Zabezpieczenie przed ReadProcessMemory

Zabezpieczenie przed ReadProcessMemory
10odh
10
10odh
10
  • Rejestracja:prawie 14 lat
  • Ostatnio:prawie 14 lat
  • Postów:3
0

Witam wszystkich. Jestem początkującym programistą, jak każdy mam problemy z ogarnięciem API Windowsa.

Ostatnio czytałem dużo na ten temat ale dalej nie do końca rozumiem przeznaczenie HOOKów. Moim celem jest stworzenie zabezpieczenia przed keyloggerami. Keylogger za pomocą funkcji ReadProcessMemory kradnie z pamięci procesu dane użytkownika. Myślałem nad tym aby zablokować tę funkcję i dowiedziałem się że jest to nie możliwe aby zabezpieczyć pamięć w 100%. Jednak podobno z pomocą przychodzą HOOki. Czytałem wiele na ich temat i wiem że są globalne oraz lokalne. Lokalne działają w programie a globalne na całym komputerze.

Nie jestem pewien czy da rade zrobić takie coś ale wpadłem na pewien pomysł. Czy da się założyć HOOK na funkcję ReadProcessMemory? Należy podkreślić że nie znam nazwy procesu (ani PID ani HANDLE) który jest keyloggerem.

Jak by to wyglądało? Od czego zacząć naukę nad takim bajerem? Czytałem już dużo na różnych forach i kursach ale brakuje tam podstaw. Pomyślałem że ktoś nakieruje mnie na tym forum.

Jak to jest z kontrolą funkcji ReadProcessMemory? Od czego zacząć i jak to może teoretycznie wyglądać?

@Edit:
Myślę że jest to możliwe bo na jednym z forum znalazłem coś takiego:

*Odpowienie ustawienie uprawnień ACL - pętla ustawiająca DENY na READ (GR) WRITE (GR) i usuwająca Debug Privilege każdemu procesowi

*DLL Injection - hook na funkcję OpenProcess, ReadProcessMemory, ReadVirtualMemory. Z hooka będzie można kontrolować każde żądania tych funkcji

edytowany 1x, ostatnio: 10odh
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
_13th_Dragon
_13th_Dragon
_13th_Dragon
_13th_Dragon
  • Rejestracja:ponad 19 lat
  • Ostatnio:2 miesiące
0

Przede wszystkim keyloger nie potrzebuje czytać pamięć, jak sama nazwa wskazuje: KEY czyli klawisz, LOG - czyli zapisz; keyloger przechwytuje naciśnięcia klawiszy.
Dużo różnych aplikacji użytkowych stosuje HOOK'a nawet na klawisze, odróżnienie która z nich jest keylogerem a która nie nie wydaje się być możliwym.

Wykonuję programy na zamówienie, pisać na Priv.
Asm/C/C++/Pascal/Delphi/Java/C#/PHP/JS oraz inne języki.
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
10odh
10
10odh
10
  • Rejestracja:prawie 14 lat
  • Ostatnio:prawie 14 lat
  • Postów:3
0

(..) Zwykłe keyloggery zapisują naciśnięte klawisze, przez co czasem bywają nie dokładne np. kopiowanie haseł. Zwykły keylogger dostarcza długi ciąg znaków w którym sami musimy odnaleść hasła. (..) Nasz keylogger jest lepszy, nie zapisuje wciśniętych klawiszy. Hasła są pobierane bezpośrednio z pamięci procesów, zamieniane na czytelne znaki i zapisywane na nasze konto. Dzięki temu nie da się go obejść ani oszukać. (..)

To cytat ze strony, mam 100% pewności że używana jest funkcja ReadProcessMemory, z resztą potwierdził to autor keyloggera na forum. Próbuję dokładnie wszystko analizować i wyciągać wnioski z tego co piszesz. Czyli, jeżeli nie znam procesu keyloggera nie dam rady nic zrobić w tym kierunku? Co z cytatem z poprzedniego postu:

Odpowienie ustawienie uprawnień ACL - pętla ustawiająca DENY na READ (GR) WRITE (GR) i usuwająca Debug Privilege każdemu procesowi

DLL Injection - hook na funkcję OpenProcess, ReadProcessMemory, ReadVirtualMemory. Z hooka będzie można kontrolować każde żądania tych funkcji

O ile dobrze wyczytałem, autor cytowanego postu jest autorem AntyHacka do gier typu GameGuard czy coś takiego.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
msm
msm
msm
msm
Administrator
  • Rejestracja:prawie 16 lat
  • Ostatnio:4 miesiące
1

Dużo różnych aplikacji użytkowych stosuje HOOK'a nawet na klawisze, odróżnienie która z nich jest keylogerem a która nie nie wydaje się być możliwym.

Mylisz pojęcia. Tzn. hooki - SetWindowsHookEx to 'grzeczny' hook, stworzony w jak najlepszych intencjach - czasami faktycznie jest używany przez keyloggery (prymitywne keyloggery (C) ScriptKiddie TM), ale autor napisał że keylogger który go interesuje korzysta z ReadProcessMemory. Jak to robi - nie mam pojęcia ale to już nie mój problem ;) *

DLL injection to zupełnie inna sprawa, zdecydowanie nieładna i antywirus się będzie prawdopodobnie rzucać. Chodzi o wstrzyknięcie kodu wykonywalnego do innego procesu. DllInjection to ofc ie jest hook, ale w momencie gdy jesteśmy już w pamięci procesu możemy podmienić początek interesujących nas funkcji (tzw. detour patch) żeby skakały w podstawiony kod - obrazowo:

przed hookiem:

Kopiuj
poczatek_1
poczatek_2
środek_1
środek_2
koniec_1
koniec_2
return

po hooku:

Kopiuj
jump adres_hook
adres_powrotny
poczatek_2
środek_1
środek_2
koniec_1
koniec_2
adres_hook:
kod_wstawiony1
kod_wstawiony2
kod_wstawiony3
poczatek_2
jump adres_powrotny

Tradycją chyba już jest że kiedy mowa o sprawach tego pokroju (re, security, malware, hooki i co tam jeszcze) rzucany jest adres http://re.coldwind.pl/ - polecam jeśli chcesz ogarnąć tą tematykę. Informacje których szukasz są konkretnie w odcinku 7, ale jeśli chcesz to wszystko ogarnąć to może warto oglądnąć więcej.

  • Strzał - robi dump pamięci procesu i wyłuskuje sekwencje \w+\0.
edytowany 1x, ostatnio: msm
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
10odh
10
10odh
10
  • Rejestracja:prawie 14 lat
  • Ostatnio:prawie 14 lat
  • Postów:3
0

Dziękuję bardzo za długą odpowiedź, rozjaśniłeś mi bardzo. Fakt nie rozróżniałem tych pojęć ale to chyba przez to że czytałem na stronach anglojęzycznych a tam wszędzie jest hook hook hook i tylko hook : )

Z całą pewnością przeczytam cały materiał zawarty na podanej stronie.

A jak wygląda sprawa z:

Odpowienie ustawienie uprawnień ACL - pętla ustawiająca DENY na READ (GR) WRITE (GR) i usuwająca Debug Privilege każdemu procesowi

Wnioskuję z tego, że po użyciu jakiejś funkcji API (przypuszczam że coś na styl VirtualProtect, VirtualAllocEx) mogę zablokować pamięć procesu przed odczytem, pętla była by potrzebna aby pierwszy lepszy program nie ustawił znowu przywilejów do odczytu. Chociaż taka wojna na pętle i zakaz odczytu pamięci wydaje się mało profesjonalne jednak może być skuteczna a dla większości nie do obejścia.

Mój drugi wniosek jest taki, że jeżeli ustawię pętlę aby usuwała danemu programowi Debug Privilege (funkcja SetPrivilege) to nie będzie on mógł korzystać z funkcji typu ReadProcessMemory, OpenProcess, CreateThread itd.?

Był bym wdzięczny za poprawienie moich wniosków jeżeli moje myślenie idzie w złą stronę.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Treść
Podgląd
Kliknij, aby dodać treść...
Kliknij, aby dodać załącznik lub wklej ze schowka.
Instrukcja obsługi Markdown
Pomoc 1.18.8

Typografia

Edytor obsługuje składnie Markdown, w której pojedynczy akcent *kursywa* oraz _kursywa_ to pochylenie. Z kolei podwójny akcent **pogrubienie** oraz __pogrubienie__ to pogrubienie. Dodanie znaczników ~~strike~~ to przekreślenie.

Możesz dodać formatowanie komendami , , oraz .

Ponieważ dekoracja podkreślenia jest przeznaczona na linki, markdown nie zawiera specjalnej składni dla podkreślenia. Dlatego by dodać podkreślenie, użyj <u>underline</u>.

Komendy formatujące reagują na skróty klawiszowe: Ctrl+B, Ctrl+I, Ctrl+U oraz Ctrl+S.

Linki

By dodać link w edytorze użyj komendy lub użyj składni [title](link). URL umieszczony w linku lub nawet URL umieszczony bezpośrednio w tekście będzie aktywny i klikalny.

Jeżeli chcesz, możesz samodzielnie dodać link: <a href="link">title</a>.

Wewnętrzne odnośniki

Możesz umieścić odnośnik do wewnętrznej podstrony, używając następującej składni: [[Delphi/Kompendium]] lub [[Delphi/Kompendium|kliknij, aby przejść do kompendium]]. Odnośniki mogą prowadzić do Forum 4programmers.net lub np. do Kompendium.

Wspomnienia użytkowników

By wspomnieć użytkownika forum, wpisz w formularzu znak @. Zobaczysz okienko samouzupełniające nazwy użytkowników. Samouzupełnienie dobierze odpowiedni format wspomnienia, zależnie od tego czy w nazwie użytkownika znajduje się spacja.

Znaczniki HTML

Dozwolone jest używanie niektórych znaczników HTML: <a>, <b>, <i>, <kbd>, <del>, <strong>, <dfn>, <pre>, <blockquote>, <hr/>, <sub>, <sup> oraz <img/>.

Skróty klawiszowe

Dodaj kombinację klawiszy komendą notacji klawiszy lub skrótem klawiszowym Alt+K.

Reprezentuj kombinacje klawiszowe używając taga <kbd>. Oddziel od siebie klawisze znakiem plus, np <kbd>Alt+Tab</kbd>.

Indeks górny oraz dolny

Przykład: wpisując H<sub>2</sub>O i m<sup>2</sup> otrzymasz: H2O i m2.

Składnia Tex

By precyzyjnie wyrazić działanie matematyczne, użyj składni Tex.

<tex>arcctg(x) = argtan(\frac{1}{x}) = arcsin(\frac{1}{\sqrt{1+x^2}})</tex>

Kod źródłowy

Krótkie fragmenty kodu

Wszelkie jednolinijkowe instrukcje języka programowania powinny być zawarte pomiędzy obróconymi apostrofami: `kod instrukcji` lub ``console.log(`string`);``.

Kod wielolinijkowy

Dodaj fragment kodu komendą . Fragmenty kodu zajmujące całą lub więcej linijek powinny być umieszczone w wielolinijkowym fragmencie kodu. Znaczniki ``` lub ~~~ umożliwiają kolorowanie różnych języków programowania. Możemy nadać nazwę języka programowania używając auto-uzupełnienia, kod został pokolorowany używając konkretnych ustawień kolorowania składni:

```javascript
document.write('Hello World');
```

Możesz zaznaczyć również już wklejony kod w edytorze, i użyć komendy  by zamienić go w kod. Użyj kombinacji Ctrl+`, by dodać fragment kodu bez oznaczników języka.

Tabelki

Dodaj przykładową tabelkę używając komendy . Przykładowa tabelka składa się z dwóch kolumn, nagłówka i jednego wiersza.

Wygeneruj tabelkę na podstawie szablonu. Oddziel komórki separatorem ; lub |, a następnie zaznacz szablonu.

nazwisko;dziedzina;odkrycie
Pitagoras;mathematics;Pythagorean Theorem
Albert Einstein;physics;General Relativity
Marie Curie, Pierre Curie;chemistry;Radium, Polonium

Użyj komendy by zamienić zaznaczony szablon na tabelkę Markdown.

Lista uporządkowana i nieuporządkowana

Możliwe jest tworzenie listy numerowanych oraz wypunktowanych. Wystarczy, że pierwszym znakiem linii będzie * lub - dla listy nieuporządkowanej oraz 1. dla listy uporządkowanej.

Użyj komendy by dodać listę uporządkowaną.

1. Lista numerowana
2. Lista numerowana

Użyj komendy by dodać listę nieuporządkowaną.

* Lista wypunktowana
* Lista wypunktowana
** Lista wypunktowana (drugi poziom)

Składnia Markdown

Edytor obsługuje składnię Markdown, która składa się ze znaków specjalnych. Dostępne komendy, jak formatowanie , dodanie tabelki lub fragmentu kodu są w pewnym sensie świadome otaczającej jej składni, i postarają się unikać uszkodzenia jej.

Dla przykładu, używając tylko dostępnych komend, nie możemy dodać formatowania pogrubienia do kodu wielolinijkowego, albo dodać listy do tabelki - mogłoby to doprowadzić do uszkodzenia składni.

W pewnych odosobnionych przypadkach brak nowej linii przed elementami markdown również mógłby uszkodzić składnie, dlatego edytor dodaje brakujące nowe linie. Dla przykładu, dodanie formatowania pochylenia zaraz po tabelce, mogłoby zostać błędne zinterpretowane, więc edytor doda oddzielającą nową linię pomiędzy tabelką, a pochyleniem.

Skróty klawiszowe

Skróty formatujące, kiedy w edytorze znajduje się pojedynczy kursor, wstawiają sformatowany tekst przykładowy. Jeśli w edytorze znajduje się zaznaczenie (słowo, linijka, paragraf), wtedy zaznaczenie zostaje sformatowane.

  • Ctrl+B - dodaj pogrubienie lub pogrub zaznaczenie
  • Ctrl+I - dodaj pochylenie lub pochyl zaznaczenie
  • Ctrl+U - dodaj podkreślenie lub podkreśl zaznaczenie
  • Ctrl+S - dodaj przekreślenie lub przekreśl zaznaczenie

Notacja Klawiszy

  • Alt+K - dodaj notację klawiszy

Fragment kodu bez oznacznika

  • Alt+C - dodaj pusty fragment kodu

Skróty operujące na kodzie i linijkach:

  • Alt+L - zaznaczenie całej linii
  • Alt+, Alt+ - przeniesienie linijki w której znajduje się kursor w górę/dół.
  • Tab/⌘+] - dodaj wcięcie (wcięcie w prawo)
  • Shit+Tab/⌘+[ - usunięcie wcięcia (wycięcie w lewo)

Dodawanie postów:

  • Ctrl+Enter - dodaj post
  • ⌘+Enter - dodaj post (MacOS)