سلام؛

پس از ماجرای جنجالی روتکیت شرکت سونی و حفاظت از مالکیت رسانه ای ، با اعمال تغییرات جدی بر روند و عملکرد سیستم عامل ، و دفاع جدی Greg Hoglund مدیر سایت Rootkit.com از توسل به روتکیتها برای مقاصد امنیتی و کنترلی ، استفاده از این تکنیک در حال توسعه است ، و به عنوان یک نمونهء معروف ، Themida که از مدتها قبل به عنوان یک Kernel Level Protector شناخته میشد ، حالا به یک Security Engine جدید مجهز شده که دقیقا" مانند یک روتکیت با تغییر عملکرد User Mode API و System Service ها ، اصولا" از قواعد عمومی برنامه های Win32 تبعیت نمیکنه ، که روشهای سنتی دستکاری کد ، حافظه و کتابخانه ها برای عبور از اون مفید باشند : http://www.oreans.com/secureengine

در عمل ، با گذشت زمان ، روشهای حفاظتی ، بیشتر از اینکه مانند گذشته به خلاقیت یا افزایش پیچیدگی کد وابسته باشند ، به استفاده از همان روشهائی نزدیک میشن که با استفاده از اونها ، محرمانگی یا امنیت سیستم نقض میشه و در واقع ، عبور کردن از سد چنین تکنیهائی ، مانند پیدا کردن یک روتکیت ، یا مهندسی معکوس اجزاء سطح پائین سیستم عامل خواهد بود .

inprise جان
اگه درست متوجه شده باشم حضرات برای امنیت نرم افزارشون دست به نا امن کردن کامپوتر های خلق ا... می زنند درسته؟
خیلی نامردند
اگه اینطوره باید وجدان شیرفرهاد رو بفرستیم سراغشون:قهقهه:

استفاده از این تکنیکها لزوما" به معنای نا امنی نیست ، اما توسعهء کرنل و توسعه برای کرنل عموما" جزو بخشهای دشوار برنامه نویسی به حساب میاد و اغلب کدهای بزرگ و پیچیده ای که برای سطوح پائین سیستمهای عامل نوشته میشن بسادگی میتونن باعث از کار افتادن اجزاء مختلف و افت کارائی سیستم بشن . اغلب روتکیتها هم همینطور هستند و علیرغم منطق پیچیده ، به لطف خطاهای متداول کد نویسی و دانش نه چندان عمیق توسعه گرانشون ، موارد عدم پاسخگوئیشون از موارد موفق ، بیشتره . این مطلب قرار نیست و نبود که تکنیکی باشه ، اما مثلا" با یک نگاه سطحی به آخرین نگارش WinLicense مشخصه که موتور اصلیش رو چنان که باید خوب ننوشته اند و کلاس LogWriter اش سرشار است از FormatString Bug که اگر کسی بتونه براش یک Exploit خوب بنویسه ، دسترسی به نرم افزاری که از Themida استفاده میکنه ، با هر سطحی از مجوز کاربری ، میتونه منجر به Privilage Scalation و اجرای کد Ring0 بشه . XProtector که مدتها قبل ، بخاطر استفاده از درایورهای سطح کرنل برای حفاظت ، مشهور بود هم به دلائلی مانند این محبوبیت چندانی پیدا نکرد ، اما استفاده از SSDT Hooking و تغییر IDT و GDT که فقط توسط روتکیتها و برای کنترل سیستم سرویسهای کرنل استفاده میشه ، برای اولین باره که توسط یک Protector استفاده میشه .

inprise عزیز
از جوابتون ممنونم
ولی سوالی که هنوز برام مطرحه اینه که آیا اصولا و یا بهتر بگم عموما روتکیت ها رو جزء کدهای مخرب میشناسن یا خیر و آیا محافظت اینچنینی میتونه تا یک سطح قابل قبولی امنیت نرم افزار مورد نظر رو تامین کنه؟
وآیا روشهای احتمالی بهتری تو این زمینه وجود داره
متشکرم:قلب:

1- اینکه روتکیت یک کد مخرب هست یا خیر ، وابسته است به تعریف کلمهء تخریب . خیلیها معتقدند تا وقتی روتکیت ، با هدف ِ مخربی منتشر نشه ، فقط یک ابزار کنترلی یا مدیریتیه ، و افراد دیگری معتقدند هر چیزی که کمک کنه ، سیستم عامل ، در جوابگوئی به سوالات صادق نباشه ، یک کد مخربه . من هم مثل دستهء اخیر فکر میکنم روتکیت یک کد مخرب است ، اما با این توضیح تکمیلی که کد مخرب لزوما" چیز بدی نیست ، مثل اسلحه . البته که باید از انتشار بیربط و وسیعش جلوگیری کرد ، اما برای افراد خاص و کاربردهای خاص ، قطعا" بدون جایگزینه .

2- امنیت قابل قبول ، بستگی داره به تعریف عبارت "قابل قبول" . اگر منظور از قابل قبول این باشه که بشه تضمین عینی و قطعی برای ایمنی نرم افزار داد ، جواب منفیه . Themida رو میشه دور زد ، البته نه بسادگی چیزی مثل ASPack . موتورهائی مثل WinLicense هم همانطور که گفتم طبیعتا" نقائص خودشون رو دارن و با مطالعه شون میشه ازش عبور کرد ، اما بدون تردید میزان دانش مورد نیاز ، بالاتر و عمیقتر از سایر موارد هست ؛ هر چند قسمت غم انگیز و البته با مزه ماجرا اینه که همیشه افرادی با چنین توانائی هائی پیدا میشن و پس از مهرورزی با Protection مورد نظر ، یه سری اسکریپت سهل الوصول و ساده برای خودکار سازی تمام یا بخشی از روند مینویسن و من بعد ، عبور از این سد هم ، برای کودکان رده سنی الف امکان پذیر میشه . اتفاقی که اغلب در حال افتادنه اینه ، و عامه افرادی که در مورد کرک و مسائل مربوطه حرف میزنن ، فی الواقع کاربران متوسط یا خوبی ، برای اسکریپتهائی هستند که مدتها قبل توسط سایرین نوشته شده .

inprise چطور ظرف یک دقیقه پست منو خوندید و 8 خط نوشتی:تشویق:
بهرحال متشکرم (اینجاست که شاعر میگه بابا تو دیگه کی هستی:قهقهه: )
پس با این حساب میشه برای امنیت نرم افزار روی روتکیت تا یه سطحی قابل قبول (از نظر من قابل قبول اینه که 99% کاربران کامپیوتر از تایپیست گرفته تا شخصی در حد خود شما -1 !!! نتونه امنیتشو به خطر بیاندازه)اعتماد کرد
شوخی: منظورم از 1- اینه که یه کم IQش از شما کمتر باشه!!!
آیا نتیجه گیری من درسته؟