Поговорим теперь о неотъемлемой части межпроцессного взаимодействия в Windows – сессиях и контроле доступа. Отмечу лишь, что начиная с Windows Vista в операционке реализован механизм Session Separation, который не позволяет инжектить код в основные системные процессы и сервисы, стартовавшие в 0-сессии. И да, действительно, функция CreateRemoteThread() тут обломается. Но не функция NtCreateThreadEx(), которой это оказывается под силу. Ну и конечно же, нельзя забывать про необходимость добавлять привилегии себе любимому, когда речь идет об инжекте кода.
Слов нет, заинжектить свой код в процесс под Windows 8 можно. Не претендуя на новизну, замечу, что до сих пор возможностей для исполнения своего кода в системе остается уйма. И к сожалению, от самой Windows здесь мало что зависит — всегда есть возможность зайти с тыла, использовать уязвимости сторонних программных приложений, которые смогут выполнить твой код в системе, как тебе нужно. Все дело в ресерче, упорстве, ибо везет тем, кто везет. Как-то так.
Читать полностью…
При использовании Windows 8 надо помнить, что Windows 8 все же очень сложная система. А чем сложнее механизм, тем сложнее его контролировать. Жесточайшая конкуренция среди производителей операционных систем вынуждает бороться за покупателя, придумывать и внедрять все новые и новые технологии взаимодействия с пользователем, что в условиях дефицита времени приводит к ощутимым провалам в безопасности. Как следствие — ошибок в дизайне системы надо ожидать предостаточно. И ошибок очень неприятных, приводящих к возможности исполнения кода с поднятыми правами. В подтверждение замечу, что до сих пор на багтраке уйма найденных уязвимостей. А теперь самое неприятное. Даже если отшлифовать и довести до ума основные компоненты системы, то всегда найдется масса пользовательских приложений, которые пишутся тяп-ляп и при этом обладают повышенными правами и пользуются доверием ОС. Что успешно эксплуатируется (вспомним Adobe) и будет использовано малварщиками при написании своих зверушек.
Сразу скажу — не надо ждать у моря погоды и полагаться на подарки судьбы в виде провалов, найденных в обеспечении безопасности системы. Возьми в руки инструменты, такие как IDA Pro, WinDBG и прочие, научись ими пользоваться, стань исследователем безопасности систем — сегодня все решает ресерчинг, поиск и анализ недокументированных возможностей Windows.
Читать полностью…
С появлением Windows Seven (а точнее — с появлением Windows Vista) механизмы обеспечения безопасности системы сделали качественно новый скачок. Если в Vista они были очень сырыми, неокатанными, то с выходом в свет Win7 очень многое изменилось. В этой статье мы пройдемся по истории противодействий инжекту кода в разных верси ях винды и посмотрим, какие резервы для злохакеров остались в последней версии форточек.
В первую очередь стоит остановиться на успевших хорошо себя зарекомендовать технологиях защиты системы, таких как PatchGuard и Kernel-mode code signing. Первая препятствует модификации критических с точки зрения безопасности системных модулей (ядро, ряд ключевых драйверов и прочее), а вторая не дает возможности загружать сторонние модули, не имеющие общепризнанного сертификата (о таких вещах, как Windows SmartScreen, UEFI, ELAM + Secure Boot, а также некоторых других я не говорю, поскольку это мало касается темы статьи).
Читать полностью…
Брандмауэр ICF позволяет пропускать входящий трафик для около десятка служб. Описано, за что отвечает каждая из служб. Обратите внимание, что записи msmsgs вы, возможно, не увидите. Запись, соответствующая Windows Messenger, появится только в том случае, если вы используете либо саму эту программу, либо Outlook Express (в составе которого работают некоторые компоненты Messenger). В отличие от других служб она по умолчанию разрешена, следовательно, брандмауэр ICF и так пропускает ее входящие пакеты. Все остальные службы, перечисленные, по умолчанию запрещены.
То, что служба не упоминается, еще не означает, что нельзя пропустить ее входящий трафик через брандмауэр ICF. Вы можете добавить любую службу. Для этого нужно знать номер порта и имя или IP-адрес компьютера в локальной сети, на который вы хотите перенаправлять трафик. Например, чтобы играть в некоторые игры с помощью программы обмена мгновенными сообщениями, нужно открыть порт 1077. Если вы хотите добавить новую службу, в диалоговом окне Дополнительные параметры (Advanced Settings), изображенном, щелкните на кнопке Добавить (Add) и введите нужную информацию в диалоговом окне.
Читать полностью…
Самая важная особенность брандмауэра ZoneAlarm — возможность запретить исходящий сетевой трафик. Вы можете не бояться, что троян заразит ваш компьютер и установит изнутри соединение с удаленным взломщиком. Такую защиту предоставляют как все платные, так и бесплатная версия брандмауэра. Этой главной особенности посвящена большая часть данного «приема».
После установки программы перейдите на вкладку Firewall в левой панели и выберите уровень безопасности (от низкого до высокого) для Зоны Интернета (Internet Zone) и для Зоны надежных узлов (Trusted Security Zone). В зону надежных узлов входят те компьютеры локальной сети, которым вы доверяете. Настройки программы просты, и вы быстро научитесь с ними управляться.
Итак, вы включили ZoneAlarm. Теперь как только какая-нибудь программа попытается соединиться с Интернетом, появится окно предупреждения. Скорее всего, это произойдет из-за программы, которая вам хорошо знакома, например Internet Explorer или Outlook Express. Если вы хотите, чтобы в дальнейшем эта программа могла работать с Интернетом, не запрашивая специальное разрешение на каждое соединение, отметьте пункт Использовать этот ответ в следующий раз, когда я запущу эту программу (Remember this answer the next time I use this program) и нажмите Yes.
Читать полностью…
Если вы хотите действительно надежно защитить свой компьютер, установите этот брандмауэр — его возможности шире, чем у встроенного в Windows брандмауэра ICF. ZoneAlarm защитит вас от троянов (IFC вам в этом не поможет), а также и от других опасностей.
У брандмауэра подключения к Интернету (ICF), поставляемого вместе с Windows ХР, есть один серьезный недостаток: он не блокирует исходящий трафик от компьютера в Интернет. Программы-трояны обычно сами устанавливаются на машине и открывают своим «хозяевам» доступ к ресурсам компьютера или используют его для атаки на web-сайты и другие серверы. Встроенный брандмауэр ICF здесь бессилен: когда троян создает исходящее соединение, брандмауэр не блокирует его, и троян может спокойно совершать свои вредоносные действия незаметно для пользователя.
Читать полностью…
Производители компьютеров предоставляют компакт-диски для восстановления системы. Эти бесполезные маленькие пластиковые диски должны восстанавливать систему до заводских установок. «Заводские установки» в данном случае означают, что все данные на вашей системе будут удалены, после чего заново установится Windows ХР вместе с кучей дополнительного мусора (например, с раздражающими коммерческими предложениями), которым производители заполняют диск, лишая вас подлинной копии установочного компакт-диска Windows ХР. Если у вас именно такой диск, вам придется купить стороннюю программу для резервного копирования. Или, если такой вариант вас устраивает, вы можете одолжить нормальный диск с Windows у приятеля и установить утилиту резервного кодирования на свою систему. Также вы должны получить утилиту резервного копирования вместе с собственной копией Windows. Что ж, забросим разглагольствования в дальний ящик и продолжим.
Наверное, этот факт стоило бы отнести к категории «нет, вы меня дурачите!», но NTBackup действительно не позволяет сохранять резервные копии непосредственно на записываемый компакт-диск. Windows ХР, которая по утверждению Microsoft являлась в свои времена самой лучшей, надежной и продвинутой операционной системой, не поддерживает запись резервных копий на компакт-диск. В качестве решения можно предложить записать резервную копию на другой носитель, а затем переписать ее на компакт-диск. Но есть достаточно много альтернативных программ, поддерживающих сохранение резервных копий непосредственно на компакт-дисках. В Microsoft говорят, что они так и планировали. Многие же считают, что это случилось из-за плохого планирования. Учитывая то, насколько записываемые и перезаписываемые компакт-диски популярны в качестве носителей резервных копий (и принимая во внимание их дешевизну), такая непродуманная стратегия вызывает большие проблемы у многих людей.
Читать полностью…
У системы EFS есть некоторые незначительные ограничения, о которых следует знать.
Можно шифровать только тома NTFS. Тома с файловой системой FAT или FAT32 нужно сначала преобразовать в NTFS.
Нельзя шифровать сжатые файлы. Если вы хотите их зашифровать, придется отменить сжатие. И наоборот, нужно расшифровать файл для того, чтобы его сжать.
Система EFS не может шифровать файлы в папке C:\Windows, а также файлы, у которых установлен атрибут Системный.
При работе с зашифрованными файлами и папками возникает ощущение, что они ничем не отличаются от других файлов на диске. На самом деле, они обрабатываются иначе, и может случиться, что некоторые файлы, которые вы считали зашифрованными, вдруг без видимых причин окажутся расшифрованными. Поэтому, перед тем как включить шифрование, необходимо разобраться с тем, что можно делать с зашифрованными файлами и папками, а также к каким результатам это приведет.
Если вы предпочитаете командную строку графическому интерфейсу, то для работы с зашифрованными файлами можно воспользоваться утилитой cipher.exe. Чтобы узнать, зашифрован ли текущий каталог, наберите в командной строке cipher без параметров. Эта команда выводит на экран содержимое каталога. Рядом с незашифрованными файлами будет видна буква U, а рядом с зашифрованными — буква Е.
Читать полностью…
Встроенный брандмауэр не просто защитит вас от хакеров, он также позволит отследить все попытки вторжения. Вы узнаете, атаковал ли кто-нибудь ваш компьютер и какие атаки были отражены брандмауэром. Эту информацию вы можете затем отправить своему поставщику услуг Интернета, чтобы он проследил, откуда исходят попытки вторжения.
Прежде всего создайте журнал событий ICF. Щелкните правой кнопкой мыши на значке Сетевое окружение (My Network Places) и выберите Свойства (Properties). В папке Сетевые подключения (Network Connections) щелкните правой кнопкой мыши на соединении, для которого вы хотите создать журнал событий, и выберите Свойства (Properties) ► Дополнительно (Advanced) ► Параметры (Settings) ► Ведение журнала безопасности (Security Logging). Появится диалоговое окно в выберите: нужно ли вести учет пропущенных пакетов и успешных подключений. Пропущенный пакет (dropped packet) — это пакет, который был отброшен брандмауэром.
Успешное подключение не означает, что хакер успешно подсоединился к вашему компьютеру, оно фиксируется каждый раз, когда вы подключаетесь к Интернету, например, чтобы просмотреть web-страницы. Поэтому фиксировать успешные соединения, как правило, не обязательно. Если вы захотите записывать их в журнал, он очень быстро станет настолько большим, что вам сложно будет увидеть потенциально опасные события. Так что лучше всего следить только за отброшенными пакетами.
Читать полностью…
Рассмотрим пользу встроенного в Windows ХР Брандмауэра подключения к Интернету (Internet Connection Firewall, ICF). Он блокирует незапрошенный входящий трафик, а также все незапрошенные входящие соединения с Интернетом. То есть блокируется весь входящий трафик, исключение делается только тогда, когда ваш компьютер (или один из компьютеров вашей сети) запрашивает соединение с каким-либо узлом в Интернете. ICF не препятствует исходящим запросам и соединениям, поэтому вы можете, как обычно, просматривать web-страницы, получать электронную почту, загружать файлы по FTP — в общем, получать по своему запросу из Интернета все, что вам нужно.
Если вместе с ICF или любым другим брандмауэром у вас работает web-cepвep или сервер FTP, вы можете столкнуться с некоторыми проблемами. Поскольку брандмауэр блокирует любые незапрошенные входящие соединения, ваш сервер будет недоступен для посетителей. Также к вашему компьютеру нельзя будет подключиться с помощью Telnet. Однако можно разрешить доступ к этим ресурсам, не отключая брандмауэр.
Если компьютеры в сети используют одно подключение к Интернету, то ICF нужно запускать только на том компьютере, который непосредственно подключен к Интернету. При этом все остальные компьютеры тоже будут защищены. Не устанавливайте ICF на других компьютерах — иначе могут возникнуть проблемы с совместным подключением. Также не используйте этот брандмауэр вместе с виртуальной частной сетью (Virtual Private Network, VPN), потому что он конфликтует с различными функциями VPN, например, с функцией организации совместного доступа к файлам.
Читать полностью…
Loading ...