Blog

Z článků zde uvádím jenom nadpis a první odstavec. Pokud si chcete přečíst článek celý, klikněte na jeho nadpis a budete přesměrovány na server, kde je daný článek publikován. Všechny články jsou zatím publikovány na SECITu a několik posledních také na stránkách slovenského WUGu. Je pravděpodobné, že sem časem přibudou i články jinde nepublikované, protože se nebudou zabývat počítačovou bezpečností, ale například algoritmizací.

Jak jsem psal knihu (12. 9. 2011)
V této stati bych rád přiblížil své zážitky a pocity při psaní knihy. Celý proces od počátku až do vydání trval dva roky a jeden měsíc. Za tu dobu jsem zažil těžké časy, krásné chvíle a přišel o některé iluze.

Nová kniha: Jádro systému Windows (3. 9. 2011)
Zkoumáním vlastností operačních systémů Microsoft Windows se zabývám již od středoškolských let. Nejprve jsem se věnoval programování systémových aplikací a později jsem se začal zajímat o samotné jádro. Tato záliba mi vydržela dodnes.

Moje znalosti postupem času stále rostly a začal jsem zjišťovat, že v našich zemích (tímto označením myslím Česko a Slovensko) se jednak nenajde mnoho lidí, kteří se zajímají o to samé, co já, druhak nabídka zdrojů informací není příliš široká. Z tohoto důvodu jsem se rozhodl část svých vědomostí o systémech Windows předat širší veřejnosti.

Rootkity na platformě x64 (2. 6. 2011)
64bitové verze Windows Vista a Windows 7 se objevují stále častěji. Tento trend je logickým důsledkem většího množství paměti RAM na nových (i stávajících) počítačích. 32bitové verze Windows nemohou plnohodnotně využít většího množství fyzické paměti než 4 GB. Takové omezení u platformy x64 neplatí.

Vzhledem k tomuto trendu se dalo očekávat, že autoři malware se vydají podobným směrem – začnou psát škodlivý kód určený přímo pro 64bitová Windows. V tomto článku se však zaměříme na to, jak se na platformu x64 přesouvají tvůrci rootkitů, tedy programů, které se snaží zamaskovat svoji přítomnost v systému.

32-bitové aplikace na platformě x64 (14. 11. 2010)
64-bitová Windows se snaží 32-bitovým aplikacím vytvořit běhové prostředí, které co nejvěrohodněji kopíruje prostředí opravdového 32-bitového operačního systému. V tomto článku se zaměříme na změny v obsluze volání souborového systému a registru a ukážeme si, že mohou způsobit zajímavé problémy.

Jak jsem zachraňoval data (17. 8. 2010)
Tento příspěvek je volným pokračováním série popisující mé příhody při provádění zdánlivě rutinních operací ve Windows a při práci s diskovými oddíly. Jak jste si možná všimli, předchozí díly byly často inspirovány katastrofami různého rozsahu, které jsem svoji činností způsobil.

SSDTInfo, aneb co vše se skrývá v tabulkách systémových volání (15. 6. 2010)
Pod pojmem SSDT (System Service Descriptor/Dispatch Table) si většina z lidí znalých jádra Windows představí datové struktury, které zajišťují správné fungování mechanismu systémových volání. Jejich modifikací lze monitorovat a ovlivňovat nejen chování aplikací.

Protože mě obsah těchto tabulek odjakživa zajímal a různé bezpečnostní aplikace jej nezobrazovaly příliš podrobně, rozhodl jsem se napsat utilitu SSDTInfo, která najde a zobrazí všechny dostupné informace.

Útok záměnou argumentu, aneb vážná chyba v proaktivní ochraně bezpečnostních aplikací (21. 5. 2010)
Česká verze článku o argument-switch-attack (útuk záměnou arguentů), neboli KHOBE.

Instrukce REP RET (7. 5. 2010)
V několika minulých dnech jsem se intenzivně zabýval zjišťováním, jakže to funguje ochrana jednoho nejmenovaného bezpečnostního produktu. Tato činnost často obnáší použití disassembleru a debuggeru a tento případ nebyl výjimkou. Během práce jsem si všiml přítomnosti zvláštní instrukce REP RET. Kdybych ji neviděl na vlastní oči, pokládal bych ji za neplatnou. Ale protože ji zřejmě procesor "sežere", udělal jsem malé pátrání, abych se dozvěděl, co tato instrukce provádí.

KHOBE – 8.0 earthquake for Windows desktop security software (5. 5. 2010)
už nějakou dobu jsem trošku pomáhal s dokončením prací na jedné zranitelnosti, která postihuje snad všechny bezpečnostní produkty, co implementují HIPS a bodobné ochranné techniky (testováno 33 produktů).

Útočník může zneužitím této chyby obejít celou ochranu testovaných bezpečnostních produktů a například smazat jejich soubory, klíče registru, ukončit jejich procesy atd. Útok též není omezen pouze na účty s administrátorskými právy.

Konzole pro zotavení a pár užitečných příkazů (7. 3. 2010)
Ačkoliv už uplynulo mnoho vody od doby, kdy se na scénu škodlivých programů opět vrátily boot viry a havěť napadající hlavní zaváděcí sektor (Master Boot Record), občas nám někdo napíše, že má problém s bootováním svých Windows XP, nebo že má v počítači MBR rootkit a neví, jak se jej zbavit.

Nová zranitelnost Windows umožňující libovolnému uživateli získat systémová oprávnění (22. 1. 2010)
Před pár dny po Internetu začaly kolovat zprávy o "nové" zranitelnosti operačních systémů Windows, která umožňuje libovolnému uživateli získat systémová oprávnění. Situace je o to závažnější, že zranitelnost pravděpodobně postihuje systémy od Windows 2000 až do Windows 7.

Lineární hašování (Litwin) (21. 1. 2010
Lineární hašování je zajímavé zejména tím, že nedochází ke štěpení stránek, kterým by hrozilo přetečení, ale štěpení probíhá rovnorměrně. Jedou za čas se rozštěpí každá stránka, ať je plná nebo prázdná.

Cormackovo perfektní hašování (16. 1. 2010)
Další způsob hašování, tentokráte perfektní a statický.

Faginovo hašování (Rozšířitelné hašování - extendible hashing) (10. 1. 2010)
aneb něco z organizace a zpracování dat I. Tento algoritmus má sloužit k efektivnímu přístupu k velkému množství dat, která se najedou nevejdou do paměti.

Jak jsem bootoval (24. 12. 2009) '
V dalším článku z volné série "ze života" se dozvíte, co se může stát, když potřebujete sloučit dva diskové oddíly a nedáte si dostatečně dobrý pozor...

VrtuleFS, aneb souborový systém, který byste nikdy nechtěli (2. 11. 2009)
Občas mívám nápady, jak některé věci vylepšit. Nedávno jsem přemýšlel, jaké nové funkce bych zaimplementoval do nového souborového systému, který bych si rád zkusil implementovat, až budu mít dostatek volného času. Systém samozřejmě nazvu VrtuleFS, o tom není pochyb.

Jak jsem formátoval (6. 9. 2009)
Tento článek nepojednává o žádném bezpečnostním riziku a nemá s bezpečnostní nic společného ani v jiném smyslu. Jde o vyprávění mé osobní zkušenosti získané při používání nástroje Správa disků na práci s diskovými oddíly. Jedná se o tři se sebou nesouvisející příběhy, které doufám přispějí k objasnění některých poblémů kolem formátování.

PatchGuard a problémy, které působí (18. 7. 2009)
Účel komponenty Windows PatchGuard (nebo Windows Kernel Patch Protection) pravděpodobně mnoho z vás zná. PatchGuard má chránit jádro operačního systému před jakoukoli nežádoucí modifikací, která by mohla narušit bezpečnost systému. Ale jak už to tak bývá, bezpečnost nám hází klacky pod nohy a KPP není výjjimkou. V tomto článku se na tyto problémy podíváme blíže a ukážeme si, jak se je Microsoft snaží řešit.

BIOS rootkit (15. 7. 2009)
Rootkity napadající jádro operačního systému a bootkity se již staly celkem známým pojmem. Existují nástroje, které většinu této havěti nacházejícící se "in the wild" dokáží nalézt a zničit. Člověk by řekl, že je nyní na autorech malware, aby přišli opět s něčím unikátním. A opravdu - začíná se objevovat stále více informací o tzv. BIOS rootkitech - rootkitech, které se nainstalují do BIOSu a odtud se snaží kontrolovat celý počítač. V tomto článku se pokusíme zhodnotit obtížnost vytvoření takového rootkitu a probereme si výhody a nevýhody zákeřné modifikace BIOSu.

Problém nemožnosti přihlášení (30. 5. 2009)
Jedná se již o velmi starý problém, jehož řešení mi před pár lety vyneslo rank přítele fóra na jednom velmi oblíbeném českém fóru zabývající se bezpečnostní (jelikož se jedná o jediné fórum, kde tent orank mám, nebude těžké jej najít). Jelikož je ale popis řešení popsán kdesi v hlubinách onoho fora a i po dvou letech se mne občas lidé ptají, jak jej vyřešit, rozhodl jsem se jej znovu popsat na pravděpodobně viditelnějším místě.

Úvod do architektury Windows NT
Některé techniky užívané rootkity
Tyto dva texty jsem zařadil jako přílohy do dokumentace programu Process Inspector, se kterým jsem vyhrál celostání kolo SOČ v roce 2007. Obsah těchto textů přímo nesouvisí s programem, a protože je na stránkách Process Inspectoru asi nikdo nehledá, dávám je na toto místo, kde je větší šance, že by mohly někomu pomoci.

Nová varianta havěti napadající hlavní zaváděcí sektor (6. 4. 2009)
Před několika dny jsem narazil na novou variantu malware známého pod jmény Mebroot a Sinoval. Tento rootkit je proslulý tím, že napadá hlavní zaváděcí sektor pevného disku počítače (Master Boot Record). Mebroot na disku nevytváří žádné spustitelné soubory a nenajdeme jej tudíž ani mezi spuštěnými procesy ve Správci úloh ani mezi ovladači v jádře operačního systému.

Jak jsem lovil Sinoval (12. 3. 2009)
V nedávné době vyjsem se "osobně" střetl s malwarem jménem Sinoval, jež patří mezi havěť infikující hlavní zaváděcí sektor disku (Master Boot Record). Samotná procedura odstranění škůdce není příliš zajímavá a není to důvod, proč píši tento článek. Na tomto incidentu lze však ukázat typické vlastnosti a projevy systému infikovaného kvalitním rootkitem.

Rootkity - skrývání souborů (21. 1. 2009)
V nedávném článku jsme si vysvětlili základní pojmy ohledně rootkitů, jejich chování a jak lze z obecného hlediska rozdělit techniky, které k dosažení svých cílů používají. Dnes se zaměříme na způsoby, kterými rootkit může skrývat soubory a složky na pevném disku.

Rootkit - co, jak a proč (23. 12. 2008)
Tento článek je určen těm z vás, kteří se v operačním systému příliš nevyznaji, chtějí mít dobré povědomí o bezpečnostních hrozbách, ale nechtějí rozumět jeho mechanismům "až na plech". Protože vím, že ne každý má čas na prozkoumávání hlubin svého systému, rozhodl jsem se napsat tento článek, jehož cílem je přiblížit každému uživateli pojem rootkitu - populární hrozby dnešních dní.

Proč jsou čísla procesů dělitelná čtyřmi (5. 10. 2008)
Možná jste si toho při pohledu do Správce úloh ani nevšimli, ale je to tak. Identifikační čísla procesů (PID) jsou od Windows 2000 vždy dělitelná čtyřmi. Otázka, proč tomu tak je, může mnohým připadat zbytečná, avšak není tomu tak docela. Abychom si na ni odpověděli, musíme lehce nakouknout do jádra operačního systému.

Souborové systémy FAT (2. 8. 2008)
V tomto článku si povíme něco o souborových systémech, jimiž byly formátovnány diskety a pevné disky v dobách MS-DOSu a "raných" verzí Windows. FAT souborové systémy se sice stále používají, ale s příchodem Windows NT byly zvláště na pevných discích nahrazeny souborovým systémem NTFS, o kterém si možná v budoucnu také něco řekneme.

Rustock C (27. 7. 2008)
Většina škodlivého kódu je napsaná velmi lamersky. Proto jsou programy jako HjackThis nebo Combofix stále našimi dobrými pomocníky, ačkoliv mají fatální slabiny. Existuje však i malá část malware, která je napsána velmi zkušenými a vnitřností operačního systému znalými jedinci. Někteří (včetně mě) považují Rustock C právě za takový kousek. Proto si o něm povíme něco bližšího.

Vývoj ovladačů jádra 3. díl - synchronizace (8. 7. 2008)
V dnešním poněkud teoretickém dílu se zaměříme na to, jak správně nakládat se sdílenými prostředky. Některým se určitě již začínají nudou protahovat obličeje - v dnešním díle se nebudeme "hrabat" ve vnitřnostech operačního systému Windows. Myslím si, že látka tohoto dílu je ale velmi důležitá, protože ji budete při psaní ovladačů aplikovat velmi často. Špatná práce se sdílenými prostředky totiž vede ke katastrofě.

Do kernelu bez driveru (12. 6. 2008)
Jeden z méně známých způsobů, jak se dostat do Ring 0.

Modrá obrazovka (Blue Screen Of Death) (12. 6. 2008)
V tomto článku se podíváme na to, co se přesně děje, když nastane ona nepopulární modrá obrazovka.

Vývoj ovladačů jádra - 2. díl (12. 6. 2008)
Pokračování seriálu o psaní ovladačů pro operační systém Windows NT.

Vývoj ovladačů jádra - obecný úvod (12. 6. 2008)
V tomto článku se dozvíte některé základní věci o ovladačích: Co to je ovladač (moje definice), nejdůležitější charakteristiky či způsob načítání ovladače do jádra. Nebudu zde mluvit o ovladačích hardwaru.

Malý trik se SSDT, aneb jak Rootkit Unhooker opět slavně zvítězil (12. 6. 2008)
Zajímavý způsob, jak skrýt škodlivé změny v SSDT - v oblasti, která je velmi dobře známá a kterou většina antirootkitů pečlivě kontroluje.

SSDT - System Service Descriptor Table (12. 6. 2008)
aneb jak obyčejné aplikace komunikují s jádrem operačního systému.