Перехват ввода с клавиатуры

       Министерство  образования и науки Российской Федерации

       Федеральное государственное образовательное  учреждение

       Среднего  профессионального образования 

       Бугурусланский Нефтяной колледж 
 
 
 
 
 
 
 
 

       Практическая  работа

       По  дисциплине: «Информационная безопасность»

       Перехват  ввода с клавиатуры 
 
 

        

                                                                                                    Выполнила

       Студентка 4 Прг

                                                                                                        Саволюк Д.В. 
 
 
 

                                                                                                      Проверила

       Кистанова Т.В. 
 

       Бугуруслан

       2011

       Перехват  ввода с клавиатуры

       Закладки, анализирующие ввод с клавиатуры, являются достаточно опасными, поскольку  клавиатура является основным устройством  управления и ввода информации. Через  клавиатурный ввод можно получить информацию о вводимых конфиденциальных сообщениях (текстах), паролях 

       Перехват  может производиться двумя основными способами:

• встраивание в цепочку прерывания int 9h;
• анализом содержания клавиатурного порта или буфера по прерыванию от системного таймера.

       Работа  закладки основывается на полном сохранении всех нажатий (отжатий) клавиш в файле. Файл затем изучается, и на его основе злоумышленник, пытавшийся получить доступ к зашифрованным файлам, восстанавливает возможные парольные последовательности.

       Прерывания  от внешних устройств или аппаратные прерывания, -  это  то,  что понимается  под  термином  «прерывание».  Внешние  устройства   (клавиатура, дисковод, таймер, звуковая  карта  и  т.  д.)  подают  сигнал,  по  которому процессор  прерывает  выполнение  программы   и   передает   управление   на обработчик прерывания. Всего на  персональных  компьютерах используется  15 аппаратных прерываний, хотя теоретически возможности архитектуры позволяют довести их до 64.

       IRQ1 (INT 9) - прерывание клавиатуры, вызывается  при  каждом  нажатии  и  отпускании клавиши на клавиатуре. Стандартный обработчик этого  прерывания    выполняет довольно  много функций, начиная с перезагрузки  по  Ctrl-Alt-Del    и заканчивая помещением кода клавиши в буфер клавиатуры BIOS.

         Самые полезные для программ  аппаратные прерывания —  прерывания  системного таймера и  клавиатуры.  Так  как  стандартные   обработчики  этих  прерываний  выполняют множество функций,  от которых зависит работа  системы,  их  нельзя заменять  полностью.

         Резидентные программы, перехватывающие   аппаратные  прерывания,  обладают свойством выполнятся одновременно с какой-либо  другой  программой.  Именно для этого и применяется  механизм  аппаратных  прерываний  -  они  позволяют процессору выполнять одну программу, в то  время как отдельные программы следят за временем, считывают символы из клавиатуры и помещают их  в буфер, получают и передают данные через последовательные  и параллельные  порты и даже  обеспечивают  многозадачность,  переключая  процессор между   разными задачами по прерыванию системного таймера.

         Разумеется, обработка прерываний  не должна занимать много   времени:  если прерывание    происходит    достаточно    часто    (например,     прерывание последовательного порта   может  происходить  28  800  раз  в  секунду),  его обработчик  обязательно должен выполняться  за  более  короткое  время.  Если, например, обработчик прерывания  таймера будет  выполняться  1/32,4  секунды, то есть половину  времени между прерываниями, вся  система станет  работать  в  два  раза  медленнее.  А   если  еще  одна  программа   с  таким   же   долгим  обработчиком перехватит это  прерывание, система остановится   совсем.  Именно поэтому обработчики  прерываний принято писать исключительно  на ассемблере.

         Практически любая программа,  в которой предусмотрено управление  ходом ее выполнения с помощью  команд, подаваемых с клавиатуры, имеет в своем  составе обработчик  прерываний от клавиатуры. Для  того чтобы написать, обработчик  прерываний от клавиатуры,  необходимо  хорошо  представлять,  каким   образом  вводятся,   куда   попадают   и   как обрабатываются  символы,  вводимые  с  клавиатуры.   

                                IRQ                                INT                                        Адрес системного    

          Аппаратное        Контроллер                       Микро-        обработчика int09h

          прерывание        прерываний  Вектор09     процессор  из вектора 09

    на IRQ1

                                IRQ7        Запуск систем

   Нажатие или         обработчика int09h

   отпускание             Байт флагов

   любой клавиши                                      Системный            клавиатуры

                            Контроллер  Порт 60h  обработчик             [40h:17h]

      клавиатуры   Скэн-код      int09h     | 7 | 6| 5| 4| 3| 2| 1| 0|

  Клавиатура

           Ins

                         Скэн-код Код   Caps Lock

                                          Кольцевой буфер    ASCII Num Lock

                             40h:1Eh        ввода      Scroll Lock

           40h:1Ah                                                              Alt

    Адрес головного             Скэн    ASCII      Ctrl

           символа             Скэн    ASCII       Shift левый

             Скэн    ASCII      Shift правый

       Программа           Скэн    ASCII

     пользователя            Адрес хвостового

             ···       символа

    Запрос на ввод                                        40h:3Ch

     с клавиатуры      Ввод  самого “старого” символа 

 

  

       Рисунок 1 - Процесс взаимодействия системы с клавиатурой 

         Работой клавиатуры  управляет специальная электронная  схема  -  контроллер клавиатуры. В его функции входит распознавание нажатой клавиши  и  помещение закрепленного за ней кода в свой выходной регистр (порт) с номером 60h.  Код клавиши, поступающий в порт, называется скэн-кодом и является, по  существу, порядковым номером клавиши.

           Обработчик вызывается через вектор 09h,  его иногда называют программой int09h.  Программа  int09h,  получив  управление  в   результате   прерывания   от клавиатуры, считывает из порта 60h  скэн-код  и  анализирует  его  значение. Если скэн-код принадлежит  одной  из  управляющих  клавиш,  и,  к  тому  же, представляет собой код нажатия, в байте  флагов  клавиатуры  устанавливается бит (флаг), соответствующий нажатой клавише. Например,  при  нажатии  правой клавиши  в байте флагов устанавливается  бит  0,  при  нажатии  левой клавиши  - бит 1, при нажатии любой клавиши  -  бит  2  и  т.д. Биты флагов сохраняют свое состояние, пока клавиши  остаются  нажатыми. 

            Работа  закладки  основывается  на  полном  сохранением  всех нажатий (отжатий) клавиш в невидимом (hidden) файле WORK_KEY.BIN.

        Файл затем изучался, и на его основе  лицо,  пытавшееся  получить доступ  к   зашифрованным   файлам,   восстанавливало   возможные парольные  последовательности.   Выделение паролей значительно  облегчал тот факт,  что  пароль  запрашивался для контроля правильности 2 раза. 

       Министерство  образования и науки Российской Федерации

       Федеральное государственное образовательное  учреждение

       Среднего  профессионального образования 

       Бугурусланский Нефтяной колледж 
 
 
 
 
 
 
 
 

       Практическая  работа

       По  дисциплине: «Информационная безопасность»

  Перехват  и обработка файловых операций 
 

        

                                                                                                    Выполнила

                                                                                                            Студентка 4 Прг

                                                                                                        Саволюк Д.В. 
 
 
 

                                                                                                      Проверила

                                                                                                             Кистанова Т.В. 
 

       Бугуруслан

       2011 
 

Перехват  и обработка файловых операций 

       Перехват и обработка файловых операций происходит, когда программное средство защиты информации производит некоторые файловые операции. Для этого открывается файл, часть его или весь файл считывается в буфер оперативной памяти, обрабатывается и затем, возможно, записывается в файл с прежним или новым именем.

       Активизирующим  событием  в  данном  случае   является,   как правило,  открытие  файла  (int  21h,  функция 3Dh),  либо   его закрытие.

       В структуре операционной среды модель закладки,  влияющей  на файловые операции, предлагается в следующем виде: 

       Исходный  файл (ИФ)               ПСЗИ                Файл-pезультат (ФР) 

       Вспомогательный файл

       (ключевая  информация) 

                Пpеобpазование                     Закладка                        Сохранение 

       Собственный файл закладки

         

       Рисунок 1 – Модель закладки 

       Таким образом, закладка порождает в системе  ИФ -  ПСЗИ  -  ФР новые связи, включая в них свои операции и массивы данных.

         На рисунке выделены две основные  функции:  преобразование  и сохранение.   Сохранение   может   касаться   исходного    файла, файла-результата   (если   рассматриваются   процессы    обратных преобразований  - расшифрование)  или вспомогательного   файла.

       Преобразование  изменяет  информативные   атрибуты  ИФ, ФР  и вспомогательного  файла.   Новым   в   данном   случае   является рассмотрение связей типа ИФ - ФР и вспомогательный файл -  ФР.  В случае возникновения таких связей ПСЗИ практически исключается из процесса  преобразования  информации,  либо  в   ФР   добавляется информация из ИФ или вспомогательного файла. Например,  в  случае шифрования возможна ситуация, когда в  зашифрованный  файл  будут добавлены  фрагменты  ключа  или   исходного   (незашифрованного) текста. Кроме  того,  ФР  может быть  получен с использованием другого алгоритма, реализуемого собственно закладкой.