" при запросах на доступ. Замкнутая программная среда. Вопросы корректности идентификации пользователя.
- •4. Электронные увип. Приборы на базе iButton. Смарт-карты.
- •5. Биометрическая идентификация пользователей. Идентификация по манере работы по клавиатуре. Идентификация по голосу. Распознавание пользователей по лицу.
- •6. Идентификация по отпечатку пальцев
- •7. Технологии аутентификации. Аутентификации по многоразовым паролям.
- •8. Технологии аутентификации. Аутентификация на основе одноразовых паролей.
- •9. Технологии аутентификации. Аутентификация по предъявлению цифрового сертификата. Использование смарт-карт и usb-ключей.
- •10. Принципы организации контроллера зи.
- •11. Принципы организации контролера зи.
- •12. Характеристики сзи.
- •13. Аппаратные системы разграничения доступа. Использование архитектур, отличных от фоннеймановской.
- •14. Аппаратные системы разграничения доступа. Системы перлюстрации запросов на обращение к данным. Защита от считывания со сменных носителей.
- •15. Программно-аппаратные криптосистемы. Алгоритмы шифрования.
- •16. Общие сведения об аппаратных криптосистемах. Механизмы аппаратной шифрации. Криптографический контроль целостности.
- •18. Варианты реализации криптосистем. Сравнение аппаратных и прогаммных шифраторов.
- •19. Виды защиты от несанкционированного копирования программ. Программно-аппаратная защита от копирования программ.
- •20. Защита программ от изучения. Цели, методы, средства изучения программ.
- •21. Защита программ от дизассемблирования.
- •22. Борьба с трассировкой программы пошаговыми отладчиками.
- •23. Ошибки в созданных и предлагаемых защитах от копирования.
- •24. Виды деструктивных программ. Компьютерные вирусы и их классификация.
- •25. Шпионские программы. Общая характеристика.
- •26. Программные кейлогеры.
- •27. Варианты реализации программных кейлогеров
- •28. Аппаратные кейлогеры.
- •29. Методы противодействия программам-шпионам и аппаратным кейлогерам.
22. Борьба с трассировкой программы пошаговыми отладчиками.
Борьба с трассировкой программы пошаговыми отладчиками. Можно предложить две группы средств защиты от трассировки. В первую группу входят средства блокировки работы самих отладчиков, делающие невозможным трассировку программы: 1. Подмена векторов прерываний; Напомним, что прерывание INT 1 и INT 3 (соответственно, прерывание для пошаговой работы и прерывание по однобайтовой команде INT) интенсивно используются отладчиками. Первое прерывание позволяет отладчику получать управление после выполнения каждой команды трассируемой программы. С помощью второго прерывания отладчик может устанавливать точки останова, заменяя байты программы на команду однобайтового прерывания. Защищенная от трассировки программа должна подготовить свои собственные обработчики для этих прерываний и "незаметно" для человека, занимающегося трассировкой, записать их адреса в таблицу векторов прерываний. Эти обработчики прерываний могут не делать ничего, то есть состоять из одной команды IRET, или выполнять какие-либо действия, фиксирующие факт работы программы под контролем отладчика. Если программа работает не под контролем отладчика, прерывания во время этого участка программы невозможны (они запрещены командой CLI). Если же используется режим пошагового выполнения программы под управлением отладчика, отладчик разрешает клавиатурные прерывания, невзирая на то, что была выдана команда CLI. Наш обработчик клавиатурного прерывания в этом случае зафиксирует работу в режиме трассировки. Аналогично можно воспользоваться прерыванием таймера. Защищенная программа устанавливает свой обработчик для прерывания таймера, который устанавливает флаг в случае появления прерывания от таймера. В подходящий момент времени она запрещает прерывания и выполняет какую-либо работу, периодически проверяя флаг. Если программа работает в пошаговом режиме, команда запрета прерываний CLI не работает, и флаг будет взведен, сигнализируя работу под контролем отладчика. Опытные взломщики знают данный метод досконально, так что противостоять им, используя языки высокого уровня, просто бесполезно. 2. Блокировка прерываний от клавиатуры. Запретив прерывания командой CLI и переназначив прерывание от клавиатуры на себя, программа установки может выполнять какие-либо действия, не требующие работы оператора с клавиатурой и мышью (например выполнения процедуры проверки регистрационного ключа). В ходе трассировки программы (при ее пошаговом выполнении) вам необходимо нажимать на клавиши - для перехода к очередной команде. Это можно использовать для блокировки отладчика. Новичков подобные методы вводят в ступор - при попадании на заранее поставленную точку останова появляется ощущение, что машина повисла, и спасет только reset. И только дизассемблировав программу взломщик увидит, что блокируется клавиатура. Для малобюджетных проектов этой защиты достаточно. 3. Запуск фрагмента кода на нулевом кольце (если такое допустимо) и уничтожение дебаггера или программы. 4. Написание собственной виртуальной машины, на которую ложиться задача проверки регистрации на некоторый псевдокод или скрипт, выполняющийся в вашей виртуальной машине. (Протрассировать подобную защиту очень сложно даже для опытных взломщиков) 5. Блокирование вывода на экран На время выполнения проверки регистрационного ключа можно блокировать вывод на экран. Это, конечно же, может вызвать дискомфорт у конечного пользователя, но взломщику сложно отлавливать и править эту часть защиты. Вторая группа средств направлена на определение факта работы программы под управлением отладчика: 1. Измерение времени выполнения контрольных участков программы; Трассирование гораздо дольше обычного выполнения программы. Можно запускать самый обыкновенный таймер в отдельном потоке, и по прошествии нужного времени проверять, завершена ли процедура. Если нет - значит процедура остановлена. Отлавливать 2 независимых потока сложно и многие взломщики сдаются на этом этапе. Однако и подобные ухищрения обходятся, для этого необходимо управление системным таймером с помощью специальных программ. Однако это сложно и трудоёмко и не всегда бывает выгодно. 2. Подсчет контрольной суммы области памяти, где находится исполняемый код, и сравнение его с заранее прошитым значением. Таким способом можно выявить внесенные в процессе отладки исправления, и вернуть программу к первозданному виду. 3. Использование «ловушек» Противодействие отладке на основании факта, что многие отладчики не могyт полностью эмyлиpовать сpедy запyска программы. Hапpимеp, они обнyляют некотоpые pегистpы, котоpые могyт нести опpеделенный смысл. Пpи ноpмальном запyске (из-под опеpационной системы MS-DOS) AX и BX отpажают пpавильность аpгyментов в командной стpочке: DX=DS, SI=IP, DI=SP. Равенство соответствyющих pегистpов дpyг дpyгy можно пpовеpить. Ловушки (трики) не yнивеpсальны. Это всего лишь использование той или иной особенности аpхитектypы или инстpyментов отладки. А эти особенности, сколько бы их ни было, все-таки огpаничены. Основные пpинципы, на котоpых они основаны, вполне исчислимы. Таким обpазом, даже если взломщик не знаком с конкpетным тpиком, то какие-то кpитические моменты, вызванные сpабатыванием тpика, могyт его настоpожить. Пpи повтоpной пpогонке этого yчастка кода, взломщик может обойти это место без особого тpyда. Итак, классический подход, основанный на совокyпности всевозможных ловушек, тем эффективнее, чем больше этих тpиков навоpочено. В этом и заключается интеллектyальная огpаниченность тpадиционного подхода. Сами тpики чаще всего не связаны междy собой, и от их наличия логика pаботы пpогpаммы не зависит (то есть, исключив тpик из кода пpогpаммы, мы не повлияем на пpавильность ее pаботы). Тpики, как пpавило, сваливаются в общyю кyчy по пpинципy "чем больше, тем лyчше", в pезyльтате чего мы можем полyчить нечто монстpообpазное, где pазмеpы кода тpиков сpавнимы с pазмеpом защищаемого кода, но это вpяд ли пpинесет pезyльтат. Однако, этот подход весьма попyляpен: несвязанность тpиков и основного кода обyславливает легкость их пpименения. Искpенной жалости достойны pазpаботчики, котоpые пытаются интегpиpовать тpик с кодом объекта защиты: на pазpаботкy и обезглючивание такого подхода yходит гоpаздо больше вpемени, чем на взлом.