حالة الموضوع:
مغلق
  1. فہٰايہٰروسہٰ

    فہٰايہٰروسہٰ موقوف لمخالفة الشروط

    الأنتساب:
    ‏25 أكتوبر 2015
    المشاركات:
    71
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    المخالفات
    3
    ماهو الروت كيت rootkit

    الروت كيت عبارة عن مجموعة ادوات وبرامج واكواد تساعد المخترق للدخول الى جهاز الضحية بواسطة حساب المدير
    root وتم استخدام هذا المصطلح لاول مرة في اللينكس

    كذالك هو اي شيئ مخفي عن نظام التشغيل والكلام العلمي له عبارة عن برنامج يستخدمها المخترق لاخفاء وجودة في النظام

    هناك بعض الامور يجب معرفتها عن protection rings
    [​IMG]في مستوى user mode كل عملية لها ذاكرة وهمية كل thread داخل العملية يتم تنفيذ الكود الخاص به في VM
    ولا يمكن تغير الذاكرة الوهمية الخاصة بعملية اخرى في مستوى الكرتل
    كما يمكن لاي thread ان يغير من ذاكرة اي بروسس اخر

    وهناك privileged instructions لا يسطيع thread ان يعمل في اليوزر مود مثل in/out/lldt (بشرحها في وقت اخر)
    اي thread يعمل في اليوزر مود لا يمكنة استخدام موارد النظام مباشر
    مثل الذاكرة الخاصة بالنظام
    و التعامل مع الهرد وير مباشرة


    ماذا يحدث عند حدوث خطأ في thread يعمل بمستوى المستخدم ولم يكن هناك exeptionhandler
    الناتج يكون هو اغلاث البروسس الذي يحوي thread
    لكن عند حدوث خطئ اثناء عمل thread بمستوى النظام ولم يكن هناك exeptionhandler مناسب فأن النظام ينهار
    وتظهر الشاشة الزرقاء bsod


    ملخص ان هنام ring0 تعني تحكم تام بالذاكرة وتستطيع استخدام كافة التعلميات الخاصة لل kernel rootkit
    اما ال ring3 تعني محدودية في الذاكرة المتاحة والتعليمات المتاحة وتستخدم مع ال user rootkit



    المكونات الاساسية للكرنل التي يهاجمها الروت كيت :

    i/o manager: وحدات الادخال والاخراج من خلال ما يتم كتابتة على لوحة المفاتيح ومراقبة الاتصال بالانترنت
    Device & File System Drivers اخفاء العمليات والثريد Process and thread handles
    Security Reference Monitor: ايقاف رخص الحماية والفحص اي ما يقوم به الكرنل من فصل بين العمليات في الذاكرة
    Process and Thread Manager: لاخفاء العمليات
    Configuration Manager : لاخفاء مفاتيح الرجستري (تخطي جدران الحماية )

    يجب الاخذ بالاعتبار ان هناك بنية في نظام التشغيل وهي الجداول ويوجد نوعين من الجداول
    يستخدمها cpu لتسهيل اتخاذ القرار مثل معالجة Interrupts
    وجداول يستخدمها النظام التشغيل ولا يستخدمها المعالج مثل System Service Dispatch Table) SSDT )

    ويمكن تصنيف GDT & LDT تحت اسم Memory Descriptor Tables


    الشرح فقط لافآدة الاعضآء وشكرآ لكم على المتآبعة ^^
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة