Nagu subjekt ütleb, nii ka asjad on. Kuna põhitöö kõrval on olnud turvalisus minu hobiks, siis sai 3 aastat tagasi juba tehtud programmid...
W2K parool mälustTuleta meelde (Outlook Expressi paroolid)Msn paroolid (vanem messangeri formaat)
Need programmid töötavad isegi (kus
protected storage veel kasutusel).
Üldiselt point selles, et lumine nädalavahetus andis aega uuesti uurida asju. Ja ikka asjad logisevad.
W2K ning XP ilma SP oli hea lihtne
HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider
õiget dll välja kutsudes, lobises süsteem rõõmsalt kõik paroolid välja. Msn, Outlook, IE autocomplete.
Nüüd pole enam see storage eriti aktuaalne, MS programmid hakkasid ise paroole hoidma enda formaatides. Nagu alati, mitte just efektiivselt.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
Väidetavalt on seal URL xor võtmeks , miks ma ei imesta:(
Win9x oli täitsa komöödia, kohe winapi
EnumCachedPasswords, mis kõikide ressurside paroolid ütles...oh aegu.
Juhul, kui tarkvaral on natukenegi tugevam parool, siis kasutatakse
IAT hookingutÜldiselt põhjused, miks mõtetu windowsis üldse parooli panna, op. süsteem justkui pahalaste jaoks tehtud (et viirusetõrjet ning troojakate vastast tarkvara saaks ikka müüa).
* Üks windowsi programm saab teisele saata suvalisi messageid.
- lahendus panna vähemalt juurde akna/kiu ID, kes sõnumi saatis, et app saaks teada, kas võtame vastu teate või mitte. Trooja programmid rõõmsalt sulgevad WM_CLOSE abil aknaid, mida klient peaks nägema.
* Teise programmi konteksti kiu loomine.
CreateRemoteThreadLäbi selle API saab kõiksugu jama teha, ntx pahalase DLL laadida.
- minimaalne, et programmis oleks api, mis teavitaks täiendava kiu saabumisest. Samuti protsess, kes seda tahab teha. Programmil accept flag, kas on sellise kiuga nõus.
DllMain - DLL_THREAD_ATTACH, kahjuks see ei toimi nii nagu võiks.
*
VirtualProtectEx /
VirtualAllocEx lubab kaunilt teise protsessi külge mappida puuduvat mälufragmenti.
Ehk pahalane paneb täiendava jmp käsu programmi koodi või muudab mõnda call aadressi ning pidu võib alati piirkonnas, mis küsiti virtualprotectex abil.
- see api ära keelata.
* tegin tarkvara pcturva juba 2003 aastal, et lihtsamalt tuttavate arvutitest leida pahalasi.
Samuti suutis tarkvara heuristiliselt leida windows hooke
Siis Windowsi lisati uued "hook" tüübid, mida pole võimalik leida ja mida saab suvaline tarkvara rakendada !
Setwindowshookex - globaalset "hooki" lubada ainult ja veelkord ainult hiire sündmuste püüdmiseks.
Ja nimekiri on pikk pikk...mis windowsis turvalisuse ära rikub
__________________________________________
Palju toredaid paroole süsteemist..
NirSoft
ja kui unustasite windowsi paroolid, pole probleemi, muudke ära. Kui vaja ka adminni omad...
http://home.eunet.no/pnordahl/ntpasswd/Ps. seda parooli muutmist ei soovita teha, kui teil kettal krüpteeritud failid.
Ehk, milleks vaevata pead paroolide välja mõtlemisega...eriti windowsis...
Andmete kaitseks soovitan kasutada
TrueCrypti , selle tarkvaraga mul kõige vähem probleeme esinenud. Töötab ka Linuxi peal.
Seniks lund meetrite kaupa :))))
