23-07-2020, 04:56 PM
(آخر تعديل لهذه المشاركة : 23-07-2020, 05:14 PM بواسطة SeGNMeNT.
تعديل السبب: مشكلة في أحجام الصور
)
هذا اولموضوع اكتبه في مجال Reverse engineering!
يتميز الويندوز بوجود وضعين لتشغيل البرامج:
user mod
kernel mod
- ما الكيرنل kernel ؟
هي قلب نظام التشغيل و تقوم بتنفيذ اهم الوظائف ك:
_التواصل مع البرامج اي عندما البرنامج يطلب Windows API Function ياتي الطلب للكيرنل
إدارة مختلف البرامج الخاصة بالنظام(الدرايفرز)
إدارة الاجهزة (الماوس,الطابعة)
ادارة الذاكرة والتخزين
الوصول لل HARDWARE RESOURCE اي انها بمثابة الوسيط بين البرامج التي على تعمل بالنظام و الاجهزة (ماوس,طابعة)
![[صورة مرفقة: Kernel_Diagram_work.png]](https://ia601509.us.archive.org/21/items/kernel-diagram-work/Kernel_Diagram_work.png)
معظم البرامج التي نستخدمها تتخذ وضع اليوزر مود ك
OllyDbg,Word,Chrome
االيوزر مود تعتمد صلاحياته الوصول ل Registers و تعليمات CPU ولكن لا يستطيع الوصول بشكل مباشرة مع hardware resource
ك ram
في المقابل
في الكيرنل مود ( او وضع الكيرنل)
تستطيع الوصول و التعديل لنظام التشغيل و طريقة تعامل نظام التشغيل مع الذاكرة و باقي الاجهزة (كالطابعة,الفأرة..الخ) و I/O CPU
في وضع اليوزر
عندما يطلب البرنامج مثلا Windows API Function فان ذلك الطلب تتم معالجته في الكيرنل مود
طبعا هذه الطلبات من اليوزر مود للكيرنل مود لها صلاحيات محدودة
![[صورة مرفقة: Calling%20to%20library%20with%20kernel.png]](https://ia601405.us.archive.org/35/items/calling-to-library-with-kernel/Calling%20to%20library%20with%20kernel.png)
في حالة اليوز مود :
اذا حدث خطأ اثناء تشغيل البرنامج فان البرنامج سوف يتوقف Crashed و يقوم الويندوز بانهاء معالجته
في الكيرنل مود :
اذا حدث خطأ اثناء المعالجة فان النظام باكمله يتوقف عن العمل (مثال: شاشة الويندوز الزرقاء المشهورة)
االيوزر مود تعتمد صلاحياته الوصول ل Registers و تعليمات CPU ولكن لا يستطيع الوصول بشكل مباشرة مع hardware resource
في المقابل
في الكيرنل مود ( او وضع الكيرنل)
تستطيع الوصول لل hardware resource و التعديل لنظام التشغيل و طريقة تعامل نظام التشغيل مع الذاكرة و باقي الاجهزة (كالطابعة,الفأرة..الخ) و I/O CPU
لهذا السبب الكيرنل مود مكان مفضل للفيروسات و البرامج الضارة ك RootKit
ف فيروس يعمل في الكيرنل مود لايحتاج لكي يشغله المستخدم كل مرة يقلع النظام
فهو يتحمل مع الكيرنل اثناء اقلاع النظام
كما ان معظم برامج الحماية ,Bitdefender,Windows Defender ..etc
تعمل على الكيرنل مود لان بذلك سيستطيعون الوصول لاي برنامج يتم تشغيله
مقالات و كتب مفيدة
Practical Malware Analysis
http://venom630.free.fr/pdf/Practical_Ma...alysis.pdf
Protection Detection of Kernel - Mode RootKits
https://www.semanticscholar.org/paper/Pr...2e9473ad3d
Kernel Malware The Attack from Within
http://nicolascormier.com/documentation/..._paper.pdf
يتميز الويندوز بوجود وضعين لتشغيل البرامج:
user mod
kernel mod
- ما الكيرنل kernel ؟
هي قلب نظام التشغيل و تقوم بتنفيذ اهم الوظائف ك:
_التواصل مع البرامج اي عندما البرنامج يطلب Windows API Function ياتي الطلب للكيرنل
إدارة مختلف البرامج الخاصة بالنظام(الدرايفرز)
إدارة الاجهزة (الماوس,الطابعة)
ادارة الذاكرة والتخزين
الوصول لل HARDWARE RESOURCE اي انها بمثابة الوسيط بين البرامج التي على تعمل بالنظام و الاجهزة (ماوس,طابعة)
معظم البرامج التي نستخدمها تتخذ وضع اليوزر مود ك
OllyDbg,Word,Chrome
االيوزر مود تعتمد صلاحياته الوصول ل Registers و تعليمات CPU ولكن لا يستطيع الوصول بشكل مباشرة مع hardware resource
ك ram
في المقابل
في الكيرنل مود ( او وضع الكيرنل)
تستطيع الوصول و التعديل لنظام التشغيل و طريقة تعامل نظام التشغيل مع الذاكرة و باقي الاجهزة (كالطابعة,الفأرة..الخ) و I/O CPU
في وضع اليوزر
عندما يطلب البرنامج مثلا Windows API Function فان ذلك الطلب تتم معالجته في الكيرنل مود
طبعا هذه الطلبات من اليوزر مود للكيرنل مود لها صلاحيات محدودة
في حالة اليوز مود :
اذا حدث خطأ اثناء تشغيل البرنامج فان البرنامج سوف يتوقف Crashed و يقوم الويندوز بانهاء معالجته
في الكيرنل مود :
اذا حدث خطأ اثناء المعالجة فان النظام باكمله يتوقف عن العمل (مثال: شاشة الويندوز الزرقاء المشهورة)
االيوزر مود تعتمد صلاحياته الوصول ل Registers و تعليمات CPU ولكن لا يستطيع الوصول بشكل مباشرة مع hardware resource
في المقابل
في الكيرنل مود ( او وضع الكيرنل)
تستطيع الوصول لل hardware resource و التعديل لنظام التشغيل و طريقة تعامل نظام التشغيل مع الذاكرة و باقي الاجهزة (كالطابعة,الفأرة..الخ) و I/O CPU
لهذا السبب الكيرنل مود مكان مفضل للفيروسات و البرامج الضارة ك RootKit
ف فيروس يعمل في الكيرنل مود لايحتاج لكي يشغله المستخدم كل مرة يقلع النظام
فهو يتحمل مع الكيرنل اثناء اقلاع النظام
كما ان معظم برامج الحماية ,Bitdefender,Windows Defender ..etc
تعمل على الكيرنل مود لان بذلك سيستطيعون الوصول لاي برنامج يتم تشغيله
مقالات و كتب مفيدة
Practical Malware Analysis
http://venom630.free.fr/pdf/Practical_Ma...alysis.pdf
Protection Detection of Kernel - Mode RootKits
https://www.semanticscholar.org/paper/Pr...2e9473ad3d
Kernel Malware The Attack from Within
http://nicolascormier.com/documentation/..._paper.pdf