Преодоление защитных функций операционных систем

Одним из наиболее эффективных (хотя, и несколько трудоемких) методов, является редактирование файла, содержащего информацию для аутентификации пользователей. Последовательность действий в данном случае будет примерно следующая:

1. Загрузка на компьютере альтернативной операционной системы с нештатного носителя.

2. Определение на носителе, где установлена атакуемая операционная система месторасположения файла, содержащего информацию об авторизации пользователей.

3. Копирование этого файла на другой носитель с целью редактирования.

4. На основе известного пароля, сгенерировать новый зашифрованный пароль и записать эти данные в блок файла, соответствующий паролю учетной записи администратора.

5. Заместить исходный файл операционной системы, его отредактированной версией.

6. Произвести загрузку со штатного носителя и войти под учетной записью администратора.

В том случае, если ни один пароль этой системы не известен, то вместо редактирования файла, злоумышленник осуществляет перебор паролей методом грубой силы, что требует значительных временных затрат и больших вычислительных ресурсов.

Еще одна группа методов направлена уже не на попытку получения или подмену информации об авторизации и аутентификации пользователей, а на подавление системных средств, осуществляющих авторизацию. Довольно эффективны методы, состоящие в том, чтобы обойти процедуру проверки пароля. Этого можно добиться, узнав, какие библиотеки операционной системы отвечают за проверку пароля, выделив в них (например, путем дизассемблирования) фрагменты кода, отвечающие за проверку пароля и отредактировать их соответствующим образом – изменить процедуру проверки или просто поставить дальний переход.

Вместо подмены библиотек, существует возможность произвести замену необходимых участков кода напрямую – путем редактирования жесткого диска на физическом уровне. Преимущества данного метода состоят в том, что он является действенным даже в том случае, когда используются дополнительные утилиты шифрования паролей, кроме того, старый пароль администратора остается без изменений, следовательно, увеличивается время до момента обнаружения вторжения.

Последовательность действий в данном случае будет примерно следующая:

1. Загрузка на компьютере альтернативной операционной системы с нештатного носителя.

2. Определение на носителе, где установлена атакуемая операционная система месторасположения библиотек, отвечающих за процедуру аутентификации.

3. Копирование этой библиотеки на другой носитель с целью редактирования. Или же, непосредственное редактирование жесткого диска на физическом уровне (тогда пропускаются п.4, п.5.).

4. Преобразование библиотеки необходимым образом.

5. Замещение исходной библиотеки операционной системы ее отредактированной версией.

Загрузка операционной системы с произвольным паролем, т.к. его проверка уже не будет осуществляться.

Вопрос 3. Клавиатурные шпионы на службе компьютерной разведки

Одна из наиболее распространенных разновидностей программных закла­док — клавиатурные шпионы. Такие программные закладки нацелены на пе­рехват паролей пользователей операционной системы, а также на определе­ние их легальных полномочий и прав доступа к компьютерным ресурсам. Клавиатурные шпионы — явление отнюдь не новое в мире компьютеров. В свое время они разрабатывались и для OS/370, и для UNIX, и для DOS. Их поведение в общем случае является довольно традиционным: типовой клавиатурный шпион обманным путем завладевает пользовательскими па­ролями, а затем переписывает эти пароли туда, откуда их может без особого труда извлечь злоумышленник. Различия между клавиатурными шпионами касаются только способа, который применяется ими для перехвата пользо­вательских паролей. Соответственно все клавиатурные шпионы делятся на три типа — имитаторы, фильтры и заместители.

Дата добавления: 2014-01-15; Просмотров: 990; Нарушение авторских прав?; Мы поможем в написании вашей работы!