книги хакеры / журнал хакер / xa-266_Optimized

УЧИМСЯ ИДЕНТИФИЦИРОВАТЬ АРГУМЕНТЫ ФУНКЦИЙ

ОПРЕДЕЛЕНИЕ КОЛИЧЕСТВА И ТИПА ПЕРЕДАЧИ АРГУМЕНТОВ

Как уже было сказано­ выше, аргумен­ ты­ могут передавать­ ся­ либо через стек, либо через регистры­ , либо и через стек, и через регистры­ сразу­ , а также­ неявно­ через глобаль­ ные­ переменные­ .

Если­ бы стек был задейство­ ­ван только­ для передачи­ аргумен­ ­тов, подсчи­ ­ тать их количество­ было бы относитель­ ­но легко­ . Увы, стек активно исполь ­ зуется­ и для времен­ ­ного хранения­ регистров­ с данными­ . Поэтому­ , встретив­ инструк­ ­цию «заталкивания­ » PUSH, не торопись идентифици­ ­ровать ее как аргу ­ мент. Узнать количество­ байтов­ , переданных­ функции­ в качестве­ аргумен­ тов­ , невозможно­ , но достаточ­ но­ легко­ определить­ количество­ байтов­ , выталкива­ ­ емых из стека­ после­ завершения­ функции­ !

Если­ функция­ следует­ соглашению­ stdcall (или PASCAL), она наверняка­ очищает­ стек командой­ RET n, где n и есть искомое­ значение­ в байтах­ . Хуже с cdecl-функци­ ­ями. В общем случае­ за их вызовом следует­ инструк­ ­ция ADD RSP, n, где n — искомое­ значение­ в байтах­ , но возможны­ и вариации­ : отло ­ женная­ очистка­ стека­ или выталкивание­ аргумен­ тов­ в какой нибудь свобод­ ­ ный регистр. Впрочем­ , отложим­ головолом­ ки­ оптимиза­ ции­ на потом, а пока ограничим­ ся­ лишь кругом­ неоптимизи­ рующих­ компилято­ ров­ .

Логич­ ­но предположить­ , что количество­ занесенных­ в стек байтов­ равно­ количеству­ выталкива­ ­емых, иначе­ после­ завершения­ функции­ стек окажет­ ­ся несбалан­ ­сирован­ным и программа­ рухнет­ (о том, что оптимизи­ ­рующие ком ­ пиляторы­ допускают­ дисбаланс­ стека­ на некотором­ участке­ , мы помним­ , но поговорим­ об этом потом). Отсюда­ следует­ : количество­ аргумен­ ­тов равно­ количеству­ переданных­ байтов­ , деленному­ на размер­ машинного­ слова­ . Под машинным­ словом­ понимается­ не только­ два байта­ , но и размер­ операн­ ­ дов по умолчанию­ , в 32-разрядном­ режиме машинное­ слово­ равно­ четырем байтам­ (двойное­ слово­ ), в 64-разрядном­ режиме машинное­ слово­ — это учетверен­ ­ное слово­ (восемь байтов­ ).

Верно­ ли это? Нет! Далеко не всякий­ аргумент­ занимает­ ровно­ один эле ­ мент стека­ . Взять тот же тип int, отъеда­ ющий­ только­ половину­ . Или символь­ ­ ную строку­ , переданную­ не по ссылке­ , а по непосредс­ твен­ ному­ значению­ : она «скушает­ » столько­ байтов­ , сколько­ захочет. К тому же строка­ может засылаться­ в стек (как и структура­ данных­ , массив­ , объект­ ) не командой­ PUSH, а с помощью MOVS! Кстати­ , наличие MOVS — явное свидетель­ ство­ передачи­ аргумен­ та­ по значению­ .

Если­ я успел окончатель­ ­но тебя запутать, то попробу­ ­ем разложить­ по полочкам­ тот кавардак­ , что образовал­ ­ся в твоей­ голове. Итак, анализом­

кода вызывающей­ функции­ установить­ количество­ переданных­ через стек аргумен­ тов­ невозможно­ . Даже количество­ переданных­ байтов­ определя­ ется­ весьма­ неуверен­ но­ . С типом передачи­ полный­ мрак. Позже­ мы к этому­ еще вернемся­ , а пока вот пример­ . PUSH 0x404040 / CALL MyFunc — эле ­ мент 0x404040 — что это: аргумент­ , передаваемый­ по значению­ (то есть кон ­ станта­ 0x404040), или указатель­ на нечто­ , расположен­ ­ное по смещению­ 0x404040, и тогда­ , стало­ быть, передача­ происхо­ ­дит по ссылке­ ? С ходу опре ­ делить это невозможно­ , не правда­ ли?

Но не волнуй­ ­ся, нам не пришли­ кранты­ — мы еще повоюем­ ! Большую­ часть проблем­ решает­ анализ­ вызываемой­ функции­ . Выяснив­ , как она манипулиру­ ­ет переданными­ ей аргумен­ ­тами, мы установим­ и их тип, и количество­ ! Для этого­ нам придет­ ­ся познакомить­ ­ся с адресаци­ ­ей аргумен­ ­ тов в стеке­ , но, прежде­ чем приступить­ к работе, рассмот­ ­рим в качестве­ небольшой­ разминки­ следующий­ пример­ :

#include <stdio.h>

#include <string.h>

struct XT {

char s0[20];

int x;

};

void MyFunc(double a, struct XT xt) {

printf("%f,%x,%s\n", a, xt.x, &xt.s0[0]);

}

int main() {

XT xt;

strcpy_s(&xt.s0[0], 13, "Hello,World!");

xt.x = 0x777;

MyFunc(6.66, xt);

}

Вывод­ нашего приложе­ ния­

Резуль­ тат­ его компиляции­ компилято­ ром­ Microsoft Visual C++ с включен­ ной­ поддер­ жкой­ платформы­ x64 и в релизном­ режиме, но с выключен­ ной­ опти ­ мизацией­ (/Od) выглядит­ так:

main	proc near
var_58	= byte ptr -58h
Dst	= byte ptr -38h
var_24	= dword	ptr -24h
var_20	= qword	ptr -20h
; Инициализируем		стек
push	rsi
push	rdi

Отсутс­ твие­ явной инициали­ зации­ регистров­ говорит о том, что, скорее­ всего­ , они просто­ сохраня­ ются­ в стеке­ , а не передаются­ как аргумен­ ты­ . К тому же, как мы помним­ , на платформе­ x64 первые­ четыре параметра­ целочисленно­ го­ типа или указате­ ли­ передаются­ в регистрах­ процес­ сора­ : RCX, RDX, R8, R9. Если присутс­ ­тву­ют дополнитель­ ­ные аргумен­ ­ты, то они передаются­ по старин­ ­ ке — через стек. Между­ тем если аргумен­ ­ты передавались­ данной­ функции­ через регистры­ RSI и RDI, то их засылка­ в стек вполне­ может преследовать­

цель передачи­ аргумен­ ­тов следующей­ функции­ .

sub	rsp, 68h
mov	rax, cs:__security_cookie
; Инвертируем значение вершины стека, результат сохраняем в RAX
xor	rax, rsp
; Далее	это значение записываем в переменную
mov	[rsp+78h+var_20], rax
mov	eax, 1
imul	rax, 0
; В регистр RAX помещаем указатель на область памяти:
lea	rax, [rsp+rax+78h+Dst]

IDA нам подска­ зала­ , что в регистр R8, служащий­ для передачи­ параметров­ , помещается­ строка­ "Hello,World!" из констан­ ты­ Src, которая находится­ в сег ­ менте данных­ , предназна­ чен­ ном­ только­ для чтения­ , .rdata:

lea	r8, Src ; "Hello,World!"

В 32-битный­ регистр EDX, также­ предназна­ ­чен­ный для передачи­ параметров­ , записываем­ число­ байтов­ :

mov	edx, 0Dh ; SizeInBytes

В регистр RCX попадает­ указатель­ на область памяти, заданную­ выше, теперь можно­ предположить­ , что это целевой буфер для копирования­ данных­ :

mov	rcx, rax ; Dst

Наше­ предположе­ ­ние оправдалось­ , следующей­ командой­ осущест­ ­вля­ется вызов функции­ для копирования­ массива­ символов­ :

call cs:__imp_strcpy_s

Прототип­ безопасной­ функции­ errno_t strcpy_s(char *dest rsize_t dest_size, const char *src);, где rsize_t попросту­ является­ синонимом­ size_t, не позволя­ ет­ определить­ порядок занесения­ аргумен­ тов­ , однако­ посколь­ ку­ все библиотеч­ ные­ С функции­ следуют­ соглашению­ cdecl, то аргу ­ менты­ заносятся­ справа­ налево. Из этого­ следует­ , что исходный код выглядит­

так: strcpy_s(&buff[0], 13,"Hello,World!");.

Но, может быть, программист­		использовал­	преобра­		зова­	ние­ , скажем­ ,
в stdcall? Крайне­ маловероят­	но­ : для этого­ пришлось­			бы перекомпилиро­			вать­

и саму strcpy_s — иначе­ откуда­ бы она узнала­ , что порядок занесения­ аргу ­

ментов­

изменил­ ся­ ? Хотя обычно­ стандар­ тные­

библиоте­

ки­ поставля­

ются­

с исходными­ текста­ ми­ , их перекомпиляци­

ей­

практичес­

ки­

никто­ и никогда­

не занимается­

.

Заносим­

в локальную­

переменную­

констан­

ту­ 0x777. Это явно констан­

та­ ,

а не указатель­ , так как у Windows в этой области памяти не могут хранить­ ся­ никакие пользователь­ ские­ данные­ :

mov [rsp+78h+var_24], 777h

Готовим­	параметры­ для выполнения­				цикличес­	кой­	операции­	, размещая­	их
в регистрах­		:
lea	rax,		[rsp+78h+var_58] ; Указатель на начало области памяти
приемника
lea	rcx,		[rsp+78h+Dst]	; Указатель на начало области
памяти источника
mov	rdi,		rax ; Приемник
mov	rsi,		rcx ; Источник
; Теперь RSI			и RDI содержат, соответственно, адреса источника и
приемника
mov	ecx,		18h

В последней­ строке­ предыду­ щего­ листинга­ в регистр ECX, занимающий­ ниж ­ ние 32 бита регистра­ RCX, помещаем­ количество­ байтов­ для копирования­ .

Вот она, передача­ строки­ по значению­ , другими­ словами­ — передача­ цепочки­ байтов­ :

rep movsb

Вниматель­ ­но рассмот­ ­рим действие­ этой команды­ . MOVSB копирует­ один байт, она относит­ ся­ к семейству­ команд передачи­ данных­ MOVS, где заключитель­ ­ ная буква­ определя­ ет­ размер­ данных­ : B — байт, W — слово­ , D — двойное­ сло ­ во и так далее. Для задания параметров­ команды­ на платформе­ x64 исполь ­ зуются­ регистры­ RSI и RDI, в первый­ помещается­ адрес источника­ в сегменте­ данных­ , во второй­ — адрес приемни­ ка­ в дополнитель­ ном­ сегменте­ . Опре ­ деление­ параметров­ хорошо прослежива­ ется­ в предыду­ щем­ листинге­ .

Чтобы­ повторить­ действие­ команды­ MOVSB, перед ней указыва­ ­ется пре ­ фикс REP. Кроме­ того, чтобы­ процес­ ­сор знал, сколько­ раз надо повторить­ выполнение­ команды­ , перед ее вызовом необходимо­ поместить­ это значение­

в регистр RCX (или ECX). Таким образом­ , после­ выполнения­ команды­ MOVSB значение­ в регистре­ уменьшает­ ся­ на единицу­ . И цикл выполнения­ команды­ продол­ жает­ ся­ , пока в RCX (ECX) не появится­ ноль. Строчкой­ выше в нашем дизассем­ бли­ рован­ ном­ листинге­ как раз и осущест­ вля­ ется­ эта операция­ : mov ecx, 18h. Переведем­ число­ в десятичную­ форму­ , получим 24 повторения­ .

Навер­ ­няка ты заметил, что на старших­ моделях процес­ ­сора x86 программист­ может обращать­ ­ся только­ к нижней­ половине­ регистров­ младшей­ модели. Таким образом­ , на 64-битном­ процес­ ­ соре мы можем обращать­ ­ся только­ к нижней­ половине­ 32-битных­ регистров­ . Но так было

не всегда­ , на 16-битных­				Intel-совмести­			мых­	про ­
цессорах­	программист­			мог	обращать­		ся­ также­
к старшей­		половине­		8-битных­		регистров­			.
С выходом 80386 Intel подзабила­						на это, зап ­
ретив обращать­			ся­ к старшей­		половине­ регистров­				.

Из этого­ можно­ сделать­ вывод, что программа­ копирует­ 24 байта­ . Давай раз ­ бираться­ , почему байтов­ 24, когда­ несколь­ ­кими строками­ выше для копиро ­ вания строки­ нам хватило­ только­ 13 байт? Как обычно­ , не подсмат­ ­ривая исходник, займем­ позицию хакера.

После­ инициали­ ­зации стека­ значение­ регистра­ RSP указыва­ ­ет на вершину­ стека­ , которая находится­ по самому младшему­ адресу­ , тогда­ как дно рас ­ полагается­ по самому старшему­ адресу­ , посколь­ ку­ стек растет­ сверху­ вниз. Указатель­ на начало целевого­ буфера памяти выглядит­ так: [rsp+78h+var_58]. Взглянув­ в начало листинга­ рассмат­ рива­ емой­ функции­ , выясним­ , что «динамичес­ кая­ переменная­ » var_58 равна­ -58h. «Динамичес­ ­

кая переменная­ »		в том смысле­ ,		что значение­		представ­ ляет­				собой
не переменную­ , а только­ смещение­				относитель­	но­	вершины­		стека­ . Тогда­
как значение­	Dst	из выражения­	[rsp+78h+Dst], указыва­				ющее­		на буфер

памяти источника­ , равно­ -38h.

Для упрощения­ вычислений­ примем­ RSP = 0: адрес источника­ [78h – 38h] = 40h, адрес приемни­ ка­ — [78h – 58h] = 20h. Все равно­ картина­

не складыва­ ется­ . Обрати­ внимание­ на строчку­ mov [rsp+78h+var_24], 777h. Адрес переменной­ равен 54h. Это уже нам о чем то говорит. Тип int занимает­ 4 байта­ — 54h + 4h. Отсюда­ имеем­ : 54h – 40h = 14h; 14h + 4h = 18h = 24 в десятичной­ системе­ . Таким образом­ , нам удалось­ воссоздать­ структуру­ , которую задумал программист­ при написании­ своего­ приложе­ ­ния.

struct XT {

char s0[20];

int x;

};

Сначала­ следует­ 20 однобай­ ­товых символов­ типа char, а затем четырехбай­ ­ товый int. Далее в RDX помещаем­ указатель­ на буфер, куда на предыду­ ­щем

шаге была скопиро­		вана­	структура­		. Посколь­		ку­ RDX использует­ ся­ для передачи­
аргумен­ тов­ , отметим­ про себя этот момент.
lea	rdx, [rsp+78h+var_58]
movsd	xmm0, cs:__real@401aa3d70a3d70a4 ; a
Заносим­	в XMM0 значение­			констан­		ты­ __real@401aa3d70a3d70a4. Прокрутим­

листинг­ в дизассем­ бле­ ре­ , чтобы­ увидеть­ , чему равно­ ее значение­ :

; .rdata:0000000140002270 ; long double DOUBLE_6_66

.rdata:0000000140002270 __real@401aa3d70a3d70a4 dq 6.66

Как мы помним­ , на платформе­ x64 при передаче­ первых­ четырех значений­

с плавающей­ запятой используют­ ­ся первые­ четыре регистра­ XMM0 — XMM3 из процес­ ­сорно­го расширения­ SSE.

call MyFunc(double,XT)

IDA правиль­ ­но распозна­ ­ла прототип­ вызываемой­ функции­ . Причем­

вобратном порядке­ : сначала­ в стек была скопиро­ ­вана структура­ , затем

врегистр XMM0 — значение­ с плавающей­ запятой. Таким образом­ , параметры­

передаются­ одновремен­ но­ и в регистре­ процес­ сора­ , и в стеке­ .

; Убираем за		собой, деинициализируем стек
xor	eax,	eax
mov	rcx,	[rsp+78h+var_20] ; Значение вершины стека из области
памяти
			; помещаем в регистр RCX
xor	rcx,	rsp	; StackCookie
call	__security_check_cookie
add	rsp,	68h
; Извлекаем из стека значения ранее сохраненных регистров
pop	rdi
pop	rsi
retn

Расположе­ ние­ в стеке­ параметров­ перед вызовом функции­ MyFunc

EMBARCADERO C++BUILDER

Теперь­ посмотрим­ , какой код сгенери­ рует­ компилятор­ Embarcadero C++Builder:

		Настрой­		ки­ проекта­	в C++Builder
main	proc near
var_44	= dword ptr -44h
var_40	= qword ptr -40h
var_38	= qword ptr -38h
var_30	= qword ptr -30h
var_28	= qword ptr -28h
var_20	= qword ptr -20h
var_14	= dword ptr -14h
var_10	= qword ptr -10h
var_8	= dword ptr -8
var_4	= dword ptr -4
sub	rsp, 68h ; Инициализируем стек
; Заполняем регистры
mov	eax, 0Dh ; Число		13
mov	r8d, eax ; Два 32-битных регистра
lea	r9, aHelloWorld ; "Hello,World!"
lea	r10, [rsp+68h+var_28] ; Указатель на пустую область памяти
mov	[rsp+68h+var_4],		0
mov	[rsp+68h+var_8],		ecx
mov	[rsp+68h+var_10], rdx

Готовим­ регистры­ для передачи­ параметров­ функции­ :

mov	rcx, r10 ; Указатель на целевую область				памяти для
копирования
mov	rdx, r8	;	Src — число 13	(символов для	копирования)
mov	r8, r9	;	"Hello,World!"

Теперь­ вызываем­ функцию­ , копирующую­ строку­ , используя­ заданные­ ранее параметры­ :

call strcpy_s

movsd xmm0, cs:qword_44A000

В строке­ выше помещаем­ в регистр XMM0 двойное­ слово­ из констан­ ты­ — чис ­ ло с плавающей­ запятой. Далее помещаем­ в RDX указатель­ на начало пустого­ буфера:

lea	rdx, [rsp+68h+var_40]
mov	[rsp+68h+var_14], 777h

Выше­ в переменную­ помещаем­ констан­ ту­ 0x777. Это важный­ момент, обра ­ тим на него внимание­ . Далее в регистр RCX помещается­ скопиро­ ­ван­ная стро ­ ка, она находится­ аккурат­ перед числом­ : -28h + 14h = -14h, далее, вплоть до вызова функции­ , эта область памяти не перезаписы­ ­вает­ся:

mov	rcx, [rsp+68h+var_28]
mov	[rsp+68h+var_40], rcx
mov	rcx,	[rsp+68h+var_20]
mov	[rsp+68h+var_38], rcx
mov	rcx,	[rsp+50h]

Здесь мы видим новое переупо­ рядо­ чива­ ние­ данных­ в памяти: сначала­ в стек копируется­ строка­ , состоящая­ из 14h байт:

mov	[rsp+68h+var_30], rcx

Затем­ значение­ типа int — 4h байта­ :

mov	[rsp+68h+var_44],	eax
call	MyFunc(double,XT)

После­ вызова функции­ нет очистки­ стека­ . Это последняя­ вызываемая­ фун ­ кция, и очистки­ стека­ не требует­ ся­ — C++Builder ее и не выполняет­ ...

Какой­ странный­ способ­ обнуления­ регистра­ EAX! Visual C++ в этом месте­ пошел проторен­ ­ной дорогой: xor eax, eax, что в разы быстрее­ .

mov	[rsp+68h+var_4], 0
mov	eax, [rsp+68h+var_4]

Обнуление­ EAX нужно­ , чтобы­ функция­ вернула­ 0, даже если она фактичес­ ­ки ничего не возвра­ щает­ . Восста­ нав­ лива­ ем­ RSP — вот почему стек не очищал­ ся­ после­ вызова последней­ функции­ !

add	rsp,	68h
retn
main	endp

Обрати­		внимание­	: по умолчанию­	Visual C++ передает­ аргумен­ ­ты справа­
налево:
...
	lea	rdx, [rsp+78h+var_58]
	movsd	xmm0, cs:__real@401aa3d70a3d70a4
	...

В то же время­ C++Builder — слева­ направо­ :

...

movsd xmm0, cs:qword_44A000

	lea	rdx, [rsp+68h+var_40]
	...
Среди­ стандар­ тных­				типов вызова нет такого, который, передавая­ аргумен­ ты­
слева­ направо­			, поручал бы очистку­ стека­ вызывающей­				функции­	! Выходит,
C++Builder использует­					свой собствен­	ный­ , ни с чем не совмести­			мый­	тип

вызова!

Второе­

отличие­ , которое бросает­

ся­ в глаза­ , — это отсутствие­

непосредс­

­

твенного­

копирования­

строки­ . Однако­ после­ копирования­

строки­ с помощью

функции­

strcpy_s в начале программы­

мы видим следующее­

:

...

lea

r9, aHelloWorld ; "Hello,World!"

lea

r10, [rsp+68h+var_28] ; Указатель на пустую область памяти

...

mov

rcx, r10 ; Указатель на целевую область памяти для

копирования

mov

rdx, r8

; Src — 13

mov

r8, r9

; "Hello,World!"

call

strcpy_s ; Копируем строку

...

Вместо­ второго­ копирования­ здесь присутс­ тву­ ет­ запутанная­ манипуляция­ адресами­ . В остальном­ же оба дизассем­ бли­ рован­ ных­ листинга­ похожи, но в них ощущает­ ся­ характерный­ почерк компилято­ ра­ .

ЗАКЛЮЧЕНИЕ

В сегодняшней­ статье мы только­ начали разбирать­ ­ся в вопросах­ идентифика­ ­ ции аргумен­ ­тов функций­ . Далее нас ждет много­ интерес­ ­ного из жизни­ прог ­ рамм. Например­ , в дальнейшем­ мы рассмот­ ­рим адресацию­ аргумен­ ­тов в стеке­ .

Евгений Дроботун

Постоянный автор «Хакера»

ИСПОЛЬЗУЕМ PYTHON ДЛЯ ДИНАМИЧЕСКОГО АНАЛИЗА ВРЕДОНОСНОГО КОДА

Многие­ вредонос­ ные­ программы­ сопротив­ ляют­ ся­ отладке: они отслежива­ ют­ и блокиру­ ют­ запуск популярных­ утилит­ для мониторин­ га­ файловой­ системы­ , процес­ сов­ и изме ­ нений в реестре­ Windows. Чтобы­ обхитрить такую малварь­ , мы напишем на Python собствен­ ный­ инстру­ мент­ для иссле ­ дования­ образцов вредонос­ ных­ программ­ .

Статичес­ ­кий анализ­ , как ты знаешь­ , подразуме­ ­вает исследова­ ­ние исполня ­ емого­ файла­ без его запуска­ . Динамичес­ ­кий куда увлекатель­ ­нее: в этом слу ­ чае образец­ запускают­ и отслежива­ ­ют все происхо­ ­дящие при этом в системе­ события. Для исследова­ ­теля интерес­ ­нее всего­ операции­ с файловыми­ объ ­ ектами­ , с реестром­ , а также­ все случаи­ создания­ и уничтожения­ процес­ ­сов. Для получения­ более полной­ картины­ неплохо­ было бы отслеживать­ вызовы API-функций­ анализи­ ­руемой программой­ . Разумеется­ , эксперимен­ ­тировать с вредоно­ ­сом нужно­ в изолиро­ ­ван­ной среде­ с использовани­ ­ем виртуаль­ ­ной машины или песочницы­ — иначе­ он может натворить­ бед.

Подробнее­ о методике­ статичес­ кого­ анализа­ вре ­ доносных­ файлов­ ты можешь прочитать­ в статье «Малварь­ на просвет­ . Учимся­ быстро­ искать признаки­ вредонос­ ного­ кода».

Для отслежива­ ния­ жизнеде­ ятель­ нос­ ти­ приложе­ ний­ существу­ ет­ целый арсе ­ нал готовых средств, среди­ которых самое известное­ — утилита­ Process Monitor из Sysinternals Suite. Эта тулза­ в рекламе­ не нуждает­ ся­ , она неплохо­ документирова­ на­ и пользует­ ся­ заслужен­ ной­ популярностью­ . Process Monitor способен­ отслеживать­ все изменения­ в файловой­ системе­ Windows, монито ­ рить операции­ создания­ и уничтожения­ процес­ сов­ и потоков, регистри­ ровать­ и отображать­ происхо­ дящее­ в реестре­ , а также­ фиксировать­ операции­ заг ­ рузки DLL-библиотек­ и драйверов­ устройств­ .

Process Monitor из состава­ Sysinternals Suite

Отсле­ живать­ вызовы API-функций­ можно­ с помощью утилиты­ API Monitor француз­ ской­ компании­ Rohitab. Туториал­ по работе с этой тулзой­ можно­ най ­ ти на сайте­ программы­ , правда­ на английском­ языке­ .

API Monitor

Самый­ главный­ недостаток­ этих утилит­ (как, впрочем­ , и других­ широко рас ­ пространен­ ных­ программ­ такого рода) именно­ в их популярности­ . Потому что с ними отлично знакомы­ не только­ аналити­ ки­ , но и вирусописа­ тели­ . Далеко не любая малварь­ позволит­ использовать­ подобные­ инстру­ мен­ ты­ и без ­ наказанно­ исследовать­ свое поведение­ в системе­ . Наиболее­ продвинутые­ трояны­ фиксиру­ ют­ любые попытки­ запуска­ антивиру­ сов­ и средств анализа­ состояния­ ОС, а затем либо пытаются­ всеми­ правдами­ и неправда­ ми­ при ­ бить соответс­ тву­ ющий­ процесс­ , либо прекраща­ ют­ активные действия­ до луч ­ ших времен­ .

Тем не менее существу­ ют­ способы­ перехитрить­ малварь­ . Один из наибо ­ лее очевид­ ных­ — изобрести­ собствен­ ный­ инстру­ мент­ , который будет уметь (хотя бы частично­ ) то же самое, что делают­ Process Monitor, API Monitor и им подобные­ программы­ . Чем мы, благос­ ловясь­ , и займем­ ся­ .

Для работы мы будем использовать­ Python (не зря же он считает­ ­ся одним из самых хакерских­ языков­ программи­ ­рова­ния). Отслеживать­ интересу­ ­ющие нас события, связан­ ­ные с реестром­ , файловой­ системой­ или процес­ ­сами, можно­ двумя­ путями: используя­ специали­ зиро­ ван­ ные­ API-функции­ Windows

и при помощи механизмов­ WMI (Windows Management Instrumentation,

или инстру­ ­мен­тарий управления­ Windows).

То есть, помимо Python, нам понадобят­ ­ся модуль pywin32 и модуль WMI. Установить­ их очень просто­ (на самом деле достаточ­ ­но поставить­ только­ пакет WMI, а он уже самостоятель­ ­но подгру­ ­зит pywin32):

pip install pywin32

pip install wmi

Чтобы­ отследить­ вызовы API-функций­ , понадобит­ ся­ модуль WinAppDbg. Этот модуль работает­ только­ со второй­ версией­ Python (если говорить точнее­ , то потребу­ ется­ 2.5, 2.6 или 2.7), поэтому­ старый­ Python рано окончатель­ но­ спи ­ сывать в утиль. Тем более что автор WinAppDbg пока не планиру­ ет­ перепи ­ сывать модуль под третью версию­ в связи­ с необходимостью­ рефакторин­ га­ большого­ объема­ кода, о чем прямо­ говорит в документации­ . Установить­ модуль можно­ через pip:

pip install winappdbg

Cкачав­ и установив­ все необходимые­ модули, приступим­ к таинству­ написа ­ ния собствен­ ного­ инстру­ мен­ та­ для динамичес­ кого­ анализа­ малвари­ .

ОТСЛЕЖИВАЕМ ПРОЦЕССЫ

Отсле­ ­живать процес­ ­сы будем с помощью механизма­ WMI. Это делается­ дос ­ таточно­ просто­ :

import wmi

notify_filter = "creation"

process_watcher = wmi.WMI().Win32_Process.watch_for(notify_filter)

while True:

new_process = process_watcher()

print(new_process.Caption)

print(new_process.CreationDate)

Здесь notify_filter может принимать­ следующие­ значения­ :

•"operation" — реагируем­ на все возможные­ операции­ с процес­ ­сами;

•"creation" — реагируем­ только­ на создание­ (запуск) процес­ ­са;

•"deletion" — реагируем­ только­ на завершение­ (уничтожение­ ) процес­ ­ са;

•"modification" — реагируем­ только­ на изменения­ в процес­ ­се.

Далее­ (в третьей­ строке­ ) мы создаем­ объект­ наблюдатель­ process_watcher, который будет срабаты­ ­вать каждый­ раз, когда­ наступа­ ­ет событие с процес­ ­ сами, определен­ ­ное в notify_filter (в нашем случае­ при его запуске­ ). Пос ­ ле чего мы в бесконеч­ ­ном цикле­ выводим имя вновь запущенного­ процес­ ­са и время­ его запуска­ . Время­ представ­ ­лено в виде строки­ в формате­ yyyymmddHHMMSS.mmmmmmsYYY (более подробно­ об этом формате­ можно­ почитать здесь), поэтому­ для вывода времени­ в более привыч­ ­ной форме­ можно­ написать нечто­ вроде­ функции­ преобра­ ­зова­ния формата­ времени­ :

def date_time_format(date_time):

year = date_time[:4]

month = date_time[4:6]

day = date_time[6:8]

hour = date_time[8:10]

minutes = date_time[10:12]

seconds = date_time[12:14]

return '{0}/{1}/{2} {3}:{4}:{5}'.format(day, month, year, hour,

minutes, seconds)

Вообще­ , делать такие вещи просто­ в бесконеч­ ном­ цикле­ не очень хорошо, поэтому­ мы оформим­ все это в виде класса­ , чтобы­ потом запускать­ его

вотдельном­ потоке. Таким образом­ мы получим возможность­ отслеживать­

водном потоке, например­ , моменты­ создания­ процес­ ­сов, а в другом­ — их уничтожения­ . Итак, класс ProcessMonitor:

class ProcessMonitor():

def __init__(self, notify_filter='operation'):

self._process_property = {

'Caption': None,

'CreationDate': None,

'ProcessID': None,

}

self._process_watcher = wmi.WMI().Win32_Process.watch_for(

notify_filter

)

def update(self):

process = self._process_watcher()

self._process_property['EventType'] = process.event_type

self._process_property['Caption'] = process.Caption

self._process_property['CreationDate'] = process.CreationDate

self._process_property['ProcessID'] = process.ProcessID

@property

def event_type(self):

return self._process_property['EventType']

@property

def caption(self):

return self._process_property['Caption']

@property

def creation_date(self):

return date_time_format(self._process_property['CreationDate'

])

@property

def process_id(self):

return self._process_property['ProcessID']

При инициали­

зации­

класса­

мы

создаем­

список­

свойств­

процес­ са­

_process_property в виде словаря­

и определя­

ем­

объект­

наблюдате­

ля­

за процес­ сами­

(при этом значение­

notify_filter может быть определе­

но­

в момент инициали­

зации­

класса­ и по умолчанию­

задано как "operation").

Список­

свойств­ процес­ са­ может быть расширен­

(более подробно­

о свой ­

ствах процес­ сов­ можно­ почитать здесь).

Метод­ update() обновляет­ поля _process_property, когда­ происхо­

дит­

событие, определен­

ное­

значени­

ем­ notify_filter, а методы event_type,

caption, creation_date и process_id позволя­

ют­ получить значения­

соот ­

ветству­ ющих­

полей списка­ свойств­

процес­ са­ (обрати­ внимание­

,

что эти

методы

объявле­

ны­

как

свойства­

класса­ с

использовани­

ем­

декоратора­

@property).

Теперь­ это все можно­ запускать­ в отдельном­ потоке. Для начала создадим­ класс Monitor, наследу­ ­емый от класса­ Thread (из Python-модуля threading):

from threading import Thread

import wmi

import pythoncom

...

# Не забываем вставить здесь описание класса ProcessMonitor

...

class Monitor(Thread):

def __init__(self, action):

self._action = action

Thread.__init__(self)

def run(self):

pythoncom.CoInitialize()

proc_mon = ProcessMonitor(self._action)

while True:

proc_mon.update()

print(

proc_mon.creation_date,

proc_mon.event_type,

proc_mon.name,

proc_mon.process_id

)

pythoncom.CoUninitialize()

При желании цикл можно­ сделать­ прерыва­ емым­ , например­ по нажатию какого либо сочетания­ клавиш­ (для этого­ нужно­ использовать­ возможнос­ ти­ модуля keyboard и его функции­ is_pressed()). Вместо­ вывода результатов­

на экран можно­ писать результат­ работы программы­ в лог файл, для чего применя­ ется­ соответс­ тву­ ющая­ функция­ , которую следует­ использовать­ вмес ­

то print().

Далее­ уже можно­ запускать­ мониторинг­ событий процес­ сов­ в отдельных­ потоках:

#Отслеживаем события создания процессов mon_creation = Monitor('creation') mon_creation.start()

#Отслеживаем события уничтожения процессов mon_deletion = Monitor('deletion') mon_deletion.start()

В итоге­ получим пример­ но­ следующую­ картину­ .

Резуль­ таты­ работы нашего Python-скрипта­ для отслежива­ ния­ событий создания­ и уничтожения­ процес­ сов­

Продолжение статьи →

СЛЕДИМ ЗА ФАЙЛОВЫМИ ОПЕРАЦИЯМИ

Здесь, как мы и говорили­ в начале, можно­ пойти­ двумя­ путями: использовать­ специали­ ­зиро­ван­ные API-функции­ Windows или возможнос­ ­ти, предос­ ­тавля ­ емые механизмом­ WMI. В обоих­ случаях­ мониторинг­ событий лучше­ выпол ­ нять в отдельном­ потоке, так же как мы сделали­ при отслежива­ ­нии процес­ ­ сов. Поэтому­ для начала опишем­ базовый класс FileMonitor, а затем от него наследу­ ­ем класс FileMonitorAPI, в котором будем использовать­ специали­ зиро­ ван­ ные­ API-функции­ Windows, и класс FileMonitorWMI, в котором применим­ механизмы­ WMI.

Итак, наш базовый класс будет выглядеть­ пример­ ­но так:

class FileMonitor:

def __init__(self, notify_filter, **kwargs):

self._notify_filter = notify_filter

self._kwargs = kwargs

self._event_properties = {

'Drive': None,

'Path': None,

'FileName': None,

'Extension': None,

'Timestamp': None,

'EventType': None,

}

@property

def drive(self):

return self._event_properties['Drive']

@property

def path(self):

return self._event_properties['Path']

@property

def file_name(self):

return self._event_properties['FileName']

@property

def extension(self):

return self._event_properties['Extension']

@property

def timestamp(self):

return self._event_properties['Timestamp']

@property

def event_type(self):

return self._event_properties['EventType']

Здесь при инициали­ зации­ также­ использует­ ся­ параметр notify_filter (его возможные­ значения­ определя­ ­ются в зависимос­ ­ти от того, используют­ ­ся API или WMI) и параметр **kwargs, с помощью которого­ определя­ ­ется путь

котслежива­ ­емо­му файлу­ или каталогу­ , его имя, расширение­ и прочее­ . Эти значения­ также­ зависят от использования­ API или WMI и будут конкре­ ­тизи ­ рованы­ уже в классах­ наследни­ ­ках. При инициали­ ­зации класса­ создает­ ­ся словарь­ _event_property для хранения­ свойств­ события: имя диска­ , путь

кфайлу­ , имя файла­ , расширение­ , метка­ времени­ и тип события (по аналогии­

с классом­ мониторин­ га­ событий процес­ сов­ ). Ну а с остальными­ методами­ нашего базового­ класса­ , я думаю, все и так понятно­ : они позволя­ ют­ получить значения­ соответс­ тву­ юще­ го­ поля из словаря­ свойств­ события.

Используем API Windows

В основу­ этого­ варианта­ реализации­ мониторин­ ­га будет положена­ функция­ WaitForSingleObject(). Упомяну­ ­тая функция­ занимается­ тем, что ждет, ког ­

да объект­ (хендл которого­ передан в качестве­ первого­ параметра­ ) перейдет­ в сигналь­ ­ное состояние­ , и возвра­ ­щает WAIT_OBJECT_0, когда­ объект­ изменит­

свое состояние­ . Помимо этой функции­ , в Windows есть весьма­ полезная­ фун ­ кция ReadDirectoryChangesW(), назначение­ которой — следить­ за изме ­

нениями­ файла­ или каталога­ , указан­ ного­ в одном из параметров­ функции­ . Также­ в процес­ се­ мониторин­ га­ мы задейству­ ем­ API CreateFile()

и CreateEvent().

Итак, начнем­ .

# Подключим все необходимые модули

import pywintypes

import win32api

import win32event

import win32con

import win32file

import winnt

class FileMonitorAPI(FileMonitor):

def __init__(self, notify_filter = 'FileNameChange', **kwargs):

#Здесь в качестве **kwargs необходимо указывать

#путь к файлу или директории

#в виде "Path=r'e:\\example\\file.txt'" FileMonitor.__init__(self, notify_filter, **kwargs)

#Получаем хендл нужного файла или каталога self._directory = win32file.CreateFile(

self._kwargs['Path'], winnt.FILE_LIST_DIRECTORY, win32con.FILE_SHARE_READ | win32con.FILE_SHARE_WRITE, None, win32con.OPEN_EXISTING,

win32con.FILE_FLAG_BACKUP_SEMANTICS | win32con.FILE_FLAG_OVERLAPPED,

None

)

#Инициализируем структуру типа OVERLAPPED self._overlapped = pywintypes.OVERLAPPED()

#и поместим в нее хендл объекта «событие» в сброшенном

состоянии

self._overlapped.hEvent = win32event.CreateEvent( None,

False,

False, None

)

#Выделим память, куда будет записана информация

#об отслеживаемом файле или каталоге

self._buffer = win32file.AllocateReadBuffer(1024)

#Здесь будет число байтов сведений о файле или каталоге,

#записанных при наступлении события

self._num_bytes_returned = 0

# Установим «наблюдатель» за событиями (его мы опишем ниже)

self._set_watcher()

Значения­ параметра­ notify_filter коррелиру­ ­ют с констан­ ­тами

FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME

или FILE_NOTIFY_CHANGE_LAST_WRITE. Для их преобра­ ­зова­ния мы ниже опи ­ шем специаль­ ­ный метод. Также­ определим­ метод update(), с помощью которого­ и будем обновлять сведения­ о произо­ ­шед­шем событии.

def update(self):

while True:

# Ждем наступления события (поскольку второй параметр 0, то

время

# ожидания бесконечно)

result = win32event.WaitForSingleObject(self._overlapped.

hEvent, 0)

if result == win32con.WAIT_OBJECT_0:

# Если событие произошло, то получим размер сохраненных

сведений о событии

self._num_bytes_returned = win32file.GetOverlappedResult(

self._directory,

self._overlapped,

True

)

# Поместим информацию о событии в _event_properties

self._event_properties['Path'] = self._get_path()

self._event_properties['FileName'] = self._get_file_name(

)

...

self._set_watcher()

break

Напишем­ метод установ­ ки­ «наблюдате­ ля­ » за событиями­ в файловой­ системе­ (в ней мы задейству­ ем­ функцию­ ReadDirectoryChangesW()):

def _set_watcher(self):

win32file.ReadDirectoryChangesW(

self._directory,

self._buffer,

True,

self._get_notify_filter_const(),

self._overlapped,

None

)

Посколь­ ­ку в качестве­ одного­ из параметров­ ReadDirectoryChangesW() при ­ нимает­ констан­ ­ты, определя­ ­ющие тип отслежива­ ­емо­го события, то опре ­ делим метод, преобра­ ­зующий значения­ параметра­ notify_filter в указан­ ­ ные констан­ ­ты.

def _get_notify_filter_const(self):

if self._notify_filter == 'FileNameChange':

return win32con.FILE_NOTIFY_CHANGE_FILE_NAME

...

Здесь для простоты­ показано­ преобра­ зова­ ние­ в констан­ ту­ только­ одного­ значения­ notify_filter, по аналогии­ можно­ описать­ преобра­ зова­ ние­ дру ­

гих значений­ notify_filter в констан­ ты­ FILE_NOTIFY_CHANGE_DIR_NAME

или FILE_NOTIFY_CHANGE_LAST_WRITE.

Далее­ определим­ методы, возвра­ ­щающие сохранен­ ­ные в буфере _buffer свойства­ события при наступле­ нии­ этого­ события. Возвра­ щающий­ тип события метод выглядит­ так:

def _get_event_type(self):

result = ''

if self._num_bytes_returned != 0:

result = self._ACTIONS.get(win32file.FILE_NOTIFY_INFORMATION(

self._buffer, self._num_bytes_returned)[0][0], 'Uncnown')

return result

В этом методе использует­ ­ся констан­ ­та _ACTIONS, содержащая­ возможные­ действия­ с отслежива­ ­емым файлом­ или каталогом­ . Эта констан­ ­та определе­ ­ на в виде словаря­ следующим­ образом­ :

_ACTIONS = {

0x00000000: 'Unknown action',

0x00000001: 'Added',

0x00000002: 'Removed',

0x00000003: 'Modified',

0x00000004: 'Renamed from file or directory',

0x00000005: 'Renamed to file or directory'

}

Метод­ , возвра­ щающий­ путь к отслежива­ емо­ му­ файлу­ :

def _get_path(self):

result = ''

if self._num_bytes_returned != 0:

result = win32file.GetFinalPathNameByHandle(

self._directory,

win32con.FILE_NAME_NORMALIZED

)

return result

Метод­ , возвра­ щающий­ имя отслежива­ емо­ го­ файла­ , которое было сохранено­ в _buffer при наступле­ нии­ события:

def _get_file_name(self):

result = ''

if self._num_bytes_returned != 0:

result = win32file.FILE_NOTIFY_INFORMATION(

self._buffer, self._num_bytes_returned)[0][1]

return result

Задей­ ство­ вать­ это все можно­ следующим­ образом­ (по аналогии­ с монито ­ рингом­ процес­ сов­ ):

from threading import Thread

import pywintypes

import win32api

import win32event

import win32con

import win32file

import winnt

...

# Не забываем вставить здесь описание классов FileMonitor и

FileMonitorAPI

...

# Опишем класс Monitor, наследуемый от Thread

class Monitor(Thread):

def __init__(self):

Thread.__init__(self)

def run(self):

# Используем значение notify_filter по умолчанию

file_mon = pymonitor.FileMonitorAPI(Path=r'e:\\example')

while True:

file_mon.update()

print(file_mon.timestamp,

file_mon.path,

file_mon.file_name,

file_mon.event_type

)

#Создадим экземпляр класса Monitor mon = Monitor()

#Запустим процесс мониторинга mon.start()

Используем WMI

Монито­ ­ринг событий файловой­ системы­ с использовани­ ­ем WMI похож на ранее рассмот­ ­ренное отслежива­ ­ние событий с процес­ ­сами. Для того что ­ бы следить­ за изменени­ ­ями конкрет­ ­ного файла­ , восполь­ ­зуем­ся следующим­ кодом:

import wmi

notify_filter = "creation"

# «Наблюдатель» за изменениями в файле

file_watcher = wmi.WMI().CIM_DataFile.watch_for(

notify_filter, Drive = 'e:', Path=r'\\example_dir\\', FileName=

'example_file', Extension = 'txt'

)

while True:

# Выводим информацию о событии с файлом

new_file = file_watcher()

print(new_file.timestamp)

print(new_file.event_type)

Здесь видно­ , что, помимо параметра­ notify_filter, еще передаются­ параметры­ , определя­ ющие­ файл, события которого­ необходимо­ отсле ­ живать. Обрати­ внимание­ на особен­ ность­ написания­ параметра­ Path с модификато­ ром­ r (он нужен для того, чтобы­ получить требуемое­ количество­ слешей­ разделите­ лей­ в строке­ ).

Для отслежива­ ­ния изменений­ в каталоге­ , а не в файле­ вместо­ класса­ CIM_DataFile необходимо­ использовать­ класс CIM_Directory (более под ­ робно о работе с файловой­ системой­ с помощью WMI можно­ почитать здесь):

directory_watcher = wmi.WMI().CIM_Directory.watch_for(

notify_filter, Drive = 'e:', Path=r'\\example_dir\\'

)

Конеч­ но­ , все это желательно­ оформить­	в виде класса­ — наследни­		ка­
от нашего базового­ класса­ FileMonitor, описан­ ного­		выше, чтобы­ монито ­

ринг событий файловой­ системы­ можно­ было запустить­ в отдельном­ потоке. В целом полную­ реализацию­ описан­ ных­ классов­ по мониторин­ гу­ файловой­ системы­ можно­ посмотреть­ на моем гитхабе­ .

Продолжение статьи →

МОНИТОРИМ ДЕЙСТВИЯ С РЕЕСТРОМ

Так же как и события файловой­ системы­ , события реестра­ можно­ отсле ­ живать либо с помощью специали­ зиро­ ван­ ных­ API-функций­ , либо с исполь ­ зованием­ механизмов­ WMI. Предлагаю­ , как и в случае­ с событиями­ файловой­ системы­ , начать с написания­ базового­ класса­ RegistryMonitir, от которого­ наследовать­ классы­ RegistryMonitorAPI и RegistryMomitorWMI:

class RegistryMonitor:

def __init__(self, notify_filter, **kwargs):

self._notify_filter = notify_filter

self._kwargs = kwargs

self._event_properties = {

'Hive': None,

'RootPath': None,

'KeyPath': None,

'ValueName': None,

'Timestamp': None,

'EventType': None,

}

@property

def hive(self):

return self._event_properties['Hive']

@property

def root_path(self):

return self._event_properties['RootPath']

@property

def key_path(self):

return self._event_properties['KeyPath']

@property

def value_name(self):

return self._event_properties['ValueName']

@property

def timestamp(self):

return self._event_properties['Timestamp']

@property

def event_type(self):

return self._event_properties['EventType']

Здесь

в **kwargs

передаются­

параметры­

Hive, RootPath, KeyPath

и ValueName, значения­

которых и определя­

ют­ место­ в реестре­ , за которым

мы будем следить­

. Значение­

параметра­ notify_filter, как и в предыду­

щих­

случаях­

, определя­

ет­

отслежива­

емые­

действия­

.

Используем API

Здесь мы так же, как и в случае­ с файловой­ системой­ , используем­ связку­ API-

функций­ CreateEvent() и WaitForSingleObject(). При этом хендл отсле ­

живаемо­ ­го объекта­ получим с использовани­ ­ем RegOpenKeyEx() со значени­ ­ ем последне­ ­го параметра­ (которым определя­ ­ется доступ­ к желаемо­ ­му ключу­ реестра­ ):

class RegistryMonitorAPI(RegistryMonitor):

def __init__(self, notify_filter='UnionChange', **kwargs):

RegistryMonitor.__init__(self, notify_filter, **kwargs)

# Создаем объект «событие»

self._event = win32event.CreateEvent(None, False, False, None

)

#Открываем нужный ключ с правами доступа на уведомление

изменений

self._key = win32api.RegOpenKeyEx( self._get_hive_const(), self._kwargs['KeyPath'],

0, win32con.KEY_NOTIFY

)

#Устанавливаем наблюдатель

self._set_watcher()

Функция­ _get_hive_const() преобра­ ­зует имя куста­ реестра­ в соответс­ ­тву ­

ющую			констан­	ту­	(HKEY_CLASSES_ROOT,			HKEY_CURRENT_USER,
HKEY_LOCAL_MACHINE, HKEY_USERS или HKEY_CURRENT_CONFIG):
	def _get_hive_const(self):
	if self._kwargs['Hive'] == 'HKEY_CLASSES_ROOT':
		return win32con.HKEY_CLASSES_ROOT
	...
	if self._kwargs['Hive'] == 'HKEY_CURRENT_CONFIG':
		return win32con.HKEY_CURRENT_CONFIG
Сам		же	«наблюдатель­		»	реализуем­	с	помощью	API-функции­

RegNotifyChangeKeyValue():

def _set_watcher(self):

win32api.RegNotifyChangeKeyValue(

self._key,

True,

self._get_notify_filter_const(),

self._event,

True

)

Здесь _get_notify_filter(), исходя­ из значения­ notify_filter, выдает­ констан­ ту­ , определя­ ющую­ событие, на которое будет реакция­

(REG_NOTIFY_CHANGE_NAME, REG_NOTIFY_CHANGE_LAST_SET), или их дизъ ­

юнкцию:

def _get_notify_filter_const(self):

if self._notify_filter == 'NameChange':

return win32api.REG_NOTIFY_CHANGE_NAME

if self._notify_filter == 'LastSetChange':

return win32api.REG_NOTIFY_CHANGE_LAST_SET

if self._notify_filter == 'UnionChange':

return (

win32api.REG_NOTIFY_CHANGE_NAME |

win32api.REG_NOTIFY_CHANGE_LAST_SET

)

Метод­ update() практичес­ ки­ полностью­ повторя­ ет­ таковой из класса­

FileMonitorAPI().

def update(self):

while True:

result = win32event.WaitForSingleObject(self._event, 0)

if result == win32con.WAIT_OBJECT_0:

self._event_properties['Hive'] = self._kwargs['Hive']

self._event_properties['KeyPath'] = self._kwargs[

'KeyPath']

...

self._set_watcher()

break

Вообще­

, у

API-функций­

, предназна­

чен­ ных­

для отслежива­

ния­

изменений­

в файловой­

системе­

или в реестре­ , есть особен­ ность­

, заключа­

ющаяся­

в том,

что значение­

времени­

наступле­

ния­ события сами эти функции­

не фиксиру­

ют­

(в отличие­

от классов­

WMI), и в случае­

необходимос­

ти­ это надо делать

самому (к примеру­

, используя­ datatime).

timestamp = datetime.datetime.fromtimestamp(

datetime.datetime.utcnow().timestamp()

)

Данный­ кусочек кода необходимо­ вставить­ в метод update() (как класса­

FileMonitorAPI, так и класса­ RegistryMonitorAPI) после­ провер­ ­ки условия­ появления­ события, и в переменной­ timestamp запишется­ соответс­ тву­ ющее­ время­ .

Используем WMI

Здесь имеется­ два отличия­ относитель­ но­ класса­ FileMonitorWMI. Первое­ :

события, связан­ ­ные с реестром­

, являются­

внешними­

(в то время­ как события,

связан­ ­ные с процес­ ­сами и файловой­

системой­

, — внутренние­

). Второе­ :

для мониторин­ ­га изменений­

в ветке­ реестра­ , ключе­ реестра­ или значении­

,

записанном­

в какой либо ключ, необходимо­

использовать­

разные­

классы­

WMI:

RegistryTreeChangeEvent,

RegistryKeyChangeEvent

или RegistryValueChangeEvent.

Соответс­ ­твен­но, установ­ ­ка «наблюдате­ ­ля» при инициали­ ­зации экземпля­ ­ ра класса­ RegisterMonitorWMI в данном­ случае­ будет выглядеть­ так:

def __init__(self, notify_filter='ValueChange', **kwargs):

RegistryMonitor.__init__(self, notify_filter, **kwargs)

# Подключаем пространство имен с классами внешних событий

wmi_obj = wmi.WMI(namespace='root/DEFAULT')

#Мониторим изменения ветки реестра if notify_filter == 'TreeChange':

self._watcher = wmi_obj.RegistryTreeChangeEvent.watch_for( Hive=self._kwargs['Hive'], RootPath=self._kwargs['RootPath'],

)

#Мониторим изменения ключа реестра

elif notify_filter == 'KeyChange':

self._watcher = wmi_obj.RegistryKeyChangeEvent.watch_for(

Hive=self._kwargs['Hive'],

KeyPath=self._kwargs['KeyPath'],

)

# Мониторим изменения значения

elif notify_filter == 'ValueChange':

self._watcher = wmi_obj.RegistryValueChangeEvent.watch_for(

Hive=self._kwargs['Hive'],

KeyPath=self._kwargs['KeyPath'],

ValueName=self._kwargs['ValueName'],

)

Все остальное­ (в том числе­ и метод update()), в принципе­ , очень похоже на FileMonitorWMI. Полностью­ всю реализацию­ классов­ RegisterMonitor,

RegisterMonitorAPI и RegisterMonitorWMI можно­ посмотреть­ здесь.

МОНИТОРИМ ВЫЗОВЫ API-ФУНКЦИЙ

Здесь, как мы и говорили­ , нам понадобит­ ­ся WinAppDbg. Вообще­ , с помощью этого­ модуля можно­ не только­ перехватывать­ вызовы API-функций­ , но и делать очень много­ других­ полезных­ вещей (более подробно­ об этом можно­ узнать в документации­ WinAppDbg). К сожалению­ , помимо того что модуль ориенти­ ­рован исключитель­ ­но для работы со второй­ версией­ Python, он использует­ стандар­ ­тный механизм отладки Windows. Поэтому­ если анализи­ ­ руемая программа­ оснащена­ хотя бы простей­ ­шим модулем антиотладки­ (а об этих модулях можно­ почитать, например­ , в статьях­ «Антиот­ ­ладка. Теория и практика­ защиты приложе­ ­ний от дебага» и «Библиоте­ ­ка антиотладчи­ ­ка)», то перехватить­ вызовы API не получится­ . Тем не менее это весьма­ мощный­ инс ­ трумент­ , потому знать о его существо­ ­вании и хотя бы в минимальной­ степени­ овладеть­ его возможнос­ ­тями будет весьма­ полезно­ .

Итак, для перехвата­ API-функции­ будем использовать­ класс EventHandler, от которого­ наследу­ ем­ свой класс (назовем его, к примеру­ APIIntercepter). В нем мы реализуем­ нужные­ нам функции­ .

# Не забудем подключить нужные модули

from winappdbg import Debug, EventHandler

from winappdbg.win32 import *

class APIIntercepter(EventHandler):

# Будем перехватывать API-функцию GetProcAddress из kernel32.dll

apiHooks = {

'kernel32.dll' : [

('GetProcAddress', (HANDLE, PVOID)),

],

}

Как видно­ , в составе­ класса­ EventHandler определен­ словарь­ apiHooks, в который при описании­ класса­ наследни­ ка­ необходимо­ прописать­ все перехватыва­ емые­ функции­ , не забыв про названия­ DLL-библиотек­ . Форма­ записи следующая­ :

'<имя DLL-библиотеки_1>' : [

('<имя API-функции_1>', (<параметр_1>, <параметр_2>, <параметр_3>

, ...),

('<имя API-функции_2>', (<параметр_1>, <параметр_2>, <параметр_3>

, ...),

('<имя API-функции_3>', (<параметр_1>, <параметр_2>, <параметр_3>

, ...),

...

],

'<имя DLL-библиотеки_2>' : [

('<имя API-функции_1>', (<параметр_1>, <параметр_2>, <параметр_3>

, ...),

('<имя API-функции_2>', (<параметр_1>, <параметр_2>, <параметр_3>

, ...),

('<имя API-функции_3>', (<параметр_1>, <параметр_2>, <параметр_3>

, ...),

...

],

...

Чтобы­ правиль­ но­ сформировать­ данный­ словарь­ , нужно­ знать прототи­ пы­ перехватыва­ емых­ функций­ (то есть перечень и типы передаваемых­ в функции­ параметров­ ). Все это можно­ посмотреть­ в MSDN.

После­ того как мы определи­ лись­ с перечнем­ перехватыва­ емых­ функций­ , необходимо­ для каждой­ перехватыва­ емой­ API-функции­ написать два метода: первый­ будет срабаты­ вать­ при вызове функции­ , второй­ — при завершении­ ее работы. Для функции­ GetProcAddress() эти методы выглядят­ так:

# Вызывается при вызове GetProcAddress

def pre_GetProcAddress(self, event, retaddr, hModule, lpProcName):

#Выводим информацию при запуске функции

#Получаем имя переданной в GetProcAddress в качестве параметра функции

string = event.get_process().peek_string(lpProcName)

#Получаем ID потока, в котором произошел вызов GetProcAddress

tid	=	event.get_tid()
# Выводим это все на экран
print "%d: Call GetProcAddress: %s" % (tid, string)
# Вызывается		при завершении GetProcAddress

def post_GetProcAddress(self, event, retval):

#Выводим информацию по завершении функции

#Получаем ID потока, в котором произошел вызов GetProcAddress tid = event.get_tid()

#Проверяем наличие возвращаемого значения

if retval:

# Если возвращаемое значение не None, выводим его на экран

print "%d: Success. Return value: %x" % (tid, retval)

else:

print "%d: Failed!" % tid

В метод pre_GetProcAddress первым­ параметром­ передается­ объект­ event, вторым­ — адрес возвра­ ­та, третьим­ и последу­ ­ющи­ми — параметры­ перех ­ ватываемой­ функции­ (здесь это просто­ переменные­ , значения­ которых будут записаны­ после­ очеред­ ­ного вызова перехватыва­ ­емой функции­ , после­ чего их можно­ вывести­ с помощью print). В метод post_GetProcAddress() первым­ параметром­ также­ передается­ объект­ event, вторым­ — возвра­ ­щаемое перехватыва­ емой­ функци­ ей­ значение­ (реальные­ значения­ туда будут записа ­ ны после­ завершения­ работы перехвачен­ ной­ API-функции­ ).

Далее­ напишем функцию­ , которая и установит­ описан­ ­ный нами перех ­ ватчик:

def set_api_interceptor(argv):

# Создаем экземпляр объекта Debug, передав ему экземпляр

APIIntercepter

with Debug(APIIntercepter(), bKillOnExit=True) as debug:

#Запустим анализируемую программу в режиме отладки

#Путь к анализируемой программе должен быть в argv debug.execv(argv)

#Ожидаем, пока не закончится отладка

debug.loop()

И запустим­ эту функцию­ :

import sys

set_api_interceptor(sys.argv[1:])

В итоге­ должна­ получиться­ пример­ но­ такая картина­ .

Перех­ ват­ функции­ GetProcAddress (видно­ , что анализи­ руемый­ файл, ско­ рее всего­ , пытается­ внедрить­ что то в удален­ ный­ поток)

В методах, вызываемых­ при вызове и завершении­ работы API-функции­ (в

нашем случае­ это pre_GetProcAddress() и post_GetProcAddress()), можно­ программи­ ­ровать какие угодно­ действия­ , а не только­ вывод информации­ о вызове API-функции­ , как это сделали­ мы.

ЗАКЛЮЧЕНИЕ

Как видишь, используя­ Python и несколь­ ­ко полезных­ пакетов, можно­ получить довольно­ большой­ объем­ информации­ о событиях­ , происхо­ ­дящих в системе­ при запуске­ той или иной программы­ . Конечно­ , все это желательно­ делать

в изолиро­ ван­ ном­ окружении­ (особен­ но­ если анализи­ ровать­ крайне­ подоз ­ рительные­ программы­ ).

Полностью­ написанный­ код классов­ анализа­ событий процес­ ­сов, фай ­ ловой системы­ и реестра­ можно­ посмотреть­ на моем гитхабе­ . Он также­ при ­ сутству­ ­ет в PyPi, что позволя­ ­ет установить­ его командой­ pip install pywinwatcher и использовать­ по своему­ усмотрению­ .

Валентин Холмогоров valentin@holmogorov.ru

ВЫБИРАЕМ ИНСТРУМЕНТ ДЛЯ ПЕРЕХВАТА И АНАЛИЗА ТРАФИКА

Анализ­ трафика­ — важней­ ший­ этап тестирова­ ния­ на проник­ ­ новение (или даже взлома­ ). В передаваемых­ по сети пакетах можно­ обнаружить­ много­ интерес­ ного­ , например­ пароли для доступа­ к разным­ ресурсам­ и другие­ ценные­ данные­ . Для перехвата­ и анализа­ трафика­ используют­ ся­ снифферы­ , которых человечес­ тво­ придума­ ло­ великое множес­ тво­ . Сегодня­ мы поговорим­ о самых популярных­ снифферах­ под винду­ .

ТЕОРИЯ

Чтобы­ перехватывать­

трафик­ , анализа­

торы­

могут использовать­

перенап ­

равление­

пакетов или задейство­

вать­

так называемый­

Promiscuous mode —

«неразборчи­

вый­ » режим работы сетевого­ адаптера­

, при котором отключает­

­

ся фильтра­ ция­ и адаптер­ принима­

ет­ все пакеты независимо­

от того, кому они

адресова­

ны­ . В обычной­

ситуации­

Ethernet-интерфейс фильтру­ ет­ пакеты

на канальном­

уровне­ . При такой фильтра­ ции­ сетевая карта­ принима­

ет­

только­

широковеща­

тель­

ные­

запросы­

и пакеты, MAC-адрес в заголовке­ которых сов ­

падает­ с ее собствен­

ным­ . В режиме Promiscuous все остальные­

пакеты

не отбрасыва­

ются­

, что и позволя­

ет­ снифферу­

перехватывать­

данные­ .

Теоре­

тичес­

ки­ можно­ собирать вообще­ все пакеты в сегменте­

локальной­

сети, где установ­ лен­

сниффер­ , однако­ в этом случае­

данных­

для последу­

­

ющего­ анализа­

будет слишком­ много­ , да и файлы­ журналов­

быстро­ распухнут­

до совершенно­

неприлич­

ных­

размеров­

. А можно­ настро­ ить­

приложе­

ние­

таким образом­ , чтобы­ оно отлавливало­

трафик­

только­ определен­

ных­

про ­

токолов­

(HTTP, POP3, IMAP,

FTP, Telnet) или анализи­

рова­

ло­ лишь

пер ­

вые 100 байт каждого­

пакета, где обычно­ и содержится­

самое интерес­ ное­ :

адрес целевого­ хоста­ , логины и пароли. Современ­

ные­

снифферы­

могут слу ­

шать в том числе­ и зашифрован­

ный­

трафик­ .

Неред­ ко­ анализа­

торы­

трафика­

применя­

ются­

в «мирных­ »

целях

—

для диагности­

ки­ сети, выявления­

и устранения­

неполадок­ , обнаруже­

ния­ вре ­

доносного­

ПО или чтобы­ выяснить­

, чем заняты пользовате­

ли­ и какие сайты­

они посещают­ . Но именно­ при исследова­

нии­

безопасности­

сетевого­

периметра­ или тестирова­

нии­

на проник­ новение­

сниффер­

—

незаменимый­

инстру­ мент­

для разведки­

и сбора­ данных­ . Существу­ ют­ снифферы­

для раз ­

личных операци­

онных­

систем­ , кроме­ того, подобное­

ПО можно­ установить­

на роутере­ и исследовать­

весь проходя­

щий­

через него трафик­ . Сегодня­ мы

поговорим­

о наиболее­ распростра­

нен­ ных­ популярных­ анализа­

торах­

трафика­

для платформы­

Microsoft Windows.

WIRESHARK

•Произво­ дитель­ : Wireshark Foundation

•Сайт: https://www.wireshark.org

•Лицен­ зия­ : бесплат­ но­

Об этой программе­ знает­ , наверное­ , каждый­ , кто хотя бы раз сталкивал­ ­ся с задачей анализа­ трафика­ . Популярность­ Wireshark вполне­ оправданна­ : во первых­ , данный­ продукт­ беспла­ ­тен, во вторых­ , его возможнос­ ­тей вполне­ хватает­ для решения самых насущных­ вопросов­ , касающих­ ­ся перехвата­ и анализа­ передаваемых­ по сети данных­ . Продукт­ пользует­ ­ся заслужен­ ­ной

популярностью­ у вирусных­ аналити­ ­ков, реверс инженеров­ , системных­ адми ­ нистра­ ­торов и, безусловно­ , пентесте­ ­ров.

Что такое Wireshark, знает­ , наверное­ , каждый­

Этот анализа­

тор­ имеет­ русско­ языч­

ный­

интерфейс, умеет­ работать с большим­

количеством­

сетевых протоко­

лов­ (перечислять­

здесь их все лишено смысла­ :

полный­

список­

можно­ найти­ на сайте­ произво­

дите­

ля­ ). В Wireshark можно­

разобрать­

каждый­

перехвачен­

ный­

пакет на части­ , ­

просмотреть

его заголовки­

и содержимое­

. У приложе­

ния­ очень удобный­

механизм навигации­ по пакетам,

включая­

различные­

алгорит­ мы­

их поиска­ и фильтра­ ции­ , есть мощный­

механизм сбора­ статис­ тики­

. Сохранен­

ные­

данные­

можно­

экспортировать­

в разные­

форматы­

, кроме­ того, существу­ ет­ возможность­

автомати­

зиро­

вать­

работу Wireshark с помощью скриптов­ на Lua и подклю­ чать­

дополнитель­

ные­

(даже разработан­

ные­

самостоятель­

но­ ) модули для разбора­

и анализа­

тра ­

фика.

Помимо­

Ethernet, сниффер­

умеет­ перехватывать­

трафик­

беспро­ вод­ ных­

сетей (стандарты­

802.11

и протокол­

Bluetooth). Тулза­ позволя­

ет­ анализи­

­

ровать трафик­

IP-телефонии­ и восста­ нав­ ливать­

TCP-потоки, поддержи­

вает­

ся­

анализ­ туннелиро­

ван­ ного­

трафика­

. Wireshark отлично справляет­

ся­ с задачей

декодирова­

ния­

протоко­

лов­ , но, чтобы­ понять результаты­

этого­ декодирова­

­

ния, надо, безусловно­

, хорошо разбирать­

ся­ в их структуре­

.

К недостаткам­

Wireshark можно­ отнести то, что восста­ нов­ ленные­

потоки

не рассмат­

рива­

ются­

программой­

как единый­

буфер памяти, из за чего зат ­

руднена­ их последу­

ющая­

обработ­ ка­ . При анализе­

туннелиро­

ван­ ного­

трафика­

использует­ ся­ сразу­ несколь­

ко­ модулей разбора­

, и каждый­

последу­

ющий­

в окне программы­

замещает­ результат­ работы предыду­

щего­

— в итоге­ ана ­

лиз трафика­

в многоуров­

невых­

туннелях­

становит­

ся­ невозможен­

.

В целом Wireshark — не просто­ популярный­ , но очень добротный­

продукт­ ,

позволя­

ющий­

отследить­

содержимое­

гуляющих­

по сети пакетов, скорость­

их

передачи­ , найти­ «проблемные­

места­ » в сетевой инфраструктуре­

. Но в отли ­

чие от коммерчес­

ких­ приложе­

ний­

здесь нет удобных­

инстру­ мен­ тов­ визуали­ ­

зации. Кроме­ того, с помощью Wireshark не так уж и просто­ , например­

,

выловить из трафика­

логины и пароли, а это одна из типичных­ задач при тес ­

тировании­ на проник­ новение­

.

COMMVIEW

•Произво­ дитель­ : TamoSoft

•Сайт: https://www.tamos.ru/products/commview/

•Лицен­ зия­ : платный­ , покупка­ лицензии­ или подписка­

Среди­ существу­ ющих­ ныне снифферов­ CommView — один из самых старых­

и заслужен­ ных­ ветеранов­ , об этом продук­ те­ «Хакер» писал­ еще в 2001 году. Проект­ жив и по сей день, активно развива­ ется­ и обновляется­ : последняя­ на текущий момент версия­ датирована­ 2020 годом. Несмотря­ на то что про ­

дукт платный­ , произво­ ­дитель предлага­ ­ет скачать­ триал­ , который позволя­ ­ет посмотреть­ работу приложе­ ­ния на практике­ — пробная­ версия­ сниффера­ перехватыва­ ­ет трафик­ в течение пяти минут, после­ чего просит­ денег.

CommView — заслужен­ ный­ «ветеран» в мире снифферов­

Программа­ имеет­ русско­ языч­ ный­ интерфейс, что может стать определя­ ющим­ фактором­ при выборе сниффера­ для пользовате­ лей­ , не владеющих­ англий ­ ским. Главное­ преиму­ щес­ тво­ CommView — возможность­ гибко­ настро­ ить­ правила­ фильтра­ ции­ пакетов: можно­ выбрать­ отдельные­ протоко­ лы­ , которые будет отслеживать­ приложе­ ние­ , сортировать­ пакеты по ряду признаков­ , нап ­ ример по размеру­ или заголовку­ . Ассортимент­ поддержи­ ваемых­ протоко­ лов­ также­ весьма­ велик: сниффер­ умеет­ работать с самыми распростра­ нен­ ными­ прикладны­ ми­ протоко­ лами­ , а также­ выполнять­ реконструк­ цию­ TCP-сессии­

иUDP-потока. При этом CommView позволя­ ­ет анализи­ ­ровать трафик­ вплоть до пакетов протоко­ ­лов самого низкого­ уровня­ — TCP, UDP, ICMP, а также­ просматри­ ­вать «сырые» данные­ . Программа­ показывает­ заголовки­ перех ­ ваченных­ пакетов, собирает­ подробную­ статис­ ­тику IP-трафика­ . Сохранен­ ­ные данные­ можно­ экспортировать­ в 12 различных­ форматов­ , начиная с .txt и .csv

изаканчивая­ файлами­ других­ анализа­ ­торов вроде­ Wireshark.

Помимо­ трафика­ на сетевой карте­ , CommView может мониторить­ соеди ­ нения по VPN, а также­ трафика­ , проходя­ ­щего через модемы — аналого­ ­вые, мобильные­ , ADSL, ISDN и другие­ , для чего в систему­ устанав­ ­лива­ется спе ­ циальный­ драйвер­ . Есть возможность­ перехвата­ VoIP-трафика­ и сессий­ SIPтелефонии­ . В состав­ приложе­ ­ния входит­ генератор­ пакетов, с помощью которого­ можно­ отправить­ на заданный­ Ethernet-интерфейс пакет указан­ ­ной длины­ , с произволь­ ­ными заголовками­ и содержимым­ . Есть также­ довольно­ удобный­ просмот­ ­рщик лог файлов­ , позволя­ ­ющий открывать­ файлы­ журналов­ в отдельном­ окне сниффера­ и выполнять­ поиск по их содержимому­ .

Тулза­ , вне всяких­ сомнений­ , крайне­ удобная­ и полезная­ , если бы не «кусачие» цены на лицензию­ . Для профес­ ­сиональ­ного пентесте­ ­ра покупка­ такого инстру­ ­мен­та наверняка­ будет оправданна­ , но ради того, чтобы­ разок «глянуть­ сеть», можно­ поискать­ альтер­ ­натив­ные — более дешевые или бес ­ платные­ решения.

INTERCEPTER-NG

•Произво­ дитель­ : неизвес­ тно­

•Сайт: http://snif.su

•Лицен­ зия­ : бесплат­ но­

Это тоже очень старый­ и убелен­ ­ный сединами­ инстру­ ­мент — впервые­ «Хакер» написал­ о нем еще в 2012 году. C тех пор разрабаты­ ­ваемый нашими соотечес­ ­твен­никами проект­ не только­ не исчез с просторов­ интернета­ , как многие­ его конкурен­ ­ты, но даже активно развивал­ ­ся и совершенс­ ­тво­вал ­ ся — последняя­ актуаль­ ­ная редакция­ сниффера­ датирована­ 2020 годом. Существу­ ­ет версия­ программы­ для Android в виде .APK-файла­ и даже кон ­ сольная­ версия­ этого­ инстру­ ­мен­та для Unix.

В своей­ работе Intercepter-NG использует­ утилиту­ NPcap, портабель­ ­ную версию­ которой, по заверениям­ разработ­ ­чиков, таскает­ с собой. Однако­ практика­ показала­ , что ее либо забыли туда положить, либо в Windows 10 она не работает­ — для запуска­ сниффера­ мне пришлось­ качать NPcap с сайта­ https://nmap.org/npcap/ и устанав­ ­ливать его вручную­ .

Intercepter-NG

Intercepter-NG имеет­ довольно­ симпатич­ ­ный пользователь­ ­ский интерфейс и позволя­ ­ет просматри­ ­вать трафик­ в несколь­ ­ких режимах. Есть обычный­ просмотр­ пакетов и их содержимого­ , в котором можно­ фильтро­ ­вать пакеты с помощью правил­ pcap или использовать­ функцию­ Follow TCP stream для детального­ анализа­ какой либо сессии­ . Есть режим Messengers Mode, в котором тулза­ пытается­ перехватить­ трафик­ мессен­ ­дже­ров — прежде­ всего­ ископаемых­ ICQ, MSN, Yahoo и AIM, но есть там поддер­ ­жка протоко­ ­ла Jabber. С Telegram фокус не удался­ : сниффер­ попросту­ его не увидел­ .

Имеется­ Passwords Mode, в котором на экране­ демонстри­ ­руют­ся вылов ­ ленные из трафика­ логины и пароли, передаваемые­ по протоко­ ­лам FTP, HTTP, SMTP, POP3, IMAP, LDAP, Telnet и другим­ . Режим Resurrection mode позволя­ ­ет восста­ ­нав­ливать файлы­ , передаваемые­ через HTTP, FTP, SMB, IMAP, POP3 и SMTP, — при этом удачно­ восста­ ­нав­лива­ются только­ файлы­ из завер шенных TCP-сессий­ .

Всоставе­ Intercepter-NG имеется­ дополнитель­ ­ный и очень полезный­ инс ­ трумен­ ­тарий. Это простой­ DHCP-сервер­ , служба­ NAT, позволя­ ­ющая трансли­ ­ ровать пакеты ICMP/UDP/TCP между­ различны­ ­ми Ethernet-сегмента­ ­ми сети. Есть несколь­ ­ко сетевых сканеров­ : ARP, DHCP, реализован­ «умный» поиск шлюзов­ . Еще один полезный­ инстру­ ­мент — модуль для организа­ ­ции MiTMатак. Поддержи­ ­вают­ся методы Spoofng (с поддер­ ­жкой протоко­ ­лов

DNS/NBNS/LLMNR), ICMP Redirect, DNS over ICMP Redirect, SSL MiTM, SSLStrip и некоторые­ другие­ .

С помощью программы­ можно­ просканиро­ ­вать заданный­ диапазон­ портов­

впоисках­ работающих­ на них приложе­ ­ний, провес­ ­ти анализ­ связан­ ­ных с эти ­ ми портами­ протоко­ ­лов. Можно­ переключить­ сниффер­ в экстре­ ­маль­ный режим, при котором он будет перехватывать­ все TCP-пакеты без провер­ ­ки портов­ , что позволит­ обнаружить­ в сети приложе­ ­ния, работающие­ на нес ­ тандартных­ и переопре­ ­делен­ных админис­ ­тра­тором портах­ . Правда­ , в этом режиме приложе­ ­ние нещадно­ тормозит­ и периоди­ ­чес­ки зависает­ намертво­ .

Вактуаль­ ­ной версии­ Intercepter-NG появилась­ встроенная­ тулза­ для экс ­ плуата­ ­ции уязвимос­ ­ти Heartbleed — ошибки­ в криптогра­ ­фичес­ком програм­ ­ мном обеспечении­ OpenSSL, с помощью которой можно­ несанкци­ ­они­рован ­ но читать память на сервере­ или на клиенте­ , в том числе­ для извлечения­ зак ­ рытого ключа­ сервера­ . Еще в состав­ пакета был добавлен­ инстру­ ­мент для брутфорса­ и многопо­ ­точ­ный сканер­ уязвимос­ ­тей X-Scan. Иными­ сло ­ вами, из простого­ приложе­ ­ния сетевого­ анализа­ Intercepter-NG понемногу­ превраща­ ­ется в эдакий­ комбайн­ , позволя­ ­ющий не отходя­ от кассы­ прос ­ канировать­ сеть на наличие открытых­ портов­ и незакрытых­ уязвимос­ ­тей, перехватить­ логины с паролями­ и чего нибудь сбрутить­ .

К минусам Intercepter-NG следует­ отнести то, что программа­ распозна­ ­ется как вредонос­ ­ная антивиру­ ­сом Каспер­ ­ско­го и Windows Defender, из за чего

прибива­

ется­

еще на этапе­ загрузки­

с сайта­ произво­

дите­

ля­ . Так

что

для работы со сниффером­

придет­ ся­ отключать­

антивиру­

сы­ , но это довольно­

скромная­

плата­ за возможность­

пользовать­

ся­ столь многофун­

кци­ ональ­

ным­

инстру­ мен­ том­ .

SMARTSNIFF

•Произво­ дитель­ : Nirsoft

•Сайт: http://www.nirsoft.net/utils/smsnif.html

•Лицен­ зия­ : бесплат­ но­

Простень­ кий­ сниффер­ , работающий­ с протоко­ лами­ TCP, UDP и ICMP. Требует­ установ­ ки­ драйвера­ WinPcap и Microsoft Network Monitor Driver версии­ 3.

SmartSnif от Nirsoft

Проект­ изначаль­ но­ разрабаты­ вал­ ся­ под Windows 2000/XP (что, в общем то, заметно­ по его интерфейсу­ ), но жив и по сей день — последняя­ версия­ сниф ­ фера датирована­ 2018 годом. Утилита­ позволя­ ет­ перехватывать­ трафик­ , про ­ ходящий­ через локальную­ машину, и просматри­ вать­ содержимое­ пакетов — больше­ она, собствен­ но­ , ничего не умеет­ .

TCPDUMP

•Произво­ дитель­ : Tcpdump Group

•Сайт: tcpdump.org

•Лицен­ зия­ : бесплат­ но­ (модифициро­ ван­ ная­ лицензия­ BSD)

Написан­ ­ная на С консоль­ ­ная утилита­ , изначаль­ ­но разработан­ ­ная под Unix, но позже­ портирован­ ­ная на Windows, в которой использует­ ­ся WinPcap. Для нормаль­ ­ной работы требует­ наличия админис­ ­тра­тив­ных привиле­ ­гий. Среди­ пользовате­ ­лей Windows более популярна­ версия­ tcpdump с открытым­ исходным кодом под названи­ ­ем WinDump, которую можно­ бесплат­ ­но скачать­

с сайта­ https://www.winpcap.org/windump/.

BURP SUITE

•Произво­ дитель­ : Portswigger

•Сайт: https://portswigger.net/burp

•Лицен­ зия­ : бесплат­ но­ (Community Edition)

Еще один популярный­ у пентесте­ ров­ инстру­ мент­ , предназна­ чен­ ный­ для тес ­ тирования­ безопасности­ веб приложе­ ний­ . Burp входит­ в состав­ Kali Linux, есть версия­ под Windows с 64-битной­ архитек­ турой­ . Этот фреймворк­ недаром называют­ «швейцар­ ским­ ножом пентесте­ ра­ » — в плане­ поиска­ уяз ­ вимостей­ и аудита­ безопасности­ веб приложе­ ний­ ему нет равных­ . Burp Suite включает­ возможнос­ ти­ для отправки­ на удален­ ные­ узлы модифициро­ ван­ ных­ запросов­ , брутфорса­ , фаззинга­ , поиска­ файлов­ на сервере­ и многое­ другое­ .

Собствен­ но­ , в качестве­ сниффера­ Burp совсем­ не универ­ сален­ — он уме ­ ет только­ отслеживать­ трафик­ между­ браузе­ ром­ и удален­ ным­ веб приложе­ ­ нием с использовани­ ем­ перехватыва­ юще­ го­ прокси­ , для работы которого­ с протоко­ лом­ HTTPS требует­ ся­ установить­ в системе­ дополнитель­ ный­ сер ­ тификат. Но для определен­ ных­ целей этого­ может оказать­ ся­ достаточ­ но­ .

Burp Suite Community Edition

Burp перехватыва­ ет­ все пакеты, которые отправляет­ и получает­ браузер­ и, соответс­ твен­ но­ , позволя­ ет­ анализи­ ровать­ трафик­ различных­ веб приложе­ ­ ний, включая­ онлайн мессен­ дже­ ры­ или соцсети­ . Если в исследуемой­ пен ­ тестером­ инфраструктуре­ имеются­ работающие­ через HTTP или HTTPS сер ­ висы, лучшего­ инстру­ мен­ та­ для их тестирова­ ния­ , пожалуй, не найти­ . Но использовать­ Burp только­ в качестве­ сниффера­ HTTP/HTTPS-трафика­ — это все равно­ , что возить с дачного­ участка­ картошку­ на «Ламбор­ джи­ ни­ »: он предназна­ чен­ совсем­ для других­ задач.

ЗАКЛЮЧЕНИЕ

Если­ перефразиро­ ­вать популярную­ песню­ , снифферы­ бывают­ разные­ — и каждый­ из них лучше­ подходит­ для своих­ задач. В целях исследова­ ­ния веб приложе­ ­ний и перехвата­ локального­ HTTP-трафика­ нет ничего лучше­ Burp Suite, для поиска­ проблемных­ мест в собствен­ ­ной локальной­ сети или получения­ списка­ удален­ ­ных узлов, к которым обращает­ ­ся какая либо программа­ , отлично подойдет­ Wireshark. А для атак на сетевую инфраструк ­ туру можно­ использовать­ Intercepter-NG — эта тулза­ располага­ ­ет целым набором полезных­ инстру­ ­мен­тов для тестирова­ ­ния на проник­ ­новение.