Programovanie a RE

V posledním dílu malého seriálu o deskriptorech virtuálních adres si ukážeme, jakými deskriptory operační systém popisuje paměť alokovanou či rezervovanou pro různé účely, jako je mapování souboru, mapování fyzické paměti pomocí rozšíření AWE či alokace privátních stránek provedená klasickým způsobem.

Z minulých dílů seriálu jste se dozvěděli, jak deskriptory virtuálních adres vypadají. Dnešní díl navazuje informacemi o významu některých položek struktur MMVAD_XXX.

Druhá část seriálu o interní struktuře a reprezentaci privátní části virtuálních adresových prostorů ve Windows. Dozvíte se v ní mimo jiné, co to vlastně ten deskriptor virtálních adres je.

Tento článek je prvním dílem krátkého seriálu, ve kterém se budeme zabývat tím, jak vypadá virtuální adresový prostor z pohledu běžných aplikací a jak jej vidí jádro operačního systému. Prioritu pro nás představuje samozřejmě pohled "z jádra", jelikož zde narazíme na použití málo dokumentovaných struktur. Věnujeme mu tedy i větší prostor.

64-bitová Windows se snaží 32-bitovým aplikacím vytvořit běhové prostředí, které co nejvěrohodněji kopíruje prostředí opravdového 32-bitového operačního systému. V tomto článku se zaměříme na změny v obsluze volání souborového systému a registru a ukážeme si, že mohou způsobit zajímavé problémy.

V několika minulých dnech jsem se intenzivně zabýval zjišťováním, jakže to funguje ochrana jednoho nejmenovaného bezpečnostního produktu. Tato činnost často obnáší použití disassembleru a debuggeru a tento případ nebyl výjimkou. Během práce jsem si všiml přítomnosti zvláštní instrukce REP RET. Kdybych ji neviděl na vlastní oči, pokládal bych ji za neplatnou. Ale protože ji zřejmě procesor "sežere", udělal jsem malé pátrání, abych se dozvěděl, co tato instrukce provádí.

Dnešný článok je venovaný hlavne začiatočníkom v obore malware analýzy. Jeho hlavná časť sa zaoberá problematikou packerov používaných malware autormi. Podrobne si popíšeme ako fungujú a aký postup zvoliť pri ich odstraňovaní. Teóriu si potom prakticky vyskúšame. Nakoniec si pozrieme správanie vzorky v systéme a postup pri jeho čistení. Pracovať budeme so vzorkou banker trojanu Zeus (Zbot/Wsnpoem), ktorý som vybral zámerne, pretože sa jedná o veľmi aktívnu hrozbu s obrovským počtom infikovaných PC po celom svete.

Po velmi dlouhé době vyšlo zase něco málo času, a tak jsem se rozhodl, že napíši o známém tématu, a to o zneužitelné chybě na principu přetečení lokálního zásobníku (buffer overflow – bof).