شرح الفرق بين User mod و Kernel mod - نسخة قابلة للطباعة +- الفريق العربي للهندسة العكسية (https://www.at4re.net/f) +-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html) +--- قسم : مختبر الفايروسات - Virus & Malware Labs (https://www.at4re.net/f/forum-30.html) +--- الموضوع : شرح الفرق بين User mod و Kernel mod (/thread-1952.html) |
شرح الفرق بين User mod و Kernel mod - SeGNMeNT - 23-07-2020 هذا اولموضوع اكتبه في مجال Reverse engineering! يتميز الويندوز بوجود وضعين لتشغيل البرامج: user mod kernel mod - ما الكيرنل kernel ؟ هي قلب نظام التشغيل و تقوم بتنفيذ اهم الوظائف ك: _التواصل مع البرامج اي عندما البرنامج يطلب Windows API Function ياتي الطلب للكيرنل إدارة مختلف البرامج الخاصة بالنظام(الدرايفرز) إدارة الاجهزة (الماوس,الطابعة) ادارة الذاكرة والتخزين الوصول لل HARDWARE RESOURCE اي انها بمثابة الوسيط بين البرامج التي على تعمل بالنظام و الاجهزة (ماوس,طابعة) معظم البرامج التي نستخدمها تتخذ وضع اليوزر مود ك OllyDbg,Word,Chrome االيوزر مود تعتمد صلاحياته الوصول ل Registers و تعليمات CPU ولكن لا يستطيع الوصول بشكل مباشرة مع hardware resource ك ram في المقابل في الكيرنل مود ( او وضع الكيرنل) تستطيع الوصول و التعديل لنظام التشغيل و طريقة تعامل نظام التشغيل مع الذاكرة و باقي الاجهزة (كالطابعة,الفأرة..الخ) و I/O CPU في وضع اليوزر عندما يطلب البرنامج مثلا Windows API Function فان ذلك الطلب تتم معالجته في الكيرنل مود طبعا هذه الطلبات من اليوزر مود للكيرنل مود لها صلاحيات محدودة في حالة اليوز مود : اذا حدث خطأ اثناء تشغيل البرنامج فان البرنامج سوف يتوقف Crashed و يقوم الويندوز بانهاء معالجته في الكيرنل مود : اذا حدث خطأ اثناء المعالجة فان النظام باكمله يتوقف عن العمل (مثال: شاشة الويندوز الزرقاء المشهورة) االيوزر مود تعتمد صلاحياته الوصول ل Registers و تعليمات CPU ولكن لا يستطيع الوصول بشكل مباشرة مع hardware resource في المقابل في الكيرنل مود ( او وضع الكيرنل) تستطيع الوصول لل hardware resource و التعديل لنظام التشغيل و طريقة تعامل نظام التشغيل مع الذاكرة و باقي الاجهزة (كالطابعة,الفأرة..الخ) و I/O CPU لهذا السبب الكيرنل مود مكان مفضل للفيروسات و البرامج الضارة ك RootKit ف فيروس يعمل في الكيرنل مود لايحتاج لكي يشغله المستخدم كل مرة يقلع النظام فهو يتحمل مع الكيرنل اثناء اقلاع النظام كما ان معظم برامج الحماية ,Bitdefender,Windows Defender ..etc تعمل على الكيرنل مود لان بذلك سيستطيعون الوصول لاي برنامج يتم تشغيله مقالات و كتب مفيدة Practical Malware Analysis http://venom630.free.fr/pdf/Practical_Malware_Analysis.pdf Protection Detection of Kernel - Mode RootKits https://www.semanticscholar.org/paper/Proactive-Detection-of-Kernel-Mode-Rootkits-Bravo-Garc%C3%ADa/5558eb9ef13637c22118146a5b72a62e9473ad3d Kernel Malware The Attack from Within http://nicolascormier.com/documentation/security/kasslin_kernel_malware_paper.pdf |