domingo, 30 de noviembre de 2008

Ocultación de procesos en Windows: DKOM

DKOM (Direct Kernel Object Manipulation) es una técnica que, basándose en el acceso al espacio de memoria del kernel, nos vá a permitir modificar el estado de los objetos del sistema. En concreto, nos vá a permitir:

  • Ocultar procesos, drivers o puertos.
  • Elevar el nivel de privilegio de un hilo y por tanto del proceso al que pertenece.
  • Dificultar el análisis forense del sistema.

En esta entrada vamos a centrarnos en la ocultación de procesos, y para ello analizaremos una prueba de concepto que he desarrollado con dicha finalidad, dkomdriver. Para programarlo he consultado diferentes fuentes de información las cuales incluyo en el apartado de bibliografía.

Leer más...

sábado, 22 de noviembre de 2008

Procesos e hilos de ejecución en Windows (II)

Voy a retomar el argumento de la primera entrada para centrarme, en este caso, en el objeto _EPROCESS (bloque ejecutivo de proceso) manejado por el kernel del sistema. Tal y como mencioné, se trata de la forma que tiene Windows de agrupar toda la información y recursos necesarios asociados con un proceso.

Analizaremos, utilizando la herramienta WinDbg la cual se incluye con las Microsoft Debugging Tools, los datos que conforman la estructura _EPROCESS y mencionaremos el significado de algunos de los más importantes. Todos los valores para los offsets incluidos aquí son particulares de un sistema Windows XP SP2, y esto es relevante dado que muchos de ellos variarán de una versión de Windows a otra, e incluso de un Service Pack a otro.

Leer más...

miércoles, 12 de noviembre de 2008

Volcados de la memoria física desde Windows

En este artículo vamos a dar un breve repaso a los diferentes métodos que existen actualmente para, mediante recursos software, obtener volcados de la memoria física en sistemas Windows. En una futura entrada veremos las herramientas disponibles para analizar cada uno de los tipos de volcados obtenidos.

Leer más...

miércoles, 5 de noviembre de 2008

Live View: arrancando un fichero de imagen

Live View es una herramienta utilísima, con un interfaz gráfico basado en java. Nos permite, a partir de una imagen en formato raw (un fichero obtenido mediante dd, por ejemplo), crear los ficheros de configuración necesarios para arrancar el sistema contenido en la imagen como una máquina virtual de vmware.

Leer más...