Firewall: controlando el acceso a la red.

Transcripción

1 Departament d Enginyeria Informàtica i M atemàtiques Firewall: controlando el acceso a la red. TITULACIÓN: Ingeniería Técnica Informática de Sistemas AUTORS: Jairo de la Fuente Vilaltella. DIRECTORS: Carlos Molina Clemente FECHA : Abril / 2011

2 Índice 0. Prefacio.. p Introducción...p Seguridad informática p Amenazas actuales. p Porque proteger un ordenador personal...p Firewalls.....p Objetivos.....p Control de conexiones.....p Crear un driver......p Filtro...p Control por parte del usuario... p Comunicación con el driver... p Sincronismo... p. 17 2

3 3. Especificaciones..p Componentes de la solución p Driver..p Acciones del driver...p Comunicación.. p Lectura p Escritura.....p Filtro...p Programa de control....p Sincronismo...p Creación de eventos..p Comunicación. p Informar al usuario...p Dar órdenes al driver....p Lanzador.....p Cargar el programa de control...p Cargar el driver..p Diseño y desarrollo..p El Kernel de Windows p Modo kernel y modo Usuario. p Drivers..p API para drivers.. p Memoria protegida y Hooks.p Modificar memoria protegida. p. 27 3

4 Suplantación de funciones del sistema (hook) p Creación de un filtro...p Substitución del Major original. p Contexto de la llamada..p Obtener información de los parámetros de la llamada..p Averiguar quien llama a la función... p Llamadas a API's no documentadas ni definidas..p Listas encadenadas en Drivers...p Reserva de memoria..p Mutexs...p Cola de trabajo p Cola de reglas definidas..p Tabla hashing.. p Comunicación entre Modo kernel y modo usuario.....p Creación de dispositivos.p Estructura de un dispositivo..p Lectura...p Escritura...p Sincronismo p Creación de eventos..p Esquema del conjunto....p Evaluación y juego de pruebas...p. 48 4

5 6. Recursos usados..p Bibliografía.. p Páginas web.p Software... p Visual studio p Windows Drivers Kit..p WinDbg.. p DbgView.p Conclusiones....p Comparación con otros productos... p Posibles mejoras..p Como proseguiría con el proyecto... p Planificación temporal..p Manual de uso..p Anexo: Partes del código fuente....p. 63 5

6 PREFACIO 6

7 En este proyecto se encontrará el diseño y desarrollo de un programa que intenta dar una respuesta a las necesidades actuales de seguridad en un ordenador personal. Es evidente que internet ha marcado una auténtica revolución en los sistemas de comunicación, constituyendo por su extensión y crecimiento exponencial, un fenómeno social de primera magnitud a nivel mundial. Internet, se puede considerar como una red de redes de ordenadores que se encuentran interconectados a modo de superautopistas de la información, lo que permite comunicarnos fácilmente de forma rápida y directa con cualquier otra persona del planeta que esté conectada al sistema. Para el mundo científico y profesional, internet es una herramienta de extraordinaria importancia, solo comparable a la aparición de la imprenta. Es, además, un instrumento tecnológico de uso muy frecuente por parte de niños y jóvenes de todas las edades; las mayoría de las veces como elemento de ocio, y, en ocasiones como método de ayuda para la adquisición de datos y conocimientos académicos. Todas las funcionalidades de Internet (navegación por las páginas web, publicación de weblogs y webs, correo electrónico, mensajería instantánea, foros, chats, gestiones y comercio electrónico, entornos para el ocio...) pueden comportar algún riesgo, al igual como ocurre en las actividades que realizamos en el "mundo físico". Al facilitar información personal y códigos secretos de diversos tipos de cuentas, pueden ser interceptados por ciberladrones y pueden ser usadas para suplantar la personalidad de sus propietarios y realizar incluso compras a su cargo si se ha obtenido números bancarios o cuantas de pago electrónico. Con todo, se van desarrollando sistemas de seguridad (firmas electrónicas, certificados digitales...) que cada vez aseguran más la confidencialidad al enviar los datos personales necesarios para realizar las transacciones económicas. Hay empresas que delinquen vendiendo los datos personales de sus clientes a otras empresas y estafadores. A través de mecanismos como troyanos, spyware o keyloggers se puede conocer todo lo que se hace desde un ordenador, copiar todos los archivos que tiene almacenados un usuario y recabar información confidencial. En la red cada día surgen nuevas amenazas a las que se ven expuestos los usuarios. 7

8 Este proyecto parte de este ambiente como motivación para realizar un estudio sobre cómo elaborar un sistema de protección que detecte y pueda bloquear las conexiones realizadas por programas en un ordenador personal, actuando así como primera línea defensiva. 8

9 Capítulo 1 Introducción 9

10 1. Introducción 1.1 Seguridad Informática La seguridad informática es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. Técnicamente es imposible lograr un sistema informático ciento por ciento seguros, pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos. Si bien es cierto que todos los componentes de un sistema informático están expuestos a un ataque (hardware, software y datos) son los datos y la información los sujetos principales de protección de las técnicas de seguridad. La seguridad informática se dedica principalmente a proteger la confidencialidad, la integridad y disponibilidad de la información. Confidencialidad La confidencialidad se refiere a que la información solo puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicación de los datos. La transmisión a través de un medio presenta múltiples oportunidades para ser interceptada y copiada: las líneas "pinchadas" la intercepción o recepción electromagnética no autorizada o la simple intrusión directa en los equipos donde la información está físicamente almacenada. Integridad La integridad se refiere a la seguridad de que una información no ha sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de origen. Es un riesgo común que el atacante al no poder descifrar un paquete de información y, sabiendo que es importante, simplemente lo intercepte y lo borre. 10

11 Disponibilidad La disponibilidad de la información se refiere a la seguridad que la información pueda ser recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor. 1.2 Amenazas Actuales Malware Por malware se entiende cualquier programa de software que se instala inadvertidamente y de forma discreta en el equipo de un usuario y ejecuta acciones inesperadas o no autorizadas, pero siempre con intenciones maliciosas. Es un término genérico utilizado para referirse a virus, troyanos y gusanos. Virus Es un programa o software que se autoejecuta y se propaga insertando copias de sí mismo en otro programa o documento. Un virus informático se adjunta a un programa o archivo de forma que pueda propagarse, infectando los ordenadores a medida que viaja de un ordenador a otro. Gusanos Los gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Un gusano informático se aprovecha de un archivo o de características de transporte de tu sistema, para viajar. Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en tu sistema, por lo que tu ordenador podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador enorme. Un ejemplo sería el envío de una copia 11

12 de sí mismo a cada uno de los contactos de tu libreta de direcciones de tu programa de . Entonces, el gusano se replica y se envía a cada uno de los contactos de la libreta de direcciones de cada uno de los receptores, y así continuamente. Troyanos Crean puertas traseras o backdoors en tu ordenador permitiendo el acceso de usuarios malévolo a tu sistema, accediendo a tu información confidencial o personal. A diferencia de los virus y gusanos, los troyanos ni se auto replican ni se reproducen infectando otros archivos. Spyware El spyware es cualquier pieza de software, instalado o utilizado sin su conocimiento, que vigila, registra e informa de sus movimientos electrónicos. El spyware comercial vende la información que recopila a empresas de publicidad; el spyware utiliza esta información con fines delictivos para robar la identidad de los usuarios; se trata de la amenaza más grave a la que deben hacer frente los usuarios. Crimeware Es un término general que describe un tipo de software que se utiliza para el hurto de datos financieros. El crimeware se puede propagar prácticamente por medio de cualquier vector de amenaza, incluidos virus/troyanos/gusanos,spyware/adware, entre otros programas, y está formado por programas robot, redes robot y ransomwar 1.3 Porque Proteger un Ordenador Personal Cuando hablamos de seguridad informática, muchas veces hacemos caso omiso a los problemas que nos pueden ocasionar el no estar bien protegidos, pero hasta el momento que nos sucede ahí es cuando nos arrepentimos de no haber tomado las medidas necesarias con anterioridad, creo que la clave de la seguridad informática esta y comienza en nosotros mismos usando solo nuestro sentido común. Lo primero que tenemos que tomar en cuenta antes de tomar precauciones es 12

13 precisamente conocer de que nos estamos previniendo, debemos saber de qué nos estamos cuidando antes de actuar. Los daños en nuestro ordenador pueden ser muy diferentes dependiendo de la amenaza o virus que tengamos residente en nuestro equipo. Los usuarios cada vez dependen más de los sistemas informáticos como medios para almacenar datos, trabajos, información personal, comunicarse entre ellos y realizar compras por internet, lo que supone una gran cantidad de información privada y susceptible de ser substraída para diversos fines, como usar cuentas de paypal ajenas con las consiguientes consecuencias. 1.4 Firewalls El firewall es un programa que actúa a modo de filtro, bloqueando o permitiendo determinadas conexiones y transmisiones de datos desde o hacia Internet, es decir, actúa como una barrera entre la red y nuestro PC. Para entender esta definición podemos observar la figura: Figura 1. Firewall 13

14 Como lo dice su traducción, no es otra cosa que un cortafuegos, acepción adaptada de la terminología de los servicios contra incendios, que cuentan con una técnica especial para poder controlar fuegos de gran intensidad y evitar su propagación. Un firewal en informática es muy similar porque permite controlar los accesos no deseados mediante políticas de seguridad que pueden ser definidas por el usuario, tanto a nivel local, como prestando servicios en red. Para ello existen dos modalidades de aplicaciones Firewall: Aquellas diseñadas para empresas y para ser instaladas en proxys (equipos que sirven como punto de conexión para otros conectados en red). Las destinadas a los usuarios individuales, que será el tipo de firewall tratado en este proyecto. Este tipo de Firewall te avisa cuando algún programa trata de conectarse a internet desde tu PC, intentando de esta forma proteger el ordenador de posibles intrusiones de Internet. Últimamente debido a la gran cantidad de programas espía que existen, el uso de un firewall se ha vuelto indispensable. De esta manera un usuario puede bloquear programas que ni si quiera se conoce su residencia en el ordenador debido a técnicas de ocultación y no solo bloquear su conexión a internet evitando así una fuga de información sino también descubriendo su existencia en el sistema. 14

15 Capítulo 2 Objetivos del Proyecto 15

16 2. Objetivos del Proyecto El resultado que se espera alcanzar serán los siguientes. Lo que se pretende conseguir con este proyecto es un control por parte del usuario de las conexiones a la red de los programas. 2.1 Control de Conexiones Se propone conseguir es una aplicación (firewall) que regule los accesos a la capa de red de las aplicaciones que lo soliciten. El sistema operativo escogido es Windows 7, ya que es uno de los sistemas operativos con más recepción de malware y el SO más común en los hogares y centros de docencia españoles. Para este menester será necesaria la creación de un driver que filtre las conexiones Crear un Driver Para tal cometido se creará un driver, un programa que formará parte del núcleo del sistema operativo y permitirá trabajar a bajo nivel pudiendo obtener el control de ciertas partes del sistema Filtro Para acceder a la capa de red será necesario pasar por un filtro que decidirá si la aplicación puede acceder a la capa o no, manteniendo una lista de los procesos que pueden acceder y cuáles no. 16

17 2.2 Control por Parte del Usuario Las decisiones del filtro de permitir o denegar el acceso a internet a una determinada aplicación serán tomas por el usuario, por eso mismo será necesario una comunicación y sincronismo entre el usuario y el driver Comunicación con el Driver Para dotar al usuario del control del filtro se implementara una infraestructura que permitirá la comunicación bidireccional desde el núcleo del sistema y la interfaz de usuario Sincronismo El filtro y las decisiones tomadas por el usuario estaran plenamente sincronizadas asincronamente trabajando asi cada parte por separado a su frecuencia de trabajo sin afectar el rendimiento del sistema ni esperas innecesarias. 17

18 Capítulo 3 Especificaciones del Proyecto 18

19 3. Especificaciones En este apartado se pretende especificar las funciones que deberá tener el proyecto para realizar su cometido. 3.1 Componentes de la Solución El proyecto se dividirá en tres componentes necesarios para obtener su solución: un driver, un programa de control por parte del usuario y un lanzador del conjunto Driver El driver permitirá obtener privilegios de system, los más altos en un ordenador quitando cualquier barrera que impida modificar la totalidad del sistema, necesarios para el fin que se intenta alcanzar Acciones del Driver Se diferencian dos grandes objetivos por parte del driver: el filtraje a la capa de red y la comunicación con el usuario para definir reglas y accesos Comunicación Quien definirá las políticas de acceso a internet para cada programa de forma individual será el usuario, por lo tanto se necesita una infraestructura que permita la comunicación en entre el driver y éste. Mientras se espera la respuesta del usuario la política por defecto empleada será restrictiva, evitando así fugas de información. El driver creara un dispositivo sobre el cual se podrán hacer lecturas y escrituras Lectura El driver contendrá un buffer con la información que se pretende transmitir al usuario y se podrá obtener dicha información mediante una lectura al dispositivo. 19

20 Escritura De la misma manera que en la lectura, el driver contendrá un buffer donde el usuario podrá dar órdenes al driver mediante. Todo esto mediante la escritura de los datos en el dispositivo creado para tal fin Filtro El driver suplantará la capa de red para interponerse entre ella y los programas que deseen acceder a ella. Para ello, suplantará en memoria el driver original de acceso a la red, llamado TCPIP.sys, por la función filtro del driver del proyecto, pudiendo después pasar la llamada al driver original o por el contrario denegando el acceso Programa de Control Este programa será el encargado de interactuar con el usuario y el driver corriendo en el contexto de usuario, no el de núcleo del sistema, tal y como en el driver. Para una comunicación con el usuario serán necesarios métodos de sincronización entre las respuestas del usuario y el driver Sincronismo Debido a la diferente frecuencia de trabajo entre las aplicaciones cpu y usuario, toda la comunicación y establecimiento de permisos será realizado de una manera asíncrona, así que serán necesarios sistemas de sincronización entre el driver y la aplicación de usuario. Para ello se implementaran eventos Creación de Eventos Para sincronizar la aplicación de usuario y el driver, que correrán en contextos de ejecución y privilegios diferentes, recordemos que el driver formará parte del núcleo del sistema operativo y la aplicación de usuario se ejecutará como un usuario administrador. Será necesario la creación de eventos para una sincronización del sistema firewall. 20

21 Comunicación Para la comunicación con el driver se implementaran lecturas y escrituras al dispositivo creado por el driver para informar y recibir órdenes del usuario Informar al Usuario Mediante la lectura del dispositivo se tratará la información que el driver quiera comunicar al usuario. Se sabrá cuando leer por el sincronismo entre las dos partes Dar Órdenes al Driver Mediante la escritura del dispositivo que crea el driver se permite darle órdenes, que serán las encargadas de definir las políticas de acceso para cada programa Lanzador Será el programa que se ejecute para iniciar el firewall y se encargará de poner en funcionamiento las diversas partes Cargar el Programa de Control Primero de todo, se ejecutara el programa de control del usuario que iniciará los mecanismos de sincronización, para después pasar a cargar el driver Cargar el Driver Para inicializar el driver en el sistema, antes de todo se registrará el driver como servicio y después se inicializara como servicio activo. 21

22 Capítulo 4 Diseño y Desarrollo 22

23 4. Diseño y Desarrollo En el diseño y desarrollo se explicaran los conocimientos, técnicas e implementaciones usadas para resolver el problema que se plantea. 4.1 El Kernel de Windows En informática, un núcleo o kernel es un software que actúa de sistema operativo. Es el principal responsable de facilitar a los distintos programas acceso seguro al hardware del ordenador o en forma más básica. Es el encargado de gestionar recursos, a través de servicios de llamada al sistema. Como hay muchos programas y el acceso al hardware es limitado, también se encarga de decidir qué programa podrá hacer uso de un dispositivo de hardware y durante cuánto tiempo, lo que se conoce como multiplexado. Acceder al hardware directamente puede ser realmente complejo, por lo que los núcleos suelen implementar una serie de abstracciones del hardware. Esto permite esconder la complejidad, y proporciona una interfaz limpia y uniforme al hardware subyacente, lo que facilita su uso al programador. Las partes formadas por el núcleo son las que corren en privilegios de kernel y los programas ajenos al núcleo que llaman a las abstracciones son los que corren en el modo usuario Modo Kernel y Modo Usuario Los privilegios de un sistema operativo se dividen en los siguientes: Figura 2. Anillos 23

24 Los Ring's (Anillos) de la imagen, son privilege rings (anillos de privilegios). Los que tienen más privilegios están en el corazón (Ring0), y los que menos, al exterior (Ring3). Las aplicaciones que ejecutamos en nuestro PC están todas en Ring3, aunque hay algunas que tienen una parte en Ring3 y otra en Ring0 (Anti-Virus, Firewalls). Esta mezcla entre modo usuario y modo kernel es debida a que el modo usuario está muy limitado en cuanto a privilegios. El firewall se compondrá de dos componentes, uno para cada nivel de privilegios: el driver, que será el que corra en nivel Ring 0 y la aplicación de usuario, que correrá en modo usuario(ring3). El kernel de Windows incorpora dentro del modo usuario un Subsistema de Ambiente Protegido. Esto significa que controla los errores en los procesos, lo que a su vez implica que si se produce un error en algún programa, éste puede ser descargado de memoria sin provocar en el sistema operativo ningún tipo de error (dependiendo de qué aplicación tenga el error, evidentemente). En modo Kernel no existe esta protección, lo que provoca que si un driver tiene un error, el sistema operativo se ve obligado a reiniciar el PC. Los procesos que se ejecutan dentro de modo usuario y poseen memoria virtual. Por lo tanto, la posición de memoria 0x00457ab no es la misma posición físicamente. Esto lo maneja el Kernel de Windows para impedir que otros procesos escriban o modifiquen datos de otros procesos. Los drivers, en cambio, se ejecutan dentro de la memoria física, lo que equivale a que es posible escribir en la memoria de otros drivers y en el mismo kernel, aunque algunas páginas de memoria tengan protección de escritura (que se puede eliminar). 24

25 Drivers La descripción que podemos encontrar sobre drivers podría ser esta: Un driver o controlador de dispositivo para equipos con sistema operativo Windows, es un programa cuya finalidad es relacionar el sistema operativo con los dispositivos hardware (tarjeta gráfica, tarjeta de sonido, módem, tarjeta de Tv, wifi, lector mp3, etc.) y periféricos (impresora, escáner, cámara fotográfica, cámara de vídeo, etc.) de nuestro equipo. Pero ese sería el objetivo general de un driver, aprovechando que un driver puede modificar totalmente el sistema operativo, porque forma parte del kernel, se podría usar para alterar la memoria del sistema, su estructura o añadir funciones al sistema que no tengan que ver con la gestión directa de hardware. Un claro ejemplo de esto sería un antivirus, un firewall, un control parental etc. Una vez se está en modo kernel, tenemos que pensar un poco diferente de cómo lo haríamos en modo usuario. Tenemos que hacernos a la idea de que nuestro driver no es un proceso. Los procesos en modo usuario tienen un espacio propio, definido, y remarco el propio, ya que en modo kernel es algo diferente. Es cierto que nuestro driver se aloja en una posición de memoria definida, pero al hacer llamadas a funciones, tenemos que saber que podemos leer y escribir en toda la memoria (luego veremos que en ciertas áreas se nos está restringido escribir, pero modificando un registro lo podemos deshabilitar). Esto equivale a que si, por ejemplo, queremos modificar el contenido de una de las varias tablas que residen en el kernel de Windows, lo podemos hacer sin necesidad de llamar a ninguna API. Como hemos visto en la figura 2, un driver corre en Ring0 y un contexto diferente al de un programa en modo usuario, sus estructuras y requerimientos son distintos, por lo que las APIs empleadas diferirán de un programa convencional. API (Application Program Interface). Conjunto de convenciones internacionales que definen cómo debe invocarse una determinada función de un programa desde una aplicación. Cuando se intenta estandarizar una plataforma, se estipulan unos APIs comunes a los que deben ajustarse todos los desarrolladores de aplicaciones. 25

26 API para Drivers Windows estipula su propio elenco de APIs, que difiere mucho de las APIs a las que podemos ver en programas de modo usuario. Tomando como ejemplo el lenguaje C, donde podemos encontrar funciones como printf y cabeceras típicas como windows.h, vemos que a la hora de programar drivers en C quedan totalmente restringidas esas funciones y cabeceras. Todas las cabeceras y funciones quedan substituidas por otras e interpretadas y compiladas por un compilador especial para drivers. La mayoría de las funciones no tienen un substituto natural en la API para drivers, inclusive muchas cosas fácilmente implementables en modo usuario no son posibles en un driver. Existen unas tablas donde se guardan las direcciones de memoria a las APIs y demás llamadas al sistema, estas tablas se encuentran en una memoria protegida Memoria Protegida y Hooks La memoria en el sistema operativo está dividida por páginas, como un libro. Algunas de estas páginas están protegidas por seguridad para que solamente sean de lectura. No todas las estructuras que se puedan modificar están protegidas de este modo, ya que algunas no se tiene que modificar nada y se pueden manipular directamente. Un hook es, básicamente, substituir una función por otra. Por ejemplo, se podría substituir la API MessageBox por una función programada por nosotros mismos para que al llamar la API MessageBox, una aplicación, se ejecute nuestra función en vez de la original. Con esto se puedo modificar o filtrar llamadas al sistema. 26

27 Modificar la Memoria Protegida Las tablas donde se guardan las direcciones de memoria a las APIs del sistema y demás funciones provistas por drivers, en este caso el driver TCPIP.sys, se encuentran en una paginación protegida contra la escritura. El objetivo es interponernos en las llamadas al driver TCPIP por tanto necesitaremos modificar esas tablas. El registro CR0 contiene un bit llamado write protect que es el encargado de señalar si una página es de solo lectura o no. Para eliminar esta propiedad se tiene que poner a cero este bit. Para eso, se implementara un pequeño código en ensamblador dentro del driver que desprotegerá la memoria y la volverá a proteger al acabar la modificación oportuna. En seudocódigo: Guardar EAX EAX = CR0 EAX = EAX AND 0FFFEFFFh CR0 = EAX Para devolverlo a su estado original se procederá de la misma manera pero modificando EAX de la siguiente manera: EAX = EAX OR NOT 0FFFEFFFh Anexo 1. Desactivando la protección y pudiendo modificar las direcciones de las llamadas al sistema se puede suplantar funciones y APIs por otras funciones. 27

28 Suplantación de Funciones del Sistema (hook) Para tal cometido tomaremos como supuesto que se quiere substituir la API ZwOpenProcess, en la tabla SSDT (System Service Descriptor Table) encontrándonos la tabla inicialmente de la siguiente forma: Nombre de la función ZwOpenProcess MessageBox. 0xAC xB56516D. Dirección Lo que se pretende conseguir es modificar la dirección de ZwOpenProcess para que apunte a una función creada por mí. Para ello, primero se deberá crear una función con los mismos parámetros que la original, que devuelva el mismo tipo de resultado, sino se pueden producir todo tipo de errores y cuelgues en el sistema. Una vez preparada la función substituta con las acciones que se pretendan conseguir con ella será el momento de obtener la dirección de la función substituta, desproteger la memoria como se ha visto anteriormente y substituir la dirección de ZwOpenProcess por la dirección donde se encuentra la nueva función. Si la nueva función se encuentra en la posición de memoria 0x45EF465, tras modificar la tabla quedaría así: Nombre de la función ZwOpenProcess MessageBox. 0x45EF465 0xB56516D. Dirección A partir de entonces cualquier programa que llame a la API ZwOpenProcess, en verdad estará ejecutando otra función. Con esta técnica se puede crear un filtro en las llamadas al sistema. 28

29 Creación de un Filtro Se puede controlar el resultado de las llamadas a funciones de APIs he incluso modificar o alterar sus resultados con las diversas técnicas de hooking. Prosiguiendo con el ejemplo anterior de ZwOpenProcess, se podría filtrar los procesos que son abiertos y evitar que ciertos procesos pudieran ser cerrados o modificados (para cerrar o modificar un proceso antes hay que abrirlo con la API ZwOpenProcess o una variante de ella que más tarde llamara a ZwOpenProcess). Ésto se podría conseguir de la siguiente forma: La función substituta se podría obtener mediante los parámetros que son pasados a la función el PID (process identification number) del proceso que se quiere abrir y compararlo con el PID del proceso que queremos proteger. Si coinciden se puede devolver un ACCES_DENIED, por el contrario se devolvería el control a la API ZwOpenProcess, llamándola mediante la dirección original almacenada en una variable, pasándole los parámetros con los que ha sido invocada la función substituta. De esta manera se consigue total transparencia y funcionalidad normal del sistema, pero en realidad se está tomando el control de ciertas acciones permitiéndolas o denegándolas. Se usará esta técnica para obtener cierto control sobre la capa de red, pero en vez de substituir APIs se substituirá un Major del driver TCIP.sys Substitución del Major Original Un driver por definición y estructura contiene una serie de llamadas o eventos que pueden ser invocados sobre él, llamados majors. Un ejemple de majors seria, por ejemplo, IRP_MJ_READ y IRP_MJ_WRITE, que son eventos llamados cuando se intenta leer o escribir en un dispositivo creado por el driver. El programador del driver, si implementa código dentro de esos eventos en el driver puede realizar las tareas que crea oportunas al llamar esos eventos. Más adelante se verá una implementación para esos dos majors, que nos permitirá comunicarnos con el usuario. 29

30 Existe una gran variedad de majors IRP_MJ_CREATE, IRP_MJ_WRITE_CLOSE, IRP_MJ_DEVICE_CONTROL... El que será usado para el cometido del proyecto será IRP_MJ_INTERNAL_DEVICE_CONTROL, este major es una llamada genérica de entrada/salida donde el programador puede crear eventos propios del driver que programa. Cuando un programa intenta realizar alguna acción sobre la red como escuchar en un puerto, conectarse a un puerto, enviar un datagrama, etc, se comunica con ese driver. Por lo tanto el objetivo es interceptar ese major concreto. Para substituir el major será necesario modificar el puntero que apunta a la función original. Para ello se obtendrá un puntero al dispositivo del driver, para a través de dicho puntero aconseguir otro al driver, con el fin de acceder al major deseado. El puntero de la dirección original se guardará para devolver el sistema a su estado original al descargar el driver o para realizar llamadas al major original. Se procederá de la siguiente manera: PDispositivo = ObtenerPunteroDispositivo( \\Device\TCP ) PDriver = PDispositivo->ObjetoDriver IrpMajorOriginal=PDriver>MajorFunction[IRP_MJ_INTERNAL_DEVICE_CONTROL] Con esto ya está localizada y guardada la direccion al major original. El siguiente paso será intercambiar esa dirección por la dirección de una función en nuestro driver de la siguiente manera: DesprotegerMemoria() IntercambiarDirecciones(PDriver>MajorFunction[IRP_MJ_INTERNAL_DEVICE_C ONTROL], MiFuncion) ProtegerMemoria() En el anexo 2 se encuentra el código completo. 30