|
|
Application for Monitoring Events of OS Windows
Kobliha, Michal ; Bartík, Vladimír (referee) ; Grulich, Lukáš (advisor)
Thesis mentions individual generations of operating system Windows and usage of its chosen application environment functions, followed by presentation of C language as a tool suitable for realization of a process monitoring system events. It analyses individual phases of development of an application for capturing system events and briefly represents achieved outcomes.
|
|
|
Uncovering of rootkits and detection of spyware
Juras, Stanislav ; Pelka, Tomáš (referee) ; Polívka, Michal (advisor)
Bachelor’s thesis is about uncovering of rootkit and detection of spyware. It describes the basic types of known spyware and rootkits. Section dealing with spyware is especially about a description of each species. In case of rootkit the thesis is mainly about description of modes and the manner of their infection. There are also outlined attempts to use legal rootkit. In other case there are summarized the basic methods of rootkit and spyware detection, which are commonly used in various detection programs. The second part of thesis is practical implementation (the program) of one of the methods of spyware detection. The program is designed to be able to detect a simple pattern of spyware, which is stored in its database. The program uses the file signature detection. It contains also the graphical user interface, where is possible to choose a unit that user want to test.
|
|
|
Rootkits Classification
Plocek, Radovan ; Křoustek, Jakub (referee) ; Hruška, Tomáš (advisor)
This paper describes information about current most widespread methods, which are used by rootkits. It contains basic information connected with development of rootkits, such as process registers, memory protection and native API of Windows operation system. The primary objective of this paper is to provide overview of techniques, such as hooking, code patching and direct kernel object modification, which are used by rootkits and present methods to detect them. These methods will be then implemented by detection and removal tools of rootkits based on these techniques.
|
|
|
System for monitoring user's activity
Yeftsifeyeu, Aliaksandr ; Škorpil, Vladislav (referee) ; Polívka, Michal (advisor)
Bakalářská práce popisuje možnosti programů pro záchyt stisků kláves (keyloggerů) různého typu. Jsou-li tyto program nasazeny ilegálně, mohou být příčinou finančních a jiných ztrát. Obrana proti tomuto druhu monitorovacího softwaru je často složitá. Pro tvorbu softwaru sloužícího k obraně před tímto typem maligních programů je třeba znát principy a algoritmy, se kterými monitorovací software pracuje. V rámci bakalářské práci byla podrobně rozebráná problematika vstupu/výstupu z klávesnice počínaje hardwarem a konče softwarovou aplikační vrstvou. Popsány jsou algoritmy záchytu kláves, záklažené na systémových voláních operačního systému MS Windows, jejich vztah mezi zařízením a softwarem. Cílem bylo nalézt nejvýkonnější, resp. nejvhodnější algoritmus (ale také v současnosti nejpoužívanější), pro vytvoření softwaru pro sledování stisků kláves. Výsledkem je popis běžně používaných algoritmů. Byla zvolena jednoduchá, ale efektivní metoda, pro napsání vlastního programu. Projekt se zabývá problematikou záchytu stisků kláves z pohledu legálního i nelegálního sledování činnosti uživatele. Protože bylo jedním z cílů projektu odeslání zachycených stisků kláves na vzdálený server, byl proveden rozbor problematiky přenosu dat na vzdálený uzel přes sít’ové rozhraní, za pomoci různých sít’ových protokolů v Ethernetu. Rámcově byly popsány protokoly TCP a UDP, a jejich role v přenosech dat po síti. Práce také zahrnuje popis protokolů vyšších vrstev sít’ového referenčního modelu OSI. Z různých hledisek byly diskutovány protokoly TFTP, FTP, SSL, SSH – jejich výhody, nevýhody a jejich využitelnost k přenosu zachycených stisků kláves. Analýza problematiky protokolů 5. a 6. vrstvy RM OSI vedla k volbě protokolu TFTP, jako protokolu nejvhodnějšího pro přenos malého objemu dat mezi monitorovacím programem a serverem. Protokol TFTP vyniká jednoduchostí a snadnou implementovatelností. Obvykle se používá jako servisní protokol pro přenosy konfigurací, logů a firmwarů v lokálních sítích. Mezi nevýhody protokolu patří neexistence zabezpečení přenášených dat jak z hlediska možnosti vzniku chyb při jejich přenosu, tak z hlediska možnosti jejich odposlechu. Problematická je také bezpečnost dat na TFTP serveru Protokol nepočítá s autorizací a autentizací klienta. Zmíněné nevýhody jsou ale implementačními výhodami – implementace protokolu do vlastního programu je jednoduchá. Nevýhody TFTP jsou vzhledem k použité aplikaci zanedbatelné. V případě nasazení při legálním odposlechu by byla data pravděpodobně odesílána pouze v rámci lokální sítě, jejich zabezpečení by mohl obstarat server zajišťující agregaci zachycených stisků kláves ze všech klientů. V případě nelegálního odposlechu je prioritou útočníka nenápadnost, v takovém případě by se pravděpodobně více hodil např. protokol SMTP nebo HTTP, resp. HTTPS. Klientská část protokolu TFTP byla implementována do vlastního programu pojmenovaného Keylog. Program Keylog je hlavním produktem bakalářské práce, Keylog zachycuje všechny stisknuté klávesy, ať už se jedná o přihlašovací údaje k elektronickému bankovnictví v internetovém prohlížeči, heslo do firemního informačního systému nebo dopis zákazníkovi. Zachycené klávesy ukládá do souboru a v určených časových intervalech je odesílá na server.
|
|
|
Defeating Ransomware By Hooking System Calls On Windows Os
Touš, Filip
This paper explains why ransomware needs to use the Windows API to encrypt files andhow this can be utilized to protect sensitive data from ransomware. Critical API functions are examinedon a low level and a generic method to monitor and possibly block their usage through systemcall hooks is presented. This approach is then demonstrated with a custom kernel mode driver whichcan keep protected files safe from any user mode malware. It is then compared to current ransomwareprotection in Windows 10.
|
|
|
Rootkits Classification
Plocek, Radovan ; Křoustek, Jakub (referee) ; Hruška, Tomáš (advisor)
This paper describes information about current most widespread methods, which are used by rootkits. It contains basic information connected with development of rootkits, such as process registers, memory protection and native API of Windows operation system. The primary objective of this paper is to provide overview of techniques, such as hooking, code patching and direct kernel object modification, which are used by rootkits and present methods to detect them. These methods will be then implemented by detection and removal tools of rootkits based on these techniques.
|
|
|
Application for Monitoring Events of OS Windows
Kobliha, Michal ; Bartík, Vladimír (referee) ; Grulich, Lukáš (advisor)
Thesis mentions individual generations of operating system Windows and usage of its chosen application environment functions, followed by presentation of C language as a tool suitable for realization of a process monitoring system events. It analyses individual phases of development of an application for capturing system events and briefly represents achieved outcomes.
|
|
|
System for monitoring user's activity
Yeftsifeyeu, Aliaksandr ; Škorpil, Vladislav (referee) ; Polívka, Michal (advisor)
Bakalářská práce popisuje možnosti programů pro záchyt stisků kláves (keyloggerů) různého typu. Jsou-li tyto program nasazeny ilegálně, mohou být příčinou finančních a jiných ztrát. Obrana proti tomuto druhu monitorovacího softwaru je často složitá. Pro tvorbu softwaru sloužícího k obraně před tímto typem maligních programů je třeba znát principy a algoritmy, se kterými monitorovací software pracuje. V rámci bakalářské práci byla podrobně rozebráná problematika vstupu/výstupu z klávesnice počínaje hardwarem a konče softwarovou aplikační vrstvou. Popsány jsou algoritmy záchytu kláves, záklažené na systémových voláních operačního systému MS Windows, jejich vztah mezi zařízením a softwarem. Cílem bylo nalézt nejvýkonnější, resp. nejvhodnější algoritmus (ale také v současnosti nejpoužívanější), pro vytvoření softwaru pro sledování stisků kláves. Výsledkem je popis běžně používaných algoritmů. Byla zvolena jednoduchá, ale efektivní metoda, pro napsání vlastního programu. Projekt se zabývá problematikou záchytu stisků kláves z pohledu legálního i nelegálního sledování činnosti uživatele. Protože bylo jedním z cílů projektu odeslání zachycených stisků kláves na vzdálený server, byl proveden rozbor problematiky přenosu dat na vzdálený uzel přes sít’ové rozhraní, za pomoci různých sít’ových protokolů v Ethernetu. Rámcově byly popsány protokoly TCP a UDP, a jejich role v přenosech dat po síti. Práce také zahrnuje popis protokolů vyšších vrstev sít’ového referenčního modelu OSI. Z různých hledisek byly diskutovány protokoly TFTP, FTP, SSL, SSH – jejich výhody, nevýhody a jejich využitelnost k přenosu zachycených stisků kláves. Analýza problematiky protokolů 5. a 6. vrstvy RM OSI vedla k volbě protokolu TFTP, jako protokolu nejvhodnějšího pro přenos malého objemu dat mezi monitorovacím programem a serverem. Protokol TFTP vyniká jednoduchostí a snadnou implementovatelností. Obvykle se používá jako servisní protokol pro přenosy konfigurací, logů a firmwarů v lokálních sítích. Mezi nevýhody protokolu patří neexistence zabezpečení přenášených dat jak z hlediska možnosti vzniku chyb při jejich přenosu, tak z hlediska možnosti jejich odposlechu. Problematická je také bezpečnost dat na TFTP serveru Protokol nepočítá s autorizací a autentizací klienta. Zmíněné nevýhody jsou ale implementačními výhodami – implementace protokolu do vlastního programu je jednoduchá. Nevýhody TFTP jsou vzhledem k použité aplikaci zanedbatelné. V případě nasazení při legálním odposlechu by byla data pravděpodobně odesílána pouze v rámci lokální sítě, jejich zabezpečení by mohl obstarat server zajišťující agregaci zachycených stisků kláves ze všech klientů. V případě nelegálního odposlechu je prioritou útočníka nenápadnost, v takovém případě by se pravděpodobně více hodil např. protokol SMTP nebo HTTP, resp. HTTPS. Klientská část protokolu TFTP byla implementována do vlastního programu pojmenovaného Keylog. Program Keylog je hlavním produktem bakalářské práce, Keylog zachycuje všechny stisknuté klávesy, ať už se jedná o přihlašovací údaje k elektronickému bankovnictví v internetovém prohlížeči, heslo do firemního informačního systému nebo dopis zákazníkovi. Zachycené klávesy ukládá do souboru a v určených časových intervalech je odesílá na server.
|
|
|
Uncovering of rootkits and detection of spyware
Juras, Stanislav ; Pelka, Tomáš (referee) ; Polívka, Michal (advisor)
Bachelor’s thesis is about uncovering of rootkit and detection of spyware. It describes the basic types of known spyware and rootkits. Section dealing with spyware is especially about a description of each species. In case of rootkit the thesis is mainly about description of modes and the manner of their infection. There are also outlined attempts to use legal rootkit. In other case there are summarized the basic methods of rootkit and spyware detection, which are commonly used in various detection programs. The second part of thesis is practical implementation (the program) of one of the methods of spyware detection. The program is designed to be able to detect a simple pattern of spyware, which is stored in its database. The program uses the file signature detection. It contains also the graphical user interface, where is possible to choose a unit that user want to test.
|
guest ::
