Программирование HIPS

Всем привет. Написал в хип, потому что не знаю, куда лучше написать. Хочется пролить свет на HIPS. Именно архитектурно, хочется понять, как это запрограммировать? Фильтрующий драйвер файловой системы? Перехват апи? Расскажите, кто в теме, плз.

 

sheetja
Все не охватишь, ставь приоритеты, чего конкретно прямо ща надо добиться и отсюда будем подсказывать

 

Имеетря ввиду хипса-драйвер с таблицей правил поведения приложений(что можно делать, что нет).

 

Ну е-мое, васмовцы! Ну здесь же есть умные люди! Ну линки чтоли подкинте, любой инфе по теме рад буду.

 

sheetja
www.idapro.ru

 

IFS Kit - Installable File System Kit
http://www.microsoft.com/whdc/devtools/ifskit/default.mspx

 

JCronuz

О, интересно, спс!

dfrsa

forum.xakep.ru

 

Да вы просто лентяй, которому лень взять то что лежит под носом и посмотреть как это реализовано в топовых системах. Вы даже не удосужились ознакомиться с необходимым и желательным функционалом HIPS систем.

Вместо собственного исследования, необходимого для решения задачи, вы бесцельно ищите, даже не ищите, а выспрашиваете, информацию в разных помойных ямах и не задаетесь вопросами:

Насколько полученная информация соответствует действительности?
Насколько полученная информация полна?
Насколько полученная информация актуальна?
Где и каким образом я могу применить полученную информацию?
Какие есть ограничения на значения и на результаты?
Какие существуют альтернативные пути реализации необходимого функционала?
....

Иногда вопросы намного важнее ответов. Причем вопросы не к кому-то на форуме, а к себе.

 

Вы правы только отчасти. Дело в том, что если я бы приаттачил файл, размером 50 кб и сказал: "мне лень его отдизасмить, народ, сделайте это за меня", то я бы с вами согласился. Но у "топовых" решений, как правило, несколько дровин, каждый из которых выполняет свое. Вы просто прикиньте, сколько надо лет, что бы отладить тот же комод или глюкопост?

Ды я как бы и не против, я просил хотя бы ниточку дать!

дайте линк на нормальный форум?

И вот вы. А что ВЫ? Тут два пути: дибо вы НЕ знаете ответа на вопрос, и просто 3.14здите, либо знаете, и все равно _просто_ 3.14здите. Разве не так? ТАК! Вместо того, что бы дать что либо техническое, какой то материал, вы просто учите жизни и филосовствуете!

 

В любом случае, для вас нет утешительных вариантов

Что вам дать? Код выполняющий перехваты системных функций? Код и алгоритмы загрузки модулей режима пользователя? Код реализующий функционал фаервола? Код выполняющий фильтрацию обращений к файловой системе? Код говорящий - это стремное приложение, а это хорошее? Все это в инете в открытом доступе, вам просто лень искать, а мне лень вам составлять соответсвующую подборку.

 

когда-то тоже интресовался подобным, выбрал комондо за образец, взял иду + хексрэйс. ничего сложного, используются фильтры не обязательно фс, всякие доступные механизмы калбэков, там где это возможно архитектурно (х86) - используются подмена адресов-обработчиков системных сервисов в сдт. что перехватывать и как, зависит конкретно от того(как минимум), на какую систему(мною подразумевается windows, но вы этого не указали в вашем посте) Вы нацелены. посмотрите лейктэсты, для проактивок. самая тяжелая часть имхо это хранение правил и общение с юзермод приложением, опять, же конкретно по таким вопросам вам дадут исчерпывающий ответ на этом форуме и еще его можно найти в поиске. а если послушаете и возьмете Иду в руки, все вопросы отпадут. ав ипрочие компании, что удивительно не протектят свои драйвера и там все как на ладони. любой желающий может ознакомится с технологиями работы(учитывая законы своей страны). кроме того есть.... был проект опен сурс, забыл как называется реализующий проактивку(вроде уже заброшен), хорошо что я начал изучение вопроса не с него. на этот проект можно посмотреть лишь как на неправильное представление работы проактивной технологии и ужасный стиль кодинга

 

dfrsa freyr

Ясно... в любом случае, всем спасибо за информацию. Пошел хексрейсить дровины)

 

ППЦ. Мрак. Листинг С-файла более 3 метров(

 

смотрите то, что вам нужно, изучать все что там есть - нет смысла. назовите основные "коллбэк" - обработчики их не так уж и много, пара 10-ков функций.

PS. Так же вашим хорошим помошником будет WRK.

 

Как же их найти в этой мантре на 3 мега???)

Скачал, жесть

 

искать нужно не в си файле, а непосредственно в иде, для этого там предусмотренны различные механизмы, например по иат CreateProcessNotifyEx, CmRegisterCallbackEx, FsRtlRegisterFileSystemFilterCallbacks, перейти в код где используется эта(эти) функция, разобрать, обозвать, посмотреть откуда все это вызывается обычно из 1 места, соотвественно выше найдете модификацию sdt и длинный список с функциями обработчиками системных сервисов. как работать в ида это уже совсем другая история.

 

Поня, спасибо тебе, держим нос по ветру в иде

 

HIPS - тупиковая ветвь развития ИБ. Не тормозите прогресс, займитесь более интересными вещами. just for fun .

 

Nesmysl

Например?

 

sandboxing + rollback