Libro: Rootkits - Subverting the Windows Kernel

Los rootkits son backdoors que dan a un atacante el acceso permanente y prácticamente indetectable a los sistemas que explota. Ahora, dos de los principales expertos mundiales, Greg Hoglund y James Butler, han escrito su primera guía completa sobre rootkits: qué son, cómo funcionan, cómo construirlos y cómo detectarlos. En este libro revelan lo que nunca antes se dijo sobre los aspectos ofensivos de la tecnología rootkit. Con su lectura, podrás aprender cómo un atacante puede llegar a entrar y permanecer en un sistema durante años sin ser detectado.

Hoglund y Butler muestran exactamente cómo destripar los kernels de Windows XP y Windows 2000, enseñando conceptos que también se pueden aplicar a prácticamente cualquier sistema operativo moderno, desde Windows Server 2003 hasta Linux y Unix. Usando una gran cantidad de ejemplos, se enseñan técnicas de programación de rootkits que pueden ser utilizados por un amplia gama de software, desde herramientas de seguridad hasta drivers y depuradores.

Después de leer este libro podrás:

- Comprender el rol de los rootkits con los comandos/control remoto y el espionaje de software.
- Construir rootkits de kernel que puedan hacer invisibles procesos, ficheros o directorios.
- Aprender las técnicas clave de programación de rootkits, incluyendo hooking, runtime patching y manipulación directa de los objetos del kernel.
- Trabajar con drivers de capas para implementar sniffers de teclado y filtros de fichero.
- Detectar rootkits y construirs HIPS para resistir sus ataques.

El libro, escrito en inglés, presenta los siguientes contenidos:


Table of Contents

Preface.
Acknowledgments.
About the Authors.
About the Cover.

1. Leave No Trace.

Understanding Attackers’ Motives.
What Is a Rootkit?
Why Do Rootkits Exist?
How Long Have Rootkits Been Around?
How Do Rootkits Work?
What a Rootkit Is Not.
Rootkits and Software Exploits.
Offensive Rootkit Technologies.
Conclusion.

2. Subverting the Kernel.
Important Kernel Components.
Rootkit Design.
Introducing Code into the Kernel.
Building the Windows Device Driver.
Loading and Unloading the Driver.
Logging the Debug Statements.
Fusion Rootkits: Bridging User and Kernel Modes.
Loading the Rootkit.
Decompressing the .sys File from a Resource.
Surviving Reboot.
Conclusion.

3. The Hardware Connection.
Ring Zero.
Tables, Tables, and More Tables.
Memory Pages.
The Memory Descriptor Tables.
The Interrupt Descriptor Table.
The System Service Dispatch Table.
The Control Registers.
Multiprocessor Systems.
Conclusion.

4. The Age-Old Art of Hooking.
Userland Hooks.
Kernel Hooks.
A Hybrid Hooking Approach.
Conclusion.

5. Runtime Patching.
Detour Patching.
Jump Templates.
Variations on the Method.
Conclusion.

6. Layered Drivers.
A Keyboard Sniffer.
The KLOG Rootkit: A Walk-through.
File Filter Drivers.
Conclusion.

7. Direct Kernel Object Manipulation.
DKOM Benefits and Drawbacks.
Determining the Version of the Operating System.
Communicating with the Device Driver from Userland.
Hiding with DKOM.
Token Privilege and Group Elevation with DKOM.
Conclusion.

8. Hardware Manipulation.
Why Hardware?
Modifying the Firmware.
Accessing the Hardware.
Example: Accessing the Keyboard Controller.
How Low Can You Go? Microcode Update.
Conclusion.

9. Covert Channels.
Remote Command, Control, and Exfiltration of Data.
Disguised TCP/IP Protocols.
Kernel TCP/IP Support for Your Rootkit Using TDI.
Raw Network Manipulation.
Kernel TCP/IP Support for Your Rootkit Using NDIS.
Host Emulation.
Conclusion.

10. Rootkit Detection.
Detecting Presence.
Detecting Behavior.
Conclusion.


Comentarios

  1. A esperar que salga en librerías... El que este buscando en google el nombre no significa que lo busque en descarga directa... xD

    ResponderEliminar
  2. Los rootkits no son BACK-DOORS ni tampoco virus, Pueden ser utilizado por los chicos malos o NO, Es solo un tipo tecnologia/tecnica.

    ResponderEliminar

Publicar un comentario