книги хакеры / журнал хакер / 141_Optimized

Отдал? Хорошо. В этой статье мы будем распиливать циркулярной пилой такие вещи, как Driver Signature Enforcement, немало оза-

ботившую в свое время драйверописателей, а также TLS — Thread Local Storage, этакого неотъемлемого и скрытого соседа любого PE-файла.

Êîå-÷òî î Driver Signature Enforcement

Какизвестно, начинаясWindows Vista, парниизMicrosoft серьезно озаботилисьзагрузкойнеподписанных(читай— чужих) драйверовв систему(дляVista речьидето64-битнойверсии). Впервуюочередьэто былосделано, наверное, длязащитысистемыотруткитов, основная боеваячастькоторыхзависитотдрайвераядра. Врезультатеэтопривелоквсевозможнымпроблемам, доставшимсясистемнымразработчикам, занятымвразработкедрайверов. Теперьдляуспешнойзагрузки драйверавWindows Vista/7 нужнабылацифроваяподпись, аеенужно былопокупатьзанемаленькиеденьгиутакихкомпаний, какVerisign или

Thawte.

Разработчикируткитовиз-заэтихновостейнесильноогорчились. Вместотого, чтобыогорчаться, ониначалиискать«левые» путиилазейки, позволяющиегрузитьнеподписанныедрайверавсистему. Унихэто, традиционно, получилось, ипервойсрединихбыланашалюбимая красавица— Рутковска.

Янебудурассказыватьтебеобэтихспособах, онихтывполнесможешь прочестьвинтернете. Вместотого, чтобыестьчужуюрыбу, мылучше возьмемсвоюудочкуипосмотрим, чтоможновыудитьизэтогозабавно-

гомеханизма— Driver Signature Enforcement.

Его«сердцем» являетсябиблиотекасi.dll, которая, каквсегда, располагаетсявпапке/%systemroot%/system32. Экспортирует онаследующие функции:

•CiCheckSignedFile

•CiFindPageHashesInCatalog

•CiFindPageHashesInSignedFile

•CiFreePolicyInfo

•CiGetPEInformation

•CiInitialize

•CiVerifyHashInCatalog

Самаяинтереснаяздесьфункция— CiInitialize, онаимпортируется ядромвовремяпроцессаинициализациисистемы, еепсевдокодвыглядитпримернотакимобразом:

VOID SepInitializeCodeIntegrity()

{

ULONG CiOptions; {spipped...}

memset( g_CiCallbacks, 0, 3*sizeof ( SIZE_T )); CiOptions = 4|2;

if(KeLoaderBlock)

{

if(*(ULONG*)(KeLoaderBlock+84))

{

if(SepIsOptionPresent((KeLoaderBlock+84), L"DISABLE_INTEGRITY_CHECKS"))

CiOptions = 0; if(SepIsOptionPresent((KeLoaderBlock+84),

L"TESTSIGNING")) CiOptions |= 8;

}

CiInitialize(CiOptions,(KeLoaderBlock+32),

CODING

F8 при загрузке Vista – отключим проверку циф-

ровой подписи

&g_CiCallbacks);

}

}

Самоеинтересноездесьто, чтоCiInitialize возвращаетобратновядро триуказателянафункции:

g_CiCallbacks[0] = CI!CiValidateImageHeader,

g_CiCallbacks[1] = CI!CiValidateImageData,

g_CiCallbacks[2] = CI!CiQueryInformation.

Запомнимэтоипосмотримназаконченныйстеквызововфункцийна самомраннемэтапеинициализациисистемы:

nt!SepInitializeCodeIntegrity nt!SepInitializationPhase1 + 0x1a1 nt!SeInitSystem + 0x29 nt!Phase1InitializationDiscard + 0x7ce nt!Phase1Initialization + 0xd nt!PspSystemThreadStartup + 0x9e nt!KiThreadStartup + 0x19

Какздесьможноувидеть, SepInitializeCodeIntegrity (авернее, CiInitialize) создаетнекиенеобходимыевдальнейшемусловиядля успешнойзагрузкисистемы. ЕслимыполеземвглубьCiInitialize, то увидим, чтоэтафункцияпроверяетвалидностьдрайверов, находящихсявBoot Driver List (тоесть, грузящихсяпристарте). Есливовремя этогопроцессабудутобнаруженыошибки, топроцессзагрузкибудет остановлен.

Продолжаемрассматриватьпроцессзагрузкидрайвероввсистему. СтеквызововсистемныхфункцийвэтомслучаевVista/7 будетвыглядетьследующимобразом:

nt!MmLoadSystemImage

nt!MiObtainSectionForDriver

nt!MiCreateSectionForDriver

nt!MmCheckSystemImage

Windows Boot Manager вернул0xc0000428 при проверке драйвера tcpip.sys

nt!NtCreateSection

nt!MmCreateSection

nt!MiValidateImageHeader

nt!SeValidateImageHeader

nt!_g_CiCallbacks[0] ò.å. CI!CiValidateImageData

Интересдлянаспредставляет SeValidateImageHeader — онапроверяет, естьлицифроваяподписьудрайвера.

Делаетонаэтоследующимобразом:

Сначалаидетпроверкапеременнойnt!g_CiEnabled (еесмысл, думаю, расшифровыватьнетнеобходимости:)) и, еслионаустановленавTRUE, проверитзначениеуказателяnt!g_CiCallbacks[0]. Еслипоследнийне равенNULL, товызоветэтуфункциюивернетуправление. Еслиже nt!g_CiCallbacks[0] будетпустым, тоонавернетстатус0xc0000428, чтов переводенаобщечеловеческийязыксоответствует«Windows cannot verify the digital signature of this file».

Еслижепеременнаяnt!g_CiEnabled равнаFALSE, тофункциявыделит впамятиодинбайт, скопируеттудауказательнасвойпервыйаргумент, послечегосчистойсовестьювернетSTATUS_SUCCESS. Все! Воттаким вотнехитрымспособомWIndows Vista / 7 проверяетналичиеивалидностьцифровойподписи, чтобызагрузитьдрайвер.

Вывод: проверкатого, будетлизагружендрайвервсистему, зависит всеголишьотоднойпеременной. Иесликто-либозахочетвыключить этупроверку— все, чтонужнобудетсделать— этопереписатьвпамяти одинбайт. Правда, сделатьэтобудетдовольносложно, потомучтони nt!g_CiEnabled, ниnt!g_CiCallbacks неэкспортируютсяядроминайтиих будетпроблематично.

RTFM

ЧтотызнаешьоTLS? Thread Local Storage, илилокальнаяпамятьпотока

— наверное, самаядокументированнаяизсамыхнедокуметированных возможностейWindows.

Итак, онообычноиспользуетсяпрограммистамивмногопоточных приложениях. Рихтервсвоейбиблиисистемногопрограммирования приводиттакойпример— скаждымпотокомвTLS связываетсядата ивремя, когдаонбылсоздан. Вмоментуничтоженияпотокаможно

посчитатьвремя, втечениекоторогопотоксуществовал. Сценарии, где естьданные, которыесвязаныодновременноиспрограммойвцелом, исотдельнымпотокомвчастности, вынуждаютиспользоватьTLS. Например, пустьпроцессвладеетнекоторыммассивом. Каждыйэлемент массивавместесегосодержимымсоответствуетотдельномупотоку. Откудапотокузнает, какойиндексвглобальноммассиве— его? Да, можно передатьфункциипотокаThreadProc параметрввидеиндекса… ноэто всеизвестныесторонымедали. ЧтонележитнаповерхностиTLS? Что мыонемнезнаем?

РеализациямеханизмаTLS вWindows предусматриваетдваварианта

— явный, которыйможнозадействоватьнаборомфункций, импорти-

руемыхkernel32 (TlsGetValue, TlsSetValue, TlsAlloc иTlsFree), ивторой,

неявный, которыйпозволяетсоздаватьииспользоватьтакназываемые локальныепеременныепотока, длячегоприихобъявлениииспользуется__declspec(thread) . Тыможешьспросить: «Вчемжеразницамежду ними?». Отвечу: прииспользованииTLS всвоихгрязныхцеляхследует помнитьободнойнеочевиднойвещи— воперационкахдоWindows Vista использованиепеременных, объявленныхкак__declspec(thread) вбиблиотеке, котораягрузитсяявночерезвызовLoadLibrary(Ex), закончитсяошибкойAccess Violation. Почему? Вседеловтом, что ключевоеслово__declspec(thread) имеетнекоторыеограничения. Если библиотекаDLL объявляетлюбыенелокальныеданныеилиобъектыкак __declspec( thread ), тоэтоможетпривестиксбоюзащитыпридинамическойзагрузке. ПослезагрузкибиблиотекиDLL спомощьюфункции LoadLibrary возможенсбойвсистемевсякийраз, когдакодссылается нанелокальныеданные__declspec( thread ). Пространствоглобальных переменныхдляпотокавыделяетсявовремявыполнения, поэтому размерданногопространстваопределяется, исходяизрасчетовтребованийприложения, атакжетребованийвсехстатическикомпонуемых библиотекDLL. ПрииспользованиифункцииLoadLibrary несуществует способарасширенияэтогопространства, чтобыразрешитьобъявление локальныхпеременныхпотокасключевымсловом__declspec (thread). ПоэтомувтакихслучаяхвбиблиотекахDLL следуетиспользоватьAPIфункцииTLS, такиекакTlsAlloc, чтобыразместитьTLS, еслибиблиотека DLL загружаетсяспомощьюфункцииLoadLibrary.

XÀÊÅÐ 10 /141 10

Уф, надеюсь, доступноразъяснил. Ночтостого? КакTLS можноиспользоватьвконтекстекомпьютернойбезопасности? Авоттак! PE-форматподдерживаетфункцииобратноговызова(TLS-callback),

автоматическивызываемыесистемойдопередачиуправлениянаточку входа. Вчастности, этопозволяетопределитьналичиеотладчикаили скрытновыполнитьнекоторыедействия. ЕслиPE-файлимеетсвои калбэки, онимогутизменятьтаблицуTLS вовремяисполнения. Этозначит, что, еслиутебяустановленодинкалбэк, онлегкосможетдобавить другиекалбэкивовремяисполнения.

TLS используетсявбольшомколичествепротекторов, защит, вирусов, crackme ипрочихпрограмм, находящихсявсференашихстобойобщих интересов. Blacklight используютнекоторыеантиотладочныеприемы,

начинающиесяссозданияcallback таблицыTLS (Thread Local Storage). Blacklight’s TLS callback пытаетсяобманутьотладчик, создаваякопию главногопроцесса(fork) дотого, какобъектпроцессаполностьюсоздан. Некоторыевирусывнедряютсяисключительнопутеммодифицированиявсегочетырехбайт— указателянаTLS-таблицу, расположеннуюв памяти(воднойизсистемныхDLL), гденаходитсяуказательнакоманду передачиуправлениянаshell-код.

Конечно, подобнаятехникавнедренияработаеттольконатойверсии операционнойсистемы, подкоторуюоназаточена, ноантивирусытаких вирусовнеобнаруживают. Иливообщенеобращаютвниманиянаиз-

менениеdirectory table.

Кстати, еслитебяинтересуетиспользованиеTLS вкачествеантиотладочногоприема— подробностичитайвотличнойстатьеК. Касперски «ИсчерпывающееруководствопоприготовлениюивзломуTLS» (http:// www.xakep.ru/magazine/xa/118/080/1.asp).

Заключение

Будемнадеяться, чтопрочтениеэтойстатьисмоглосделатьтебяпродвинутымпользователемкомпьютера. Ачтоделаетпродвинутыйпользователь? Беретотладчикиковыряетвсеподряд. Отэтогоонстановится ещеболеепродвинутымпользователем:). Вобщем, двигайсявперед, читай][, идапребудетстобойСила! z

121

ЗАЧЕМНУЖНОВСЕЭТО?

Для начала определимся, зачем админу средства для создания LiveCD. Наша цель — резервное копирование системы, но причем здесь LiveCD? Оказывается, это довольно удобно. Мы убиваем вот сколько зайцев сразу:

•Создаем средство для восстановления системы. Предположим, ты настроил свою систему, поднял все сетевые службы, отредактировал их конфиги. Но завтра из-за очередного перепада напряжения сгорел винт. Опять все заново настраивать? Если ты накануне создал LiveCD, то тебе нечего беспокоиться. Заменил винт, загрузился с LiveCD (конечно, это будет LiveDVD, но по старинке мы здесь и далее будем называть его LiveCD) и установил систему вместе со всеми параметрами на новый винт. И все! На всю эту операцию будет потрачено полчаса. Пользователи и начальство будут тебе благодарны за столь оперативное «воскрешение» сервера. А теперь представь, что ты создал обычный бэкап с помощью tar/tgz. Тебе нужно минимум 40 минут на установку системы, потом время на восстановление бэкапа, плюс один лишний ребут. Однозначно времени будет потрачено больше.

•Создаем средство для клонирования системы. Когда предприятие покупает компьютерный парк, то, как правило, все компьютеры однотипные (исключение составляют, разве что, серверы — они должны быть мощнее, и компьютеры начальства — у них должна быть мощная видеокарта :)). Вот теперь представь, что тебе нужно настроить каждый новый компьютер. А их может быть 10, 20, 50! Можно поступить проще. Настроить один компьютер, создать бэкап в виде LiveCD и «развернуть» этот бэкап на всех остальных компах сети. Пусть настройка одного компьютера займет полтора часа (установка системы + настройка), создание LiveCD — еще минут 30 (тут все зависит от способностей компьютера, потому что от тебя требуется ввод всего одной команды), затем запись образа на болванки. Да, именно на «болванки», потому что тебе нужно будет создать несколько копий LiveCD, чтобы ты смог одновременно устанавливать систему на несколько компьютеров. Затем

еще минут 40 ожидания, и сразу будет настроено N компьютеров, где число N зависит от количества имеющихся болванок. Удобно? Думаю, да. Без LiveCD ты бы потратил полтора часа на каждый компьютер. 10 компов = 15 часов (два рабочих дня). А так ты настроишь эти 10 компов примерно за четыре часа. Остальное время можно делать вид, что настраиваешь компы, и ничего не делать. А время идет, зарплата на- числяется! И еще — созданные «клоны» системы можно использовать в будущем, если компьютерный парк будет расширяться.

• Возможность создания LiveUSB — загрузочная живая флешка понадобится для восстановления/клонирования операционки нетбука и других компов, где нет DVD -привода. Средства создания LiveCD позволяют также создать и загрузочную флешку.

Не нужно думать, что бэкап в виде LiveCD может использоваться только для копирования/восстановления файлов самой системы. Можно копировать и пользовательские данные из /home, лишь бы их размер не превысил размера DVD-диска. Хотя можно использовать двухслойные диски (двухсторонние использовать не удобно), что позволит увели- чить объем резервируемой инфы.

КАКИЕСРЕДСТВАМЫБУДЕМРАССМАТРИВАТЬ?

Самым мощным средством для клонирования твоего тукса является Clonezilla. Этот продукт может не только создать LiveCD, но и развернуть систему по сети. На сайте разработчиков http://clonezilla. org можно найти следующую информацию: за 10 минут Clonezilla SE

развернул по сети образ 5,6 Гб на 41 компьютер сети. В итоге все компы были настроены всего за 10 минут. Правда, для такой сетевой установки нужно развернуть специальный сервер, но об этом позже. Кроме того, Clonezilla может использоваться для бэкапа компьютеров, работающих под управлением Windows и FreeBSD.

Если тебе не нужно такое мощное средство, можно ограничиться утилитой Remastersys Backup (http://www.geekconnection.org/remastersys/). Правда, эта утилита рассчитана только на Debian и Ubuntu (а также на

другие дистрибутивы, основанные на Debian), поэтому она не подойдет тебе, если ты используешь, скажем, Fedora или Mandriva.

Любителям Slackware подойдет скрипт Linux Live (http://www.linuxlive.org). Этот скрипт позволяет создать как LiveCD, так и LiveUSB. Почему именно Slackware описан в этой статье? Да потому что этому отличному дистрибутиву почему-то уделяется мало внимания на фоне «попсовых» дистров вроде Ubuntu.

Подобные утилиты можно найти и для других дистрибутивов, например, утилита mklivecd (подобна Remastersys Backup) используется для создания LiveCD на базе Mandriva. Вот, пожалуй, мы и назвали самое главное. Рассмотреть абсолютно все подобные утилиты мы не можем — журнал-то ведь не резиновый.

CLONEZILLA:БЕСПЛАТНЫЙАНАЛОГNORTON GHOST

Clonezilla — программа непростая, сейчас мы рассмотрим лишь один из примеров ее использования (а именно — создание LiveCD и

восстановление системы с его помощью), а познакомиться с остальными возможностями программы можно в документации или на сайте разработчиков.

Итак, для создания/восстановления бэкапа нужно выполнить следующие действия:

1.Скачай с http://clonezilla.org/download/sourceforge/ ISO-образ Clonezilla Live и запиши его на болванку;

2.Загрузись с болванки Clonezilla Live, загрузочное меню представлено ниже. Нужно выбрать команду Clonezilla live. Если возникнут проблемы (например, с видеокартой), можно выбрать команду Other modes of Clonezilla live и выбрать другой режим загрузки Clonezilla. Ты увидишь процесс загрузки Debian — тут все как обычно, нужно просто подождать;

3.Далее нужно выбрать язык. Русского, к сожалению, пока не предвидится. Далее нужно выбрать раскладку клавиатуры, но так как раскладку изменять нам не нужно (а зачем?), выбери вариант «Don't touch keymap»;

4.Выбери команду «Start Clonezilla»;

5.Выбери режим device-image: создание файла образа раздела. Режим device-device используется для бэкапа раздела, при этом сам бэкап будет помещен на другой раздел;

6.Далее нужно выбрать, куда будет сохранен образ, или откуда он будет прочитан (в случае восстановления системы по образу). Выбери local_ dev, что означает локальное устройство. Также образ можно получить (или записать) по SSH, NFS (Network File System, а не Need For Speed!) и из сети MS Windows (samba_server);

7.Далее нужно выбрать раздел, где будут храниться образы. Если ты создаешь образ, то на этот раздел он будет сохранен, а если восстанавливаешь образ, то Clonezilla будет искать его на этом разделе;

8.Далее нужно выбрать одну из команд. Команда savedisk используется для сохранения всего диска, saveparts — для сохранения одного или нескольких разделов диска, restoredisk — для восстановления образа диска на локальный диск, restoreparts — для восстановления образа раздела, команда recovery-iso-zip используется для создания «живого» диска восстановления;

9.Если ты выбрал команду восстановления образа, то далее нужно выбрать образ, который нужно использовать;

10.Вводим устройство (имена устройств соответствуют именам устройств в Linux), на которое нужно развернуть образ. Будь внимателен, чтобы не развернуть образ раздела на весь диск — потеряешь остальные разделы!

11.Если ты выбрал команду recovery-iso-zip для создания LiveDVD/USB, то нужно также выбрать режим: iso — будет создан образ для записи на DVD, zip — образ для записи на LiveUSB, both — будут созданы оба файла, которые могут использоваться впоследствии для создания как LiveDVD, так и LiveUSB. Созданный файл (файлы) будет сохранен в каталоге /home/partimag.

Вот и все! Как видишь, все довольно просто. Программа работает с устройствами (дисками, разделами) напрямую, поэтому при создании/ восстановлении бэкапа все равно, под какой операционной системой работает компьютер.

REMASTERSYS BACKUP: БЭКАП ДЛЯDEBIAN/UBUNTU

В отличие от Clonezilla, которая напрямую работает с устройствами, Remastersys Backup устанавливается на компьютер, работающий под управлением Debian или Ubuntu, запускается под управлением этой операционной системы и создает ISO-образ системы, под управлением которой она запущена.

Порядок работы с Remastersys следующий: ты настраиваешь свою систему, устанавливаешь Remastersys, запускаешь Remastersys, создаешь ISO-образ, который потом нужно будет записать на болванку.

Первым делом установим Remastersys. Открой файл sources.list:

sudo nano /etc/apt/sources.list

Добавь в него следующую строку:

# Если у тебя установлен GRUB v1