Криптография

Очень много информации о программе можно получить путем анализа обращений, которые она делает к библиотечным функциям. Например, при использовании протокола SSL (Secure Sockets Layer) применение сниффера не дает никаких результатов, т. к. все сообщения, передаваемые по сети, оказываются зашифрованы. Но под Windows большинство программ для доступа к сети, так или иначе, используют библиотеку wsock32.dll (Windows [...]

Аналогично, протокол РОРЗ (Post Office Protocol — Version 3), описание которого впервые было опубликовано в 1988 году (RFC 1081), при аутентификации передавал пароль пользователя только открытым текстом.

Для перехвата данных, передаваемых по сети, используются специальные программы, называемые снифферами (sniffer). Как правило, снифферы способны перехватывать все сообщения, передаваемые между устройствами внутри физического сегмента сети, к которому подключен компьютер со сниффером.

Очень многие процессы внутри Windows управляются с помощью сообщений. Разумеется, существуют программы, позволяющие отслеживать и протоколировать, какие именно сообщения были переданы тому или иному процессу.

Устройства ввода-вывода невозможно исследовать пассивными средствами,  зато обращения к ним можно протоколировать.

Для доступа к памяти процесса можно использовать функции стандартного Win32 API. В операционных системах семейства NT некоторые процессы могут быть запущены с атрибутами безопасности, не позволяющими простым пользователям получать доступ к внутренностям процесса. Но это делается для того, чтобы защитить ядро операционной системы в многопользовательской среде. А в случаях исследования программ, как правило, пользователь может [...]

Монитор реестра (Registry Monitor) и монитор доступа к файлам (File Monitor) — это активные инструменты.
А пассивные инструменты просто запоминают состояния реестра или файлов и по расхождениям позволяют определить, что именно изменилось.

Для того чтобы найти какую-нибудь информацию в ресурсах исполняемого модуля, можно воспользоваться даже таким инструментом, как редактором Microsoft Visual Studio. Но лучше использовать специализированные редакторы ресурсов, которых существует довольно много. Эти редакторы, как правило, позволяют просматривать ресурсы известных типов (например текстовые строки, иконки, картинки и описания диалогов) в естественном виде, а незнакомые ресурсы — в [...]

Для защиты от отладки программа должна уметь определять наличие отладчика. Для обнаружения того же Softlce разработано более десяти способов.
Но в некоторых случаях можно определить, что программа исследуется при помощи отладчика по косвенным признакам, таким как время выполнения.

Отладчики уровня ядра (Kernel-mode Debuggers) встраиваются внутрь операционной системы и имеют гораздо больше возможностей, чем отладчики пользовательского уровня. Из ядра операционной системы можно контролировать многие процессы, не доступные другими способами. Одним из самых мощных и часто используемых отладчиков уровня ядра является Softlce, разработанный в компании NuMega Labs (Compuware Corporation).

Правда, стоит отметить, что, например, дизассемблер IDA Pro имеет весьма мощные средства расширения (подключаемые модули и язык сценариев), предоставляя тем самым возможность нейтрализовать все попытки противодействия дизассемблированию и последующему анализу.

Для большинства популярных средств упаковки и шифрования кода исполняемых модулей давно разработаны автоматические или полуавтоматические распаковщики. А для того чтобы узнать, чем именно запакован тот или иной модуль, можно воспользоваться специальными программами-идентификаторами, которые по некоторым характерным признакам способны опознавать название и версию используемого средства защиты, а также версию компилятора, применявшегося при разработке программы.

Два основных способа исследования программного кода — это дизассемблирование и отладка.
Используя дизассемблер, можно посмотреть, как устроена программа, какие команды и в какой последовательности должны выполняться, к каким функциям идет обращение и т. д. В общем случае дизассемблер не способен восстановить исходный текст программы, написанной на языке высокого уровня, таком как С или Pascal. Результатом работы [...]

Активные инструменты, в свою очередь, могут использоваться только для протоколирования (мониторинга) хода выполнения программы или для явного воздействия на ход выполнения программы: подмены данных, исправления результатов проверки условий и т. д.

При исследовании программ специалисту приходится пользоваться различными инструментами, позволяющими более эффективно выполнять поставленные задачи. Эти инструменты способны поднять производительность труда аналитика в несколько раз. О существующих инструментах и их возможностях полезно знать и разработчикам средств безопасности, чтобы более эффективно создавать трудности аналитикам, которые будут пытаться найти дыры в защите.