Суханов Павло Андрійович

Факультет обчислювальної техніки та інформатики

Спеціальність: Системне програмування

Науковий керівник: Теплинський Сергій Васильович

Віддалений моніторинг діяльності користувача персонального комп'ютера

У сучасний час, коли інформаційні технології є широко поширеними, і більшість співробітників є фахівцями в області Інтернет, як мінімум на рівні користувача, а також мають схильність до ухилення від своїх обов'язків, контроль за діяльністю користувача є надзвичайно важливим. Втрати в часі серед працівників,які в робочий час не займаються своїми прямими обов'язками є надзвичайно високими, особливо це стосується області Інтернет. Також важливою складовою є контроль за доступом до інформації, тому що промислове шпигунство виходить на надзвичайно високий рівень. Контролювати всі потоки інформації, що надходять або виходять з фірми практично неможливо, тому що в наш час практично кожен працівник має робоче місце, на якому є комп'ютер з виходом в Інтернет або підключення до локальної мережі.Роботодавець змушений встановлювати контроль за кожним працівником свого підприємства, для догляду за інформаційною діяльністю працівників. Тому програми шпигуни надзвичайно необхідні на будь-якому підприємстві, і їх використання приносить дуже великий економічний ефект.

Найбільш зручним вирішенням цієї проблеми є реалізація програмного забезпечення, покликаного проводити контроль за діяльністю користувача, що працює з комп'ютером (маються на увазі знімки екрану, натискання клавіш). З огляду на високий рівень знань сучасних користувачів, необхідно відмітити, що за допомогою засобів, що надаються Інтернетом, часто зовсім не важко обійти звичайні засоби спостереження. Таким чином, в даний час однією з вимог до програми такого роду є прихованість діяльності програми від користувача. В ідеалі користувач взагалі не повинен знати про те, що за його діяльністю ведеться спостереження.

Таким чином метою магістерської роботи є дослідження в першу чергу найбільш сучасних методик, що працюють у найбільш розповсюдженнийх на підприємствах і фірмах операційних системах, реалізація програмного продукту, який використовує найбільш ефективні методики приховування, для спостереження за діяльністю користувача. Для отримання необхідного результату необхідно дослідити і знайти оптимальне вирішення наступних питань:

• загальну класифікацію методик приховування програм
• дослідження методик приховування на рівні користувача
• дослідження методик приховування на рівні ядра ОС
• визначення найбільш ефективних методик
• реалізація програми з "корисним навантаженням", тобто реалізація функціональності спостереження за діяльністю користувача.

Подібні завдання вже вирішувалися протягом довгих років, практично кожна велика фірма має різного роду аналоги, які вирішують поставлені завдання, в результаті існує декілька найбільш популярних рішень. Розглянемо ці рішення, попутно вказавши їхні переваги й недоліки.

Actual Spy - програма, що володіє розширеними можливостями ведення спостереження за діяльністю користувача і базові можливості прихованя. Легко може бути виявлена спеціальним програмним забезпеченням (на приклад ProcessHunter від Ms-Rem) навіть на рівні користувача. За допомогою певного програмного забезпечення, може бути знешкоджувана, і деактивована, або є можливість направлення неправдивої інформації про діяльність.

StaffCop - програма для моніторингу діяльності користувача. Як і попередня програма, має безліч різних налаштувань для спостережень, а також базову функціональність, приховання від користувача. Так само досить легко виявляється і видаляється. Таким чином видно, що подібні продукти комерційних фірм вкрай слабко захищені і практично завжди видимі користувачеві, що дозволяє йому проводити контроль за діяльністю програми, а при необхідності і усунути негативні для себе наслідки її діяльності.

Повертаючись до додатка розробку якого необхідно провести, необхідно чітко позначити ряд вимог, яким має задовольняти програма:

• збір інформації про діяльність користувача (знімки екрану) дану функцію виконують спеціальні програми кейлогери
• Передача даних адміністратору програми або адміністрації фірми, чи підприємства
• Приховування наявності програми в системі

• модуль збору інформації
• модуль передачі даних
• модуль приховання програми

• рівень роботи програми у 0 кільці захисту (х86) на рівні ядра операційної системи (драйвери)
• Рівень роботи на рівні користувача (виконувані модулі, динамічно-підключаємі бібліотеки)

Розподіл обов'язків в залежності від рівня діяльності наступні: Збір інформації повинен проводиться на рівні користувача, тому що важко реалізувати подібну схему на рівні ядра. Теж саме стосується мережної активності. Що стосується приховування діяльності програми, його краще реалізувати на рівні ядра, для досягнення максимальної ефективності





Анімація.
Схема перехвату функцій

Висновки

На поточній стадії розробки створена динамічно-підключаєма бібліотека для приховування діяльності програми з використанням методів рівня користувача. Приховування здійснюється за рахунок сплайсингу функції NtQuerySystemInformation і модифікації результатів її роботи а також функції NtQueryDirectoryInformation з тією ж моделлю поведінки. Так само на цьому етапі стало зрозуміло, що методи 3-го кільця захисту не ефективні і погано організовують приховування діяльності (даний висновок зроблено на підставі того, що спеціалізований софт виявляє приховану діяльність). Тому на даний момент досліджуються методи 0-го кільця. Як певний проміжний результат дослідження, був створений драйвер, який діяв за методикою DKOM, модифікуючи двусвязний список структур ядра EPROCESS, що описують окремі процеси в системі. Таким чином відбувалося приховування процесу на рівні ядра. Також був створений спеціальний драйвер-фільтр для перехоплення всіх пакетів запиту введення / виводу до всіх логічним незнімним дисків в системі з метою приховування файлів або/папок. На даний момент ведеться робота з дослідження функції SwapContext для запобігання її сплайсингу і виявлення прихованих процесів.

У результаті даної магістерської роботи будуть досліджені різноманітні методики приховування в ОС класу Windows, визначені найбільш ефективні, і створено програму для спостереження з використанням цих методик.

Джерела

Друковані джерела


      
1. Holy Father, "Як стати невидимим в Windows NT" - стаття описує базові методики приховування на рівні користувача. Має цінність, як базовий теоретична праця, схеми і принципи якого використовуються для більш "просунутих" технік зникнення.
2. Колисниченко Д. Н. "Rootkits під Windows" - книга, що дає непогане оглядове уявлення про більшість популярних методик приховування. Матеріал взято з перекладених статей з Інтернет-ресурсу rootkit.com.
3. Хоглунд Г. Батлер Д. "руткітів. Впровадження в ядро Windows" - книга з більш детальним розглядом методик приховування в "нульовому кільці" на прикладах діяльності відомих руткітів.
4. kimmo "Detecting Hidden Processes by Hooking the SwapContext Function" - стаття описує один із найбільш надійних методів для виявлення прихованих процесів в системі.
5. Кравтцов Н. "http://www.security.org.sg/code/SIG2_DefeatingNativeAPIHookers.pdf" - стаття, що описує спосіб обнаружіння та перехвата "нативных" функцій.

Интернет статті

1. "www.gs.ru/article/SS3soft.shtml" - статья, що описує типы драйверов и методику их написання.
2. "http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1166739,00.html" - статья, що описує типы кейлоггерів и методику их написання.

1. http://www.wasm.ru русійскомовний сайт присвяений системному програмуванню
2. http://rootkit.com англомовний сайт на тему руткітов
3. http://rootkits.ru русійскомовний сайт присвячений руткитам